在网站上复制和粘贴密码是否安全?
设计在线服务并不容易,正确地进行操作会更加困难。您需要考虑很多事情,包括产品外观,可用性,性能,当然还有用户的安全性。在保证人们的数据安全方面有许多应有的注意事项,勤奋的开发人员通常会做好功课,在推出产品之前弄清楚他们需要做些什么。不幸的是,并非所有人都这样做。有些人甚至尝试重新发明轮子,从结果来看,他们在拥有大量啤酒之后就这样做了。更糟糕的是,其他人然后继续复制所述轮子,这一切都很快就出错了。
我们只能假设当有人决定他们将拒绝用户粘贴密码时,会发生这种情况。这种做法不久前出现了,它受到了从安全专家到政府机构的所有人的谴责。尽管如此,许多网站至今仍在继续实施不粘贴规则。对于懒得打字的人来说,这不仅仅是一种麻烦。这是一个安全问题。
不允许粘贴的安全隐患
禁用粘贴功能只会阻止您使用密码管理器。像Cyclonis Password Manager这样的好密码管理应用程序带有内置密码生成器,可让您自动为所有帐户创建复杂,唯一的密码。这些密码的输入并不容易,这就是密码管理器还实现自动填充功能的原因,该功能可以将正确的密码放在正确的字段中。麻烦的是,它依赖于粘贴密码的能力。
无粘贴策略是一个很大的问题,原因很简单 - 当用户不能依靠他们的密码管理器自动为他们填写信息时,他们只需选择一个简单的密码并尝试记住它。可以记住的简单密码使用户容易受到攻击。
他们在想什么?
尽管无粘贴规则导致了一些严重的风险,但遵循此政策的开发人员表示他们出于安全原因实施了该策略。他们提出了不少论点,今天,我们将剖析最受欢迎的论点,看看它们有多么无效。
- 无粘贴规则可防止暴力攻击和字典攻击。
从理论上讲,您可以通过导航到目标登录页面并尝试大量不同的密码来执行暴力攻击 ,直到您猜对了。然而,在现实世界中,这种情况并不经常发生。虽然您可以编写自动工具来填充字段中的所有不同密码,但黑客很少这样做,因为负责的开发人员不会让您进行无限次的登录尝试来自同一个IP. 在任何情况下,犯罪分子都有许多其他破解密码的方法,而且通常情况下,他们根本不涉及登录表单。 - 敏感数据不应留在剪贴板中。
您可能知道,当您复制某些内容时,无论是密码还是文件,数据都会放在设备的剪贴板中,直到它被其他信息覆盖或清除。您可能还听说有恶意软件应用程序可以刮掉剪贴板。这就是为什么,一些网站运营商会告诉你,如果你的密码在剪贴板中,它可能落入坏人之手,他们说,这是实施无粘贴规则的充分理由。麻烦的是,如果你的设备被恶意软件感染,所述规则可能根本不会阻止骗子获取密码,因为几乎所有可以抓取剪贴板的恶意应用程序也可以记录所有击键。其中一些还可以截取屏幕截图,这意味着即使屏幕键盘也无法帮助您。此外,你通常不明白粘贴是被禁用的,直到你已经复制了你的密码,这意味着它现在在剪贴板中,恶意应用程序可以窃取它。如果涉及物理访问,剪贴板参数可能只是有点更多的水。但是,有很多先决条件。首先,您必须做一些您不应该做的事情:将密码存储在纯文本文件中,从中复制并粘贴它们。正如我们已经提到的那样,当你复制一条信息时,即使你粘贴它也会留在剪贴板中,这意味着如果你让你的计算机无人看管(你不应该做另一件事),有人可能会打开记事本,按ctrl + v并获取上次复制的密码。如果您使用密码管理器,这不是您应该担心的事情。良好的密码管理应用程序在粘贴所需信息后不久就会清除剪贴板,而Cyclonis密码管理器等部分会在一段时间不活动后自动将您从帐户中注销,以保护您免受物理访问PC的人的侵害。 - 安全证书。
我们时不时地看到这一个。一位安全专家发现一个不允许密码粘贴的供应商,并在Twitter上调用它们。该供应商的社交媒体团队回应说,如果他们允许粘贴,他们将丢失他们投入的安全证书,并且整个通信都被“抱歉给您带来不便”的消息所包裹。我们已经看到没有可行的理由禁用粘贴功能,我们也看到它实际上恶化了用户的安全性而不是改进它。可以说,如果你需要禁用密码粘贴以获得安全证书,那么没有该证书你会更好。
开发人员(以及雇用他们的人)往往很难理解我们在这个时代所面临的网络安全问题。他们希望保护用户的安全,但有时,他们缺乏知识会导致可怕的结果。不粘贴规则就是一个很好的例子。