通过拒绝复制提高登录安全性;糊?

时间:2011-01-21 14:47:53

标签: security passwords clipboard

我们有一个Web应用程序的常见登录表单,没什么特别的,比如

...<input type="text" value="Username" /><input type="password" value="" />...

我的同事认为,拒绝用户复制&amp;登录表单中的粘贴将提高应用程序的安全性。 我认为不然,因为密码输入已经被浏览器本身保护了(你不能从输入元素中复制密码)。

但是,我们将以下JScripts添加到输入元素:

... onpaste="return false;" oncopy="return false;" ondrag="return false;" ondrop="return false;" ...

测试人员批评说仍然可以用CRT键“拖动”副本,当然它只会复制*字符而不是密码,但它仍然允许从表单复制值,所以测试案件被判为失败。

背景非常多。

我的问题:

是否有任何安全方面的改进,拒绝任何类型的副本和在登录表单中粘贴是否值得付出额外的努力?

谢谢你 西蒙

9 个答案:

答案 0 :(得分:48)

没有。为什么要阻止用户复制粘贴自己的密码?

每当你看到这样的安全保护时,重要的是要问自己:我想要防范什么样的攻击?在这种情况下,即使您阻止复制粘贴,用户也可以在他们真正想要的时候重新键入它。如果您担心Evil Spyware,那么这些东西可以直接安装浏览器扩展并直接查看DOM中的密码,或安装一个键盘记录器并在键入时捕获它。

实际上,这甚至可以降低安全性。考虑用户是否使用密码管理程序,该程序可以将密码放入剪贴板,或显示它以进行重新输入。如果你阻止粘贴,这意味着用户必须在屏幕上显示密码才能让任何肩膀冲浪者看到。

答案 1 :(得分:9)

我同意这里的共识:拒绝复制和粘贴意味着我真正复杂的密码(存储在1Password中)是无用的。所以我的回答是使用简短易记的密码(即弱密码)。推动人们使用弱密码是一个不好的想法。

另外,onpaste =“return false;”我相信是DOM的一部分,而不是javascript插件。因此,站点设计师应该停止这种不良行为。

有没有人知道是否有充分理由使用“return false;” - 也就是说,剪贴板有什么危险吗?如果是这样,它会使1Password等程序的使用无效。

答案 2 :(得分:6)

我同意所有人的观点,令人遗憾的是大公司现在开始采用这种做法,我不能粘贴在paypal,xbox live上,还有一些应用程序如圆形立方体默认阻止它。我认为它更安全,因为它迫使最终用户键入它意味着它要么必须是一个容易记住的,要么必须让它在某个地方可以输入,像keeppass这样的好的应用程序在密码基础上工作是不可见的但只是临时复制到剪贴板。

答案 3 :(得分:5)

防止复制/粘贴密码是一个不可思议的想法 - 它几乎使得使用长期随机生成的安全密码变得不可能。想象一下,我想用“JFPEWm!QjVIdrFk8l | /%”作为密码 - 这是一个很好的密码,但是输入的噩梦很容易出错。

答案 4 :(得分:4)

完全没有

用户可以禁用客户端的任何内容,包括您的JScripts。你的同事听错了,给他们看这个帖子。

答案 5 :(得分:0)

如果你接受这样一个前提,即密码被复制的来源不如记忆那么安全......我认为这可能是真的。但它的可用性价格非常高。大多数浏览器都有一种或另一种功能来存储密码,用户使用密码管理器等。我认为在某些时候你只需要接受用户名/密码范例的限制。

如果您真的关心安全性,那么查看客户端证书身份验证可能会很有用。重要的是要注意cca没有固有的更安全,它只是一组不同的凭据。但是,复制证书而不是密码可能更难。无论如何,了解安全工具箱是件好事:

http://www.windowsecurity.com/articles/Client-Certificate-Authentication-IIS6.html http://www.impetus.us/~rjmooney/projects/misc/clientcertauth.html

答案 6 :(得分:0)

不太可能提供帮助。键盘记录器现在肯定会抓住密码。复制和粘贴密码可能比输入密码更多安全。

最好投资一个好的密码管理工具和培训(比如Lastpass或1Password)而不是让用户感到沮丧,这样他们就更有可能采取捷径(比如在任何地方使用相同的简单密码)。

答案 7 :(得分:0)

我同意这里的共识。我没有看到删除复制和粘贴功能如何提高安全性,并且无论如何都可以禁用所有JavaScript。这不值得你花时间。

答案 8 :(得分:-1)

谢谢你们,

你的答案真的支持我在这里的立场。 我也没有看到通过删除副本和放大器获得的安全性好处。粘贴webform的功能。

然而,这是一个大规模的网络应用程序,处理大量资金,因此很难反对任何可能提高安全性的事情(从政治角度来看)。

问候 西蒙

相关问题
最新问题