Как вставить пароль в поле ввода если вставка отключена
Перейти к содержимому

Как вставить пароль в поле ввода если вставка отключена

  • автор:

Пусть они вставляют пароли

Примечание переводчика: Автор статьи — эксперт по социотехнической безопасности (Sociotechnical Security Researcher) в Национальном центре кибербезопасности Великобритании (NCSC), подразделении Центра правительственной связи (GCHQ), который отвечает за ведение радиоэлектронной разведки и обеспечение защиты информации органов правительства и армии.

В твиттере нам часто присылают примеры сайтов, которые блокируют вставку пароля из буфера обмена. Почему сайты так поступают? Разгорелась дискуссия — и большинство спорщиков обращает внимание на то, что это сильно раздражает.

Так зачем организации это делают? Часто они не дают никаких объяснений, но если всё-таки дают, то говорят о «безопасности». NCSC не думает, что эти опасения обоснованы. Мы считаем, что блокировка вставки паролей (БВП) — это плохая практика, которая ухудшает безопасность. Мы считаем, что пользователям следует разрешить вставлять пароли.

Никто не знает, откуда это пошло

Остаётся загадкой, как появилась практика БВП. Никто не видел какой-то научной статьи, исследования, правила, RFC (технический стандарт правил работы Интернета) или чего-то подобного, с чего всё началось. Если вы знакомы с чем-то, дайте знать в комментариях. Мы думаем, здесь имеет место одна из тех «лучших практик», идеи которых рождаются из обращения к здравому смыслу. Раньше такая идея могла иметь смысл. Учитывая более широкую картину в наше время, сейчас у неё совершенно нет никакого смысла.

Так почему вставка паролей — это хорошо?

Основная причина, почему вставка паролей улучшает безопасность — то, что она снижает перегруженность паролями, о чём мы говорили в нашем «Руководстве по паролям». Разрешение на вставку паролей делает веб-формы хорошо совместимыми с парольными менеджерами. Парольные менеджеры — это программы (или сервисы), которые подбирают, хранят и вводят пароли в формы вместо вас. Они очень полезны, потому что:

  • облегчают хранение разных паролей для разных сайтов;
  • улучшают продуктивность и предотвращают опечатки при вводе паролей;
  • упрощают использование длинных, сложных паролей.

Представьте, что у вас нет парольного менеджера и нет даже того незащищённого документа с паролями. Без парольных менеджеров будет практически невозможно запомнить все пароли. В этом случае вам придётся выбрать один из следующих плохих вариантов:

  • повторно использовать одни и те же пароли на разных сайтах;
  • выбирать очень простые (и поэтому легко подбираемые) пароли;
  • записывать пароли и хранить их в местах, которые легко найти (вроде листочков Post-It на мониторе).

Почему блокировать вставку паролей (БВП) неправильно

Есть другие причины, которыми пытаются оправдать БВП. Маленькое и вводящее в заблуждение зёрнышко правды в этих аргументах может звучать очень убедительно. Давайте разберёмся.

Оправдание 1: «Вставка паролей облегчает брутфорс»

Если разрешить вставку паролей, то вредоносный софт или веб-страница могут непрерывно вставлять пароли, пока не подберут подходящий.

Это дейтсвительно правда, но также правда и то, что есть другие способы проводить брутфорс (например, через API), которые настолько же просты для злоумышленников, но гораздо быстрее. Риск атак с подбором паролей через копипаст очень мал.

Оправдание 2: «Из-за вставки паролей их труднее запомнить, потому что вы реже набираете их вручную»

В принципе это тоже правда: чем чаще вы вынуждены вспоминать что-то, тем легче вспомнить это в следующий раз.

Однако в реальном мире людям приходится создавать пароли в том числе для сервисов, которыми они очень редко пользуются. Это означает, что у них недостаточно времени для практики и небольшие шансы что-либо запомнить. Это оправдание верно только если изначально предположить, что пользователи обязаны помнить свои пароли — а это не всегда так.

Люди также создают пароли для сервисов, которыми пользуются настолько часто, что не могут забыть пароль, даже если бы захотели (что довольно неудобно, если вам нужно регулярно менять пароль), и набор его в дрянную форму снова и снова каждый день просто отнимает у них время. В такой ситуации помогают парольные менеджеры, а БВП их отметает.

Оправдание 3: «Пароль останется в буфере обмена»

Когда пользователь делает копирование и вставку, скопированный контент хранится в буфере обмена, откуда его можно вставить сколько угодно раз. Любое программное обеспечение на компьютере (и любой человек, работающий с ним) имеет доступ к буферу и может просмотреть его содержимое. Копирование нового контента обычно осуществляется поверх старого содержимого и разрушает его.

Многие парольные менеджеры копируют ваш пароль в буфер обмена, чтобы вставить его в форму на веб-сайте. Существует риск, что злоумышленник (или зловред) своруют пароль раньше, чем он удалён из буфера обмена.

Пароли в буфере обмена могут представлять бóльшую проблему, если они вручную копируются из документа на компьютере. Вы можете забыть почистить буфер. Но это не такой уж большой риск, потому что:

  • Большинство парольных менеджеров очищают буфер обмена, как только вставили пароль на веб-сайте, а некоторые вообще не используют буфер, набирая пароль на виртуальной клавиатуре.
  • Веб-браузер Internet Explorer 6 предоставляет вредоносным страницам доступ к буферу обмена; но этим браузером пользуется очень мало людей.
  • Вирусы на компьютере могут скопировать содержимое буфера и получить пароли. Но это всё равно не подходящее оправдание для БВП; если ваш компьютер заражён вирусом, то вы вообще не можете ему доверять. Вирусы и другие зловреды, которые копируют буфер обмена, почти всегда регистрируют все нажатия клавиш, все числа и символы, включая пароли. Они узнают ваш пароль независимо от того, копируете вы его из буфера или вводите вручную, так что БВП немного вам даёт.

Не только наши слова

Не нужно думать, что только мы высказываемся против блокирования вставки паролей. См. блог Троя Ханта (с «Историческим уроком для нас всех») или эту статью в Wired.

Улучшайте безопасность, поддерживая своих пользователей. Пусть они вставляют пароли.

  • пароли
  • вставка паролей
  • копипаст
  • буфер обмена
  • парольные менеджеры

Редактирование логинов и/или паролей в менеджере паролей

Через существующий менеджер паролей можно только просматривать и копировать. Но, время от времени возникает необходимость редактирования паролей или логинов. Например, заходя на сайт с сохраненным паролем через другой браузер (у меня на работе фаерфокс) можно и не вспомнить его. Приходится восстанавливать. Т.е. менять на другой. В результате в менеджере паролей vivaldi пароль остается прежний и поменять его можно только удалением. Ну, это еще терпимо, хоть и неудобно. Хуже если необходимо изменить логин. Например на сайте «easypay.ua» логином служит моб. телефон, причем, в процессе набора, сайт в строку с телефоном подставляет код страны и скобки. Если полный номер (с плюсом, кодом страны и скобками) вставлять из менеджера получается ерунда — обрезается конец номера. И отредактировать это в менеджере нет никакой возможности.

Shpankov Vivaldi Team @gozhiy
отредактировано

Но, время от времени возникает необходимость редактирования паролей или логинов.

Вам не нужно редактировать пароли. При входе на сайт вводите новый пароль вместо старого и в менеджере паролей он автоматически заменит старый пароль.

Например, заходя на сайт с сохраненным паролем через другой браузер (у меня на работе фаерфокс) можно и не вспомнить его. Т.е. менять на другой.

Предварительно посмотрите и запомните пароль из менеджера паролей Vivaldi.

В результате в менеджере паролей vivaldi пароль остается прежний и поменять его можно только удалением.

Нет, как я уже сказал, в Vivaldi автоматически новый пароль заменит старый. Ничего дополнительно делать не нужно.

Например на сайте «easypay.ua» логином служит моб. телефон, причем, в процессе набора, сайт в строку с телефоном подставляет код страны и скобки. Если полный номер (с плюсом, кодом страны и скобками) вставлять из менеджера получается ерунда — обрезается конец номера. И отредактировать это в менеджере нет никакой возможности.

Вообще-то в таких случаях с телефоном Vivaldi прекрасно запоминает, какой номер и в какой форме должен быть введён в поле. На мой взгляд, всё, что вы просите — уже есть в браузере.

gozhiy @Shpankov
отредактировано

@Shpankov Я, может быть, вам и поверил бы. Но:
0_1563125062708_da7085cc-75ac-4514-8da7-a99b54a34e7f-image.png
При клике на поле логина: 0_1563125111623_b62fbfcb-4f50-4d76-9150-a631bd6164c6-image.png
Давим Enter: 0_1563125168020_d165fe63-de15-431d-b8c9-24584bfa0a5d-image.png

Shpankov Vivaldi Team @gozhiy
отредактировано

@gozhiy Это очень похоже на баг веб-девелоперов этого сайта. Вы пробовали с других браузеров проверять? С Chromium? Пробовали ставить маскировку под другие браузеры? Я сейчас проверил и сам прошёл регистрацию. Vivaldi прекрасно подставляет в поля для входа украинский номер телефона полностью. Проверьте, пожалуйста, на чистой установке.

gozhiy @Shpankov
отредактировано

@gozhiy Это очень похоже на баг веб-девелоперов этого сайта. Вы пробовали с других браузеров проверять? С Chromium? Пробовали ставить маскировку под другие браузеры?

��

Пробовал с фаерфоксом. Та же история. Из буфера вставляет без проблем, из менеджера с ошибкой.
Дома попробую с хромиумом , маскировку и чистую установку.
Что касается обвинения веб-девелоперов в баге — может они так и задумывали?
Я привел пример одного сайта. Очень сомневаюсь, что сайты с такими «творческими» девелоперами большая редкость.

Я сейчас проверил и сам прошёл регистрацию. Vivaldi прекрасно подставляет в поля для входа украинский номер телефона полностью.

Вы точно вставляли из менеджера а не из буфера?
Кстати, заметил, что после корректной вставки из буфера, если не обновляя страницу очистить поле вводе и потом ввести данные из менеджера — все вставляется корректно.

Shpankov Vivaldi Team @gozhiy
отредактировано

Вы точно вставляли из менеджера а не из буфера?

Естественно не из буфера. Я туда логин/пароль даже не копировал. Прошёл регистрацию, дал Vivaldi сохранить логин/пароль в менеджере паролей. Затем снова открыл страницу входа — Vivaldi автоматически подставил в нужные поля правильные логин и пароль.

kurai Moderator @Shpankov
отредактировано

Вообще-то в таких случаях с телефоном Vivaldi прекрасно запоминает, какой номер и в какой форме должен быть введён в поле.

Я зарегистрировался на easypay.ua на украинский номер. При вводе номера телефона и пароля сохранил их в браузере. После этого на порновкладке в приватном окне залогинился на сайте. И номер телефона, и пароль были подставлены корректно.

Found a bug? Submit bugreport!
Знайшов баґ? Зроби баґрепорт!
Нашёл баг? Отправь багрепорт!
https://vivaldi.com/bugreport/

Shpankov Vivaldi Team
отредактировано
Получается, что проблема локальная, на компьютере пользователя.
kurai Moderator @Shpankov
отредактировано kurai

@Shpankov Может какое-то расширение мешать.
@gozhiy а как вы вводили номер телефона при регистрации?
Там в пустом поле болтается текст «+38(0», но при клике мышью на поле, оно полностью очищается, но нужно вводить непосредственно код оператора + номер абонента.

Как вставить пароль в поле ввода если вставка отключена

Спасибо! Ваши отзывы помогают другим пользователям находить самую полезную информацию.

*Мы сожалеем, что это не было полезным для вас. Можем ли мы что-то улучшить? Введите здесь свой комментарий.

Устройства

  • Общие сведения о компании
  • ESG
  • Инвестирование
  • Политика конфиденциальности
  • Безопасность продуктов
  • Вакансии

© 2011-2023 HTC Corporation

Как вставить пароль в поле ввода если вставка отключена

Здравствуйте, помогите пожалуйста решить проблему. Нужно запретить пользователям ввод текста путем копипаста. Как это сделать? может кто уже сталкивался с такой проблемой?

галка Редактирование текста

(2) Есть подозрение что ему надо чтобы руками редактировать можно было, нельзя именно из буфера вставлять.
Если правильно понял. Немного странное желание.

(3) не немного, а много.
(3) я бы сказал странное на всю голову

не вижу ничего странного
в следующий раз я буду более внимательно называть номенклатуру
в следующий раз я буду более внимательно называть номенклатуру
в следующий раз я буду более внимательно называть номенклатуру
в следующий раз я буду более внимательно называть номенклатуру
в следующий раз я буду более внимательно называть номенклатуру
в следующий раз я буду более внимательно называть номенклатуру
в следующий раз я буду более внимательно называть номенклатуру
в следующий раз я буду более внимательно называть номенклатуру

нормальное желание, я так делал для того, что-бы вводили одни и те-же данные 2 раза и программа их принимала только если они совпадали

(0) делай это на базе HTML полей, там можно это запретить

«я так делал для того, что-бы вводили одни и те-же данные 2 раза и программа их принимала только если они совпадали» — че?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *