Bence bunun net bir kazanç olduğunu düşünmüyorum. Bu kısıtlamalar beni her zaman hayal kırıklığına uğratıyor.

(Buradaki birinin nasıl etkisiz hale getirileceğine veya bunların nasıl çözüleceğine ilişkin ayrıntıları yayınlayacağını umuyorum. Firefox'un user_prefs.js'sinde bir değişiklik olabilir mi? Bir uzantı?)

Muhtemelen sitelerin şifre yöneticisini devre dışı bırakmalarının nedeni, Alice'in Bob'un tarayıcısının önüne oturup web sitesinde Bob olarak oturum açıp Bob'un sekmesinden bir şey satın almasından endişe etmeleridir. Bu, özellikle birbiriyle birlikte yaşayan oda arkadaşları, aile üyeleri vb. İçin bir sorundur. (Ayrıca bkz. "Dostça dolandırıcılık".) Bununla ilgili bir risk, Bob'un gerçekten bir şey satın alması, ancak sonra Alice'in bunu ödemekten kurtulmak için yaptığını iddia etmesidir. Muhtemelen, siteler şifre yöneticisini devre dışı bırakarak Bob'un her seferinde şifresini yeniden yazmaya zorlanacağını umuyor; Alice şifreyi bilmeyecek ve yazamayacak.

Ancak, bu kısıtlamaların önemli bir maliyeti vardır. Web sitesini daha az kullanılabilir ve kullanıcılar için daha rahatsız edici hale getiriyorlar. Ayrıca, kullanıcıları ya zayıf parolalar seçmeye (parola tahmin saldırılarına karşı daha duyarlı olabilir) ya da parolalarını yazmaya (potansiyel olarak oda arkadaşlarının ve aile üyelerinin parolayı öğrenmesine olanak vererek, herkesi başladığımız yere geri bırakmaya) yönlendirirler. Bilgisayarlarına fiziksel erişimi olan herkese güvenen kullanıcılar için bu kısıtlamalar kesinlikle güvenliği azaltır.

Şahsen, çoğu sitenin bu tür önlemleri alma konusunda isteksiz olması gerektiğinden şüpheleniyorum. Muhtemelen, kullanıcılarınızı onlara yardım edeceğinizden daha fazla rahatsız edeceksiniz. Ancak, bilinçli bir karar vermek için daha iyi bir konumda olacaksınız.

Bu tür kısıtlamalar uygulamaya karar verirseniz, bilgisayarlarını başkalarıyla paylaşmazlarsa kullanıcılara vazgeçmeleri için bir yol sağlamayı düşünebilirsiniz. Belki de bu sadece deneyimli kullanıcıların ilgisini çekiyor olabilir, bu yüzden zaman ayırmaya değip değmeyeceğini bilmiyorum ama düşünebilirsiniz.

Bana her zaman belirtilen iki temel neden:

1. Kopyalama ve yapıştırma izni vermek, kullanıcıların şifrelerini bir yerde bir metin dosyasına kaydedeceği anlamına gelir, bu da güvenli değildir (evet, uygulamaları biliyorum PassSafe gibi, şifreleri kaydetme yeri 'güvenli' olduğundan bu biraz modası geçmiş durumda)
2. İnsanlar, hatırlamaları gerekmiyorsa şifrelerini unutacaklar.

En önemlisi 2 numara, bence insanları tatilden döndüklerinde şifrelerini hatırlamaya ikna etmek yeterince zor - büyük bir tatilden sonra yardım masasının yükü çok fazla ve şirketler bunu azaltın.

Şahsen herhangi bir gerçek faydası olduğunu düşünmüyorum. Muhtemelen kullanıcılarınızı yardımcı olmayan bir şey seçmeleri için sinirlendireceğiniz fikrine katılıyorum.

Bununla birlikte, kullanılan mantığın

• şifrenin çalınabileceği bir yere kaydedilmesinden kaçının
• veya şifrelerin mantıksız nedenlerle kullanıcı tarafından yazılması gerektiğine inandıkları için.

Küçük Johnny'nin annesinin banka hesabını boşaltmasına karşı savunma yapması mantıklı olsa da, pratikte başka pek bir şey görmüyorum. Parola dosyasını ele geçirebilirseniz, klavye girişini muhtemelen gözetleyebilirsiniz.

Bu davranışa bir örnek Paypal'tır - şifrenizi değiştirirken şifre kutularına yapıştırmayı önlerler (ancak oturum açmak için şifrenizi girerken değil, bunu yapın !!). Gerekçeleri şudur:

Control-V'yi kullanma özelliği, şifrenin sıfırlanmasında kullanılamaz, çünkü bu, erişimin gerçekten hesap sahibi olduğunu garanti etme (sic) yollarımızdan biridir.

Bu örnekte ve karşılaştığım diğerlerinde, yapıştırmayı etkinleştirmek için javascript'i devre dışı bırakabilirsiniz. Örneğin Chrome, bunu site bazında yapmanıza olanak tanır, böylece Paypal'ın javascript kullanmasını engelleyebilir ve azaltılmış işlevselliğe katlanabilirsiniz.

Ebay ayrıca Paypal'ın sözde güvenlik virüsü. Otomatik ödeme yönteminizi güncellemeye gittiğinizde Kredi / banka kartı alanına yapıştırmayı devre dışı bıraktılar.

Neyse, açıkçası onların mantığına inanmıyorum. Teknolojiden anlayan bir kullanıcı (veya bilgisayar korsanı) bu özelliği atlamak için javascript'i devre dışı bırakabilir, bu nedenle tek yaptığı acemi kullanıcıları zayıf parolalar (yani yazmaktan rahatsız olabilecekleri) kullanmaya zorlamaktır. Bunu onlara bildirdim, ancak tahmin edilebileceği gibi iptal edildim - bazı nedenlerden dolayı müşteri hizmetleri çalışanları teknoloji / güvenlik sorunları hakkında konuşmayı asla takdir etmiyorlar ...

Birleşik Krallık hükümeti resmi olarak Paypal / Ebay'in bunu yaptığı için aptal olduğunu düşünüyor - Ulusal Siber Güvenlik Merkezi Web Sitesine bakın.

Açıkçası, şirketteki yanlış yönlendirilmiş güvenlik politikalarına bağlı.Bet365, bunda başka bir suçlu taraftır.Parolaların yazılmasını zorunlu kılmak, otomatik tamamlamayı engellemekle aynı şey değildir.

Parolaların manuel olarak yazılmasını zorunlu kılmak aşağıdakilere sahiptir Güvenlik etkileri. Hatırlanabilen zayıf parolaları teşvik eder. Birden fazla web sitesinde kullanılan parolaları teşvik eder (her şeyden önce hatırlanması daha kolaydır) Zayıf parolaları teşvik eder çünkü "iyi" yazmaları daha kolaydır. Depolanan karmaşık şifrelerin büyük olasılıkla önce not defterine veya başka bir şeye yapıştırılması gerekir, böylece bunlar yazılabilir. Bu nedenle, ekran yakalayıcılar gibi şeylere karşı savunmasızdır.

Bir yapıştırmaya izin verme riski, gerçekten , bir yerde açık bir metin dosyasında depolanmış olabilir, ancak yine de yazarken durum böyle olabilir.

Bu eski bir gönderi, gerçekten eski bir gönderi, ancak bu sitelerin neden şifre yapıştırmayı engellediğini biliyorum ve bunun aslında önemli olan güvenlik nedenlerinden kaynaklanmadığını biliyorum. İkinci işimi aldığımda, nispeten büyük ölçekli bir yazılım hizmetleri firmasında (teknoloji atölyesini okuyun), bize 3 aylık ücretli eğitim (boşluğu okuyun) geçirdiler Orada çalışan insanlar HTML / Javascript kodlama ile başladı ilk önce kullanıcı arayüzünü tasarladılar (kötü tasarlanmış spagetti kodunu okuyun)

Bu nedenle, boş alanları, normal ifadeleri vb. kontrol etmek için javascript üzerinde doğrulamaları oluşturdular ve tabii ki tuşa basıldığında doğrulamak zorunda kaldılar. Sorun, kullanıcı girdiye yapıştırdığında çalışmamasıydı, bu nedenle kullanıcıların güvenli olmayan verileri girmesini önlemek için kopyalamayı / yapıştırmayı engellediler. Tabii ki sunucu tarafı doğrulamaları sorunu tamamen çözecekti, ancak hiç kimsenin orada herhangi bir teknik becerisi yoktu. Bu insanlar daha sonra kurumsal yazılım geliştirmeye / çalışmaya devam ettiler ve birçok banka ve kurumsal çözüm bu nedenle bu kısıtlamaya sahip.

Bu "doğrulamalara" sahip olmamızın gerçek nedeni budur çünkü insanlar yapıştırılan verileri nasıl doğrulayacaklarını anlayamadılar ve sunucu tarafındaki şeyleri nasıl doğrulayacakları hakkında hiçbir fikirleri yoktu.

Oradaki "eğitmenlerden" biri aslında istemci tarafında doğrulamanın sunucudaki yükü azaltmasını önerdi.