在“登录”屏幕中预填充用户名和密码

时间:2015-04-27 02:20:45

标签: login passwords username credentials ui-design

我在ASP.NET中设计了一个标准的登录界面,如下所示:

enter image description here

与往常一样,当操作员选择“记住我”时,我们希望系统不再向操作员询问凭证并直接进入默认(主页)页面。 我的业务团队在互联网上看到了一些东西,他们认为当选择“记住我”时,我们需要预先填写用户名和密码,然后等待客户按下“登录”按钮:

enter image description here

我没有经常看到这种做法,我不太习惯这样做。虽然,我没有一个很好的技术论据来解释和改变他们的想法 我基本上是在寻找好的论据来解释上述情景的缺点和优点。

1 个答案:

答案 0 :(得分:1)

永远不要预先填写密码编辑字段。如果您这样做,每个人都可以阅读纯文本密码,如果他可以在此计算机上打开登录表单。在未锁定的办公室计算机上几分钟就足以检查浏览器历史记录,之后攻击者可以随时随地登录。

如果您有记住我的功能,并且用户已使用此功能登录,则根本不需要显示登录表单。您只需显示内容即可。在这种情况下,攻击者可以使用该帐户执行操作,但是以后无法在其他位置登录时无法注意。

我认为(希望)您看到了预先填充的密码字段,因为浏览器填写了内容,而不是网站填写的内容。也许安装了密码管理器。