[ejick]

Läste om Nielsen igår och måste säga att jag tycker han har en poäng, även om det givetvis finns mycket problem (som bl.a. nämnts tidigare i tråden) däremot undrar jag varför min bank, ska envisas med att input-fältet för min engångskod (som jag har på papper) måste vara maskat. Finns det någon tanke bakom det?

[WoxAnYv]

Citat:

Ursprungligen postat av ejick

Läste om Nielsen igår och måste säga att jag tycker han har en poäng, även om det givetvis finns mycket problem (som bl.a. nämnts tidigare i tråden) däremot undrar jag varför min bank, ska envisas med att input-fältet för min engångskod (som jag har på papper) måste vara maskat. Finns det någon tanke bakom det?

Troligen för att du inte kan copy-pastea lösenordsfält. Och en engångskod är ju annars något som man gärna skulle vilja manipulera med hjälp av xss eller liknande. Tänk vad roligt man kunde ha som ondsint människa ifall man lyckades kopiera de fälten rätt och slätt för att de inte är av typen password.

Även om man måhända i dagsläget kan komma kring det genom att installera en keyloggande trojan eller så på offrets dator men inte slutar du låsa dörren där hemma för att det är lätt att bryta upp ditt lås?

[crazzy]

Citat:

Ursprungligen postat av WoxAnYv

Troligen för att du inte kan copy-pastea lösenordsfält. Och en engångskod är ju annars något som man gärna skulle vilja manipulera med hjälp av xss eller liknande. Tänk vad roligt man kunde ha som ondsint människa ifall man lyckades kopiera de fälten rätt och slätt för att de inte är av typen password.

Högerklicka på fältet -> "Inspect element", då får du fram det i firebug. Sedan petar du in ett nytt id, typ "h4x" eller något sånt. Sen skriver du i konsollen:

Kod:

alert(document.getElementById('h4x').value);

Vips har du vad som nu stod där. Annars kan man ju i firebug byta type till "text".
Kan göra sjukt mycket med hjälp av firebug.

[JLE]

Säkerhetsgurun Bruce Schneier har skrivit om detta:

http://www.schneier.com/blog/archive...os_and_co.html

[SimonP]

Citat:

Ursprungligen postat av JLE

Säkerhetsgurun Bruce Schneier har skrivit om detta:

http://www.schneier.com/blog/archive...os_and_co.html

Japp, Schneier har tappat stinget de senaste åren, han har gjort en del andra dumma uttalanden också, men det var bra att han erkände att han hade fel i alla fall.

Citat:

So was I wrong? Maybe. Okay, probably. Password masking definitely improves security

[Robert]

En annan sak; hur många har inte varit irriterade på att fokus sätts på username-fältet när sidan har laddats klart? Börjar man skriva passwordet (innan allt på sidan är laddat) och har ögonen på tangentbordet så ser man inte att man helt plötsligt skriver i klartext i username-fältet. Extra rolig blir det när man ska logga in under ett möte med projektorn igång...

[crazzy]

Citat:

Ursprungligen postat av Robert

En annan sak; hur många har inte varit irriterade på att fokus sätts på username-fältet när sidan har laddats klart? Börjar man skriva passwordet (innan allt på sidan är laddat) och har ögonen på tangentbordet så ser man inte att man helt plötsligt skriver i klartext i username-fältet. Extra rolig blir det när man ska logga in under ett möte med projektorn igång...

+1 på den, FRUKTANSVÄRT IRRITERANDE...
Därför sätter jag ALDRIG fokus på något via pageload.

[rocky]

Det finns ett tillägg till firefox som gör att alla maskerade lösenord syns i klartext, väldigt skönt då jag ändå sitter ensam.

[kalasboll]

Jag ser inte ens en hemsida som säker ifall lösenordsfältet inte är maskat.