it-swarm-es.com

¿Por qué algunos sitios bloquean el pegado en los campos de entrada de nombre de usuario o contraseña?

Utilizo algunos sitios web que me impiden copiar y pegar en los campos de nombre de usuario o contraseña. Es bastante frustrante cuando se usa un administrador de contraseñas, y en todo caso, creo que desalienta a los usuarios de una buena administración de contraseñas porque tendrán que elegir algo que puedan escribir manualmente una y otra vez.

¿Existe realmente algún beneficio para evitar la operación de pegado en una aplicación o sitio web?

44
realworldcoder

En mi opinión, no creo que sea una victoria neta. Esas restricciones siempre me frustran.

(Espero que alguien aquí publique detalles sobre cómo desactivarlos o solucionarlos. ¿Tal vez un ajuste a user_prefs.js de Firefox? ¿Una extensión?

Presumiblemente, la razón por la cual los sitios deshabilitan el administrador de contraseñas es porque les preocupa que Alice pueda sentarse frente al navegador de Bob e iniciar sesión en el sitio web como Bob, tal vez comprando algo en la pestaña de Bob. Esto es particularmente un problema para compañeros de cuarto, familiares, etc. que viven juntos. (Véase también "fraude amistoso"). Un riesgo relacionado es que Bob podría comprar algo, pero luego afirmar que Alice lo hizo para no pagarlo. Presumiblemente, los sitios esperan que al deshabilitar el administrador de contraseñas, Bob se vea obligado a escribir su contraseña nuevamente cada vez; Alice no sabrá la contraseña y no podrá ingresarla.

Sin embargo, estas restricciones tienen un costo significativo. Hacen que el sitio web sea menos usable y más molesto para los usuarios. También llevan a los usuarios a seleccionar contraseñas deficientes (que pueden ser más susceptibles a ataques de adivinación de contraseñas) o a escribir sus contraseñas (lo que potencialmente les permite a los compañeros de cuarto y a los familiares aprender la contraseña, dejando a todos atrás donde comenzamos). Para los usuarios que confían en todos los demás que tienen acceso físico a su computadora, estas restricciones disminuyen estrictamente la seguridad.

Personalmente, sospecho que la mayoría de los sitios deberían ser reacios a emplear tales medidas. Lo más probable es que molestes a tus usuarios más de lo que los ayudarás. Pero estará en una mejor posición para tomar una decisión informada.

Si decide emplear tales restricciones, puede considerar proporcionar a los usuarios una forma de optar por no participar si no comparten su computadora con otros. Quizás esto solo sea de interés para los usuarios avanzados, por lo que no sé si vale la pena, pero podría considerarlo.

31
D.W.

Las dos razones principales que siempre se me indicaron son:

  1. Permitir copiar y pegar significa que las personas tendrán sus contraseñas guardadas en un archivo de texto en algún lugar, lo cual no es seguro (sí, lo sé con aplicaciones como PassSafe, esto está un poco desactualizado, ya que el lugar para guardar las contraseñas es 'seguro')
  2. Las personas olvidarán sus contraseñas si no lo hacen tienen para recordarlas.

Creo que el número 2 es el más importante: es bastante difícil convencer a las personas de que recuerden sus contraseñas cuando vuelven de vacaciones; la carga del servicio de asistencia es alta después de cualquier feriado importante, y las empresas intentan reducir esto.

10
Rory Alsop

Personalmente, no creo que haya ningún beneficio real. Estoy de acuerdo con la idea de que probablemente molestarás a tus usuarios para que elijan algo que no sea útil.

Dicho esto, creo que las razones utilizadas son

  • evitar que la contraseña se guarde en algún lugar donde pueda ser robada,
  • o porque creen que las contraseñas deben ser escritas por el usuario por razones irracionales.

Si bien puede ser racional que pueda defenderse contra el pequeño Johnny que vacía la cuenta bancaria de su madre, no veo mucho más en la práctica. Me imagino que si puedes enganchar el archivo de contraseña, probablemente puedas espiar la entrada del teclado.

9
Jeff Ferland

Un ejemplo de este comportamiento es Paypal: evitan pegar en los cuadros de contraseña al cambiar su contraseña (pero no cuando ingresan su contraseña para iniciar sesión, ¡resuélvala!). Su fundamento es:

La función de usar control-V no está disponible para restablecer la contraseña, ya que esta es una de nuestras formas de asegurarnos (sic) de que es el titular de la cuenta quien accede a la cuenta.

En este ejemplo, y en otros que he encontrado, puede deshabilitar javascript para habilitar el pegado. Chrome, por ejemplo, le permite hacer esto sitio por sitio, por lo que puede evitar que Paypal use javascript y soportar la funcionalidad reducida.

Ebay también ha sido infectado por el virus de pseudo-seguridad de Paypal. Han deshabilitado el pegado en el campo Tarjeta de crédito/débito cuando vayas a actualizar tu método de pago automático.

De todos modos, francamente, no compro su justificación. Un usuario experto en tecnología (o pirata informático) puede deshabilitar JavaScript para omitir esta función, por lo que todo lo que hace es obligar a los usuarios novatos a usar contraseñas débiles (es decir, las que pueden molestarse en escribir). Les informé esto, pero era previsiblemente engañado: por alguna razón, la gente de servicio al cliente nunca aprecia hablar de temas de tecnología/seguridad ...

El gobierno del Reino Unido cree oficialmente que Paypal/Ebay son estúpidos por hacer esto; vea el sitio web del Centro Nacional de Seguridad Cibernética

6
IBam

Claramente a las políticas de seguridad equivocadas en la empresa. Bet365 es otra parte culpable en esto. Tenga en cuenta que forzar la escritura de contraseñas no es lo mismo que bloquear el autocompletado.

La aplicación manual de contraseñas tiene las siguientes implicaciones de seguridad. Alienta contraseñas débiles que pueden recordarse. Fomenta las contraseñas que se utilizan en varios sitios web (ya que, después de todo, es más fácil de recordar) Fomenta las contraseñas débiles porque "bueno" son más fáciles de escribir. Un keylogger en la máquina puede interceptar contraseñas escritas. Las contraseñas complejas almacenadas probablemente tengan que pegarse en el bloc de notas o algo primero, para que puedan escribirse. Entonces, son vulnerables a cosas como los capturadores de pantalla.

El riesgo de permitir un pegado es solo uno, ya que puede almacenarse en un archivo de texto claro en algún lugar, pero ese puede ser el caso de todos modos al escribirlo.

2
ChrisC79

Esta es una publicación antigua, realmente antigua, pero sé por qué estos sitios bloquean el pegado de contraseñas y no es por razones de seguridad que realmente importan. Entonces, cuando obtuve mi segundo trabajo, en una empresa de servicios de software a una escala relativamente grande (tienda de tecnología de lectura), nos hicieron pasar 3 meses de capacitación remunerada (vacaciones de lectura) Las personas que trabajaban allí comenzaron con la codificación en HTML/Javascript primero en diseñar la interfaz de usuario (lea el código de espagueti mal diseñado)

Entonces construyeron las validaciones en javascript para verificar campos vacíos, expresiones regulares, etc. y, por supuesto, tuvieron que validar al presionar teclas. El problema era que no funcionaba si el usuario pegaba la entrada, por lo que bloquearon la copia/pegado para evitar que los usuarios ingresen datos inseguros. Por supuesto, las validaciones del lado del servidor resolverían completamente el problema, pero nadie tenía ninguna habilidad técnica allí. Luego, estas personas crearon/trabajaron en software empresarial y muchos bancos y soluciones empresariales tienen esta restricción.

Esa es la verdadera razón por la que tenemos estas "validaciones" porque las personas no podían descubrir cómo validar los datos pegados y no tenían idea de cómo validar las cosas en el lado del servidor.

Uno de los "instructores" sugirió que la validación en el lado del cliente reduce la carga en el servidor.

1
SoWhat