在登录屏幕中预填充用户名和密码
Prepopulate Username and Password in Login screen
我在 ASP.NET 中设计了一个标准的登录屏幕,如下所示:
像往常一样,当操作员选择“记住我”时,我们希望系统不再要求操作员提供凭据并直接转到默认(主页)页面。
My business team saw something on internet and they believe that when “Remember me” has been selected we need to pre populate the username and password and wait for customer to press “LOG IN” button:
我很少看到这种做法,做起来也不是很舒服。虽然,我没有很好的技术论据来解释和改变他们的想法。
我基本上是在寻找好的论据来解释上述情况的利弊。
永远不要预先填充密码编辑字段。如果这样做,每个人都可以读取明文密码,前提是他可以在这台计算机上打开登录表单。在未上锁的办公室电脑上几分钟就足以检查浏览器历史记录,之后攻击者可以随时随地登录。
如果你有记住我的功能,并且用户已经使用这个功能登录,那么根本不需要显示登录表单。您可以只显示内容。在这种情况下,攻击者可以使用该帐户做一些事情,但他以后无法从其他地方不被注意地登录。
我认为(希望)您看到了预填充的密码字段,因为内容是浏览器填写的,而不是网站填写的。可能安装了密码管理器。
我在 ASP.NET 中设计了一个标准的登录屏幕,如下所示:
像往常一样,当操作员选择“记住我”时,我们希望系统不再要求操作员提供凭据并直接转到默认(主页)页面。 My business team saw something on internet and they believe that when “Remember me” has been selected we need to pre populate the username and password and wait for customer to press “LOG IN” button:
我很少看到这种做法,做起来也不是很舒服。虽然,我没有很好的技术论据来解释和改变他们的想法。
我基本上是在寻找好的论据来解释上述情况的利弊。
永远不要预先填充密码编辑字段。如果这样做,每个人都可以读取明文密码,前提是他可以在这台计算机上打开登录表单。在未上锁的办公室电脑上几分钟就足以检查浏览器历史记录,之后攻击者可以随时随地登录。
如果你有记住我的功能,并且用户已经使用这个功能登录,那么根本不需要显示登录表单。您可以只显示内容。在这种情况下,攻击者可以使用该帐户做一些事情,但他以后无法从其他地方不被注意地登录。
我认为(希望)您看到了预填充的密码字段,因为内容是浏览器填写的,而不是网站填写的。可能安装了密码管理器。