Varför maskerar du lösenordsfältet?
 

Egentligen, varför gör man detta? Det är ju bara jobbigt för användaren att inte kunna se eventuella felskrivningar.

Vad är din åsikt?

För att någon som kikar över axeln inte ska se ditt lösenord.. För mig finns inget värre än lösenordsrutor i klartext.. ush!

Var detta en seriös fråga?

Sitter du alltid ensam framför datorn?

Min åsikt är att detta är en ganska idiotisk fråga. Om du inte kan skriva in över 20 tecken per sekund så kommer jag att se ditt lösenord om jag kollar när du loggar in från valfri publik plats. Detta kan leda till väldigt många dåliga händelser.

* För att jag vill ha mitt privatliv för mig själv, ingen annan har något med det att göra.
* För att jag inte vill att någon annan ska kunna handla från något ställe där jag är medlem.
* För att jag inte har lust att bli stämd för att jag brutit mot standard regleringar för säkerhet
* För att inte få en massor av problem med elaka människor som gillar att skicka skamlösa sex förslag till alla möjliga vänner.

Finns nästan hur många argument som helst för att värna om säkerheten. Att inte försöka sträva efter så bra säkerhet som möjligt är idiotiskt. En del användare (de flesta) har till och med samma lösenord till flera sidor.

Hur ofta loggar ni in där det finns någon som kikar över axeln?

Edit: och varför kan denne någon inte lika gärna titta på tangentbordet när du skriver?

Om man har ett lösenord av skälig längd så är det mer eller mindre hopplöst att lista ut lösenordet genom att titta på tangentbordet.

Det är inte jag som kom på iden att ta bort maskeringen, men jag måste säga att jag håller med.

Varje dag.

Man hinner inte se när jag skriver. Bara puckon har vanliga ord som lösenord.

Det märks att Jakob Nielsen inte jobbat med IT-säkerhet, hade han gjort det han han nog inte förslagit detta. Han jobbar med användarvänlighet: http://www.useit.com/jakob/

Fält som är "password"-definerade skyddar även mot CTRL+C.

Jag är helt klart för att behålla maskeringen av lösenord. För min del händer det dagligen att jag loggar in med folk omkring mig.

Användarvänlighet och säkerhet är inte bästa vänner. T.ex:
Med Captch - Ingen spam, dålig användarvänlighet
Utan Captcha - Massor spam, användarvänligt

För övrigt skriver han:
"Password masking has proven to be a particularly nasty usability problem in our testing of mobile devices"

Mobila enheter, större risk att skriva fel, samt mindre risk att någon kan läsa lösenordet på den lilla skärmen. Har inte läst hela texten, reagerade på detta när jag skummade igenom.

Men hela säkerhetsargumentet kan ju elimineras med en enkel toggle. Detta slängde jag ihop på 5 minuter.

Jag skulle tro att >90% av alla inloggningar sker där ingen risk för snooping föreligger, och för många "hobbysurfare" är denna siffra 100%.

Enligt mig finns inga hållbara argument att behålla en strikt maskning av lösenord, utom möjligtvis för extrema tillämpningar, men det är som alltid en fråga om personligt tycke och smak.

I dagens läge har i princip alla webbläsare en inbyggd "Remember password" funktion, då kan slutanvändaren själv välja vilka sidor som skall ha lösenordet ifyllt automatiskt. Det är mkt enklare och bättre. Jag skriver aldrig in lösenord på några "oviktiga" sidor, utan då använder jag webbläsarens kom-ihåg-funktion. På inloggningar av typen bank/webmail/paypal skriver jag alltid in lösenordet själv, då ska man naturligtvis ha ett annat lösenord för det känsliga inloggningarna.

Så visst beror det på vilken sida man besöker, som en vanlig standard-användare på ett forum är det väl inte lika viktigt med password masking.

Det finns ju en variant på maskningen, att maska allt förutom sista tecknet:
http://css-tricks.com/better-passwor...-iphone-style/

Det var två ganska kul lösningar, men jag fattar inte hur det är bättre att flasha tecken för tecken med stor font brevid lösenordsfältet, även om det ser coolt ut?

Den andra är bättre, där läsbarheten från mer än ett par meter borde vara nära noll för det nakna ögat.

Jag föredrar nog "min" lösning då den är betydligt mer light-weight, även om de du länkade till är elegantare.

Den här remember password funktionen är nog skulle jag tro en lika stor eller större säkerhetsrisk än omaskerade lösenord. Men visst är det bekvämt. Tills någon obehörig kommer åt din dator.

? Läs mitt inlägg igen, jag skrev att det bara är oviktiga lösenord som sparas.

Sen kan man i Firefox sätta ett master password, så behöver man bara komma igång ett lösenord.

Det skulle även förstöra webbläsares "kom ihåg lösenord"-funktion. Den kollar efter ett form med ett password-field i. Finns inte det behandlas det inte som en inloggning.

Nä, använd type="password"!

En annan sak med att om den förstör webbläsarens "kom ihåg lösenord"-funktion är att då är folk benägna att ta och välja ett simplare lösenord med. Vilket gör att det är större sannolikhet att man kan gissa sig till lösenordet.

Själv använder jag slumpgenererade lösenord mha Keepass (http://keepass.info) till allt. Även "oviktiga" siter och där tillåter jag webbläsaren att spara lösenorden. Men om inte funktionen för att spara lösenordet skulle finnas så skulle jag troligen inte använda mig av så komplicerade lösenord utan som majoriteten av folket på nätet ett och samma simpla lösenord till allt.

Läste om Nielsen igår och måste säga att jag tycker han har en poäng, även om det givetvis finns mycket problem (som bl.a. nämnts tidigare i tråden) däremot undrar jag varför min bank, ska envisas med att input-fältet för min engångskod (som jag har på papper) måste vara maskat. Finns det någon tanke bakom det?

Troligen för att du inte kan copy-pastea lösenordsfält. Och en engångskod är ju annars något som man gärna skulle vilja manipulera med hjälp av xss eller liknande. Tänk vad roligt man kunde ha som ondsint människa ifall man lyckades kopiera de fälten rätt och slätt för att de inte är av typen password.

Även om man måhända i dagsläget kan komma kring det genom att installera en keyloggande trojan eller så på offrets dator men inte slutar du låsa dörren där hemma för att det är lätt att bryta upp ditt lås?

Högerklicka på fältet -> "Inspect element", då får du fram det i firebug. Sedan petar du in ett nytt id, typ "h4x" eller något sånt. Sen skriver du i konsollen:
Vips har du vad som nu stod där. Annars kan man ju i firebug byta type till "text".
Kan göra sjukt mycket med hjälp av firebug.

Jag tror iofs att dom flesta här redan förstår att det går att kringå password fältet på X antal olika sätt, t.ex med en rad javascript i URL-fältet, Firebug behövs ej då.

IT-säkerhet handlar mkt om att försvåra för informationsstöld, bara för att en funktion inte ger ett totalt skydd innebär det inte att man ska strunta i att lägga in den.

Säkerhetsgurun Bruce Schneier har skrivit om detta:

http://www.schneier.com/blog/archive...os_and_co.html

Givetvis ska man inte strunta i den, men för dem som kanske inte vet är det bra att tala om hur man går förbi något så dem förstår ungefär vad det skyddar mot.

OT: Nu blir jag ju sugen på att koda ihop säkraste möjliga inloggningssystemet....

Japp, Schneier har tappat stinget de senaste åren, han har gjort en del andra dumma uttalanden också, men det var bra att han erkände att han hade fel i alla fall.

Inte för att klaga men jag är själv utvecklare men anser ändå att användarvänlighet är bland det absolut viktigaste i det yrket. Trots det ser jag det inte som särskilt användarvänligt att använda klartext för lösenord. De risker det resulterar i ställer till betydligt mer besvär för användarna än nyttan av att se lösenordet i klartext.

Jag håller med dig, det är extremt viktigt med användarvänlighet, men just i detta fall ställer förslaget till med mer skada än nytta. Dessutom klarar moderna webbläsare av lösenordhanteringen själva, om användaren önskar ett enklare sätt att logga in.

En annan sak; hur många har inte varit irriterade på att fokus sätts på username-fältet när sidan har laddats klart? Börjar man skriva passwordet (innan allt på sidan är laddat) och har ögonen på tangentbordet så ser man inte att man helt plötsligt skriver i klartext i username-fältet. Extra rolig blir det när man ska logga in under ett möte med projektorn igång... :(

+1 på den, FRUKTANSVÄRT IRRITERANDE...
Därför sätter jag ALDRIG fokus på något via pageload.

Det finns ett tillägg till firefox som gör att alla maskerade lösenord syns i klartext, väldigt skönt då jag ändå sitter ensam.

Jag ser inte ens en hemsida som säker ifall lösenordsfältet inte är maskat.