web-dev-qa-db-ja.com

ログイン時にパスワードの貼り付けを無効にする理由はありますか?

今日、携帯料金を支払うためにログインしましたが、サイトのパスワードフィールドの貼り付け機能が無効になっていることがわかりました。

私はwebdevであり、これをfixする方法を知っていますが、通常のユーザーは[〜#〜] really [〜#〜 ]o\&$t~0WE'kLのようなランダムなパスワードを入力しなければならないのは面倒です。

アカウントの作成時にユーザーにパスワードを書き込むのは普通のことですが、パスワードの貼り付けを無効にする理由はあります =)ログイン中

219
IAmJulianAcosta

貼り付けられたパスワードを許可しないことにセキュリティ上の大きな利点はありません。逆に、ランダム化されたパスワードを生成して自動入力するためのパスワードマネージャの使用を推奨しないことにより、セキュリティが弱くなる可能性があります。一部のパスワードマネージャーは貼り付けの制限を無効にすることができますが、ユーザーが自分のパスワードを手動で入力することを強制されるべきではないというのは依然として重要な点です。

関連 有線記事 からの抜粋:

Webサイト、パスワードマネージャのブロックを停止してください。 2015年です

しかし、奇妙なのは、2015年に、より強力なパスワードをより簡単に使用できるようにする機能を意図的に無効にしているWebサイトがあることです。多くのユーザーは、安全性を誤って主張しているため、そうしています。

ここに問題があります。一部のサイトでは、ログイン画面にパスワードを貼り付けることができず、代わりにパスワードを入力する必要があります。これにより、アカウントのロックを維持するための最良の防御ラインの1つである特定の種類のパスワードマネージャーを使用できなくなります。

259
tlng05

パスワードフィールドの貼り付けを無効にすると、「 コブラ効果 」が導入されます。コブラ効果は、「問題の解決を試みた結果、実際に問題が悪化した場合に発生します。」

トロイ・ハントは最近彼がより詳細に説明する記事を書きました 。空港で「私たちをより安全にする」ために起こることのように、それは本質的にセキュリティ劇場です。 Troy Huntは、パスワードマネージャーから貼り付けられる安全な50文字のパスワードの使用を無効にするため、コブラ効果と呼んでいます。せいぜい、覚えやすく簡単にハッキングできるパスワードを作成する必要があります。

マルウェアによってクリップボードがコピーされるのを防ぐので安全だと言う人もいるかもしれませんが、マルウェアが既にそれを実行できる場合は、Ctrl + Vだけでなく、あらゆる種類のキープレスをコピーできるという事実を無視します。それは無意味です。

UXの観点からは、あなたが言うように、それは単に迷惑です。したがって、UXの観点から見ると迷惑であり、安全ではありません。この「機能」には意味がありません。

105
RommelTJ

いいえ、これを行う合理的な理由はありません。それは悪いUXであり、単純明快です。パスワードフィールドへの貼り付けを無効にすると、実際には不正なパスワードが発生しやすくなります。パスワードマネージャは、貼り付け後に自動的にクリップボードをクリアするため、その引数は無効になります。

32
thomasyung

パスワードのコピーと貼り付けを禁止する主なセキュリティ論点は、パスワードがユーザーのクリップボードに後で残ることです。これにより、無関係なコンテキストでパスワードが誤って公開される可能性があります。たとえば、ユーザーが誤ってそれを別のアプリケーション(Webなど)の別の入力フィールドに貼り付けた場合。別の考えられるシナリオは、ユーザーがデバイスをロックせずに離れて行き、他の誰かがctrl + vを押してクリップボードにあるものを確認する場合です。

ただし、これは、パスワードマネージャーが持つセキュリティ上の大きな利点と比較して、非常に小さなリスクです。また、パスワードマネージャーには、パスワードをコピーしてから数秒後にクリップボードを自動的にクリアする機能があり、このリスクを大幅に軽減します。

26
Philipp

それを行う理由はありますが、あまり良いものではありません。

基本的に、コピーと貼り付けはできません。これは、ユーザーがクリップボードにそれを忘れて、誤ってリークする可能性が低くなることを意味します。また、貼り付けている場合は、テキストファイルなどの場所に保存されているため、脳ほど安全ではありません。そのため、テキストファイルが役に立たなくなった場合、メモリに依存する可能性があります。

もちろん、これらは実際には意味がありません。コピーアンドペーストする多くの人々は、非常によく保護されているパスワードマネージャーからこれを行っています。パスワードマネージャーは自動的にクリップボードもクリアします。他の場所で指摘されているように、クリップボードを読み取ることはできるがキーを押すことはできないキーロガーをユーザーが入手した確率はどのくらいですか?

私にとって、このようなことは、ユーザーの知性に対する一種の侮辱を明らかにします。それは基本的に、「あなたはあなたのパスワードを盗まれないほど愚かです、あなたは単純なセキュリティガイドラインに従うには愚かです、私たちはあなたからあなたを保護するためにあなたにこのベビーハーネスをストラップするつもりです」と言っています。ログインの詳細が盗まれた場合、クライアント側でのクリップボードのリークではなく、サーバー側でのデータ侵害が原因である可能性がはるかに高いことに注意してください。私はそのサイトの適切な対象ではないと私に思わせるので、私はそのようなサイトをできるだけ避けようとします。

幸いなことに、最近の多くのパスワードマネージャーは、直接貼り付けるのではなく、単にキーをエミュレートするようになり始めているため、結局のところ、冗談になっています。

12
Superbest

私は実際に考えることができます正確に1つパスワードの貼り付けを許可しない正当な理由。最初にパスワードを設定するとき、またはパスワードを変更するとき。

その理由は、何らかの理由で、あなたが思ったときにパスワードをクリップボードにコピーできなかった可能性がわずかにあるためです。したがって、パスワードフィールドに貼り付けるのは、実際にはその前にクリップボードにあったナンセンスです。 。パスワードフィールドがマスクされているため、貼り付けたばかりであることを知る方法はありません。

826 W. Main St.ではなく、新しいパスワードフィールドに

Bubblez84-l0ve!
または
h*7dn$l83k&(4;p

あなたが思ったように。次回ログインするときに、これは実際の問題になります。

9
Dan Henderson

私は非常に大規模な会社でオンラインセキュリティの製品マネージャーをしています。

今日、パスワードの貼り付けを無効にすることについて実際に会議をしました。現時点ではパスワードを貼り付けることはできますが、パスワードの変更を検討しています。

このアプローチにはさまざまな見方があり、長所/短所は、ユースケースやサイトのセキュリティ保護の方法、2FAを使用するかどうかによって完全に異なる場合があります。

個人的には、ログインにユーザー名とパスワードのみを使用するサイトのパスワードの貼り付けを無効にすることはしません。

私たちの場合、いくつかの理由でそれを無効にすることを考えています

  • 私たちの場合、パスワードの強度によってセキュリティが強化されることはありません。ええ、私は古くから人々にかなり安全なパスワードを選ぶべきだと言っているのを知っていますが、最終的にこれはあなたのコンピュータがマルウェアに感染している場合、あなた/私たちを少し助けることはありません。マルウェアは、パスワードが「12345」であるか、非常に複雑な100文字の暗号であるかを気にしません。それはそれを盗むか、セッションを引き継ぎます。

  • ブルートフォース攻撃やパスワード推測攻撃のリスクに直面していません。私たちのケースで行われていることを軽減する方法があります。

  • キーストロークダイナミクスなどに基づいてプロファイルが作成される行動バイオメトリクスソリューションがあります。これにより、資格情報を入力したユーザーが実際に期待するユーザーであるかどうかを高い確実性で特定できます。資格情報はtrueまたはfalseです。誰かがあなたの資格情報を持っている場合、彼は認証することができます。これが、正しい資格情報を入力している人が本当に私たちがそれらを知っていると期待している人であるかどうかを知りたい理由です。ユーザー名とパスワードは、ログインプロセス中に毎回入力する必要があるため、これらのフィールドは、そのようなソリューションが組織で展開されているかどうかを確認するのにかなり興味深いものです。誰かが自分のパスワードをコピーして貼り付けた場合、これは不可能です。

私の場合、それを無効にすることについてはまだ決心していません。いつものように、ユーザビリティとセキュリティのバランスを保つ必要があります。

2
securityPM

回答の多くは、パスワードマネージャーを破壊する可能性があるため、これは悪い習慣だと指摘しています。パスワードマネージャーの使用を推奨する必要がありますが、クリップボードにパスワードを保存することは強くお勧めしません。クリップボードは情報のための特別な安全なロッカーではなく、設計によりコンテンツへのアクセスを容易にし、暗号化を提供しません。

これがどのように悪用されるかを示すシナリオの1つを次に示します。

  • ユーザーはプレーンテキストでパスワードをコピーします。
  • ユーザーは、Webを閲覧するだけで、Flashアプリケーションを使用して別のWebサイトにアクセスします。または、攻撃者がWebサイトを故意に被害者に送信した。
  • Flashでは、APIとしてクリップボードにアクセスできます。そのため、クリップボードの内容に簡単にアクセスして、攻撃者に送信することができます。

有名なウェブサイトでリッチメディア広告を購入した例もありました。彼らは一見無害なフラッシュ広告のように見えましたが、それは実際に有用な情報を得るために訪問者のクリップボードデータを盗んでいました。

だから最後に安全に保管したいものがあれば、それをクリップボードに保存しないでください

1
Bacon Brad

他の回答ではより詳細な説明が提供されていますが、簡単に言えば、パスワードに関する最大のセキュリティリスクは、クライアントではなくサーバーを標的とした攻撃によるものであることを覚えておいてください。言い換えると、パスワードをクリップボードに保存しても、パスワードがクラックされると、サーバーから盗まれたパスワードデータベースからクラックされたり、クリップボードから盗まれたパスワードよりもブルートフォースにされたりする可能性が高いため、実際にはそれほどリスクはありません。

したがって、他の回答が指摘しているように、ユーザーがパスワードを貼り付けられないようにすると、複雑なパスワードを使用できなくなり、パスワードの総当たりが容易になり、安全性が低下することが重要な理由です。

1
Micheal Johnson