HTML -禁用密码管理器

zzlelutf 于 2022-12-16 发布在其他

关注(0)|答案(6)|浏览(172)

我们的安全团队要求我们禁用HTML表单上受保护字段的密码管理器。作为一个例子，下面是一个过于简化的HTML表单。当我点击提交按钮时，firefox（版本51.0.1）弹出密码管理器。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
"http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
</head>
<body>
    <form name="testform" action="disable-pwd-mgr.htm" method="post"
        autocomplete="off">

        <label for="protected-input">Protected Input</label> 
        <input type="password" size="16" maxlength="16" id="protected-input"  name="protected-input" accept="numbers" />
        <input type="password" id="disable-pwd-mgr-1" style="display: none;" value="stop-pwd-mgr-1"/>
        <input type="password" id="disable-pwd-mgr-2" style="display: none;" value="stop-pwd-mgr-2"/>

        <button name="next" id="next" type="submit" value="Next">
            NEXT
        </button>

    </form>
</body>
</html>

请注意，建议的所有替代方案here都不起作用。

1.自动完成=关闭不起作用。
1.有另一个隐藏的输入字段类型密码没有工作。
使用两个单独的附加隐藏密码输入，每个都有不同的伪值，似乎适用于用户在受保护字段中实际输入值并单击submit的情况，但如果字段为空并单击submit按钮，密码管理器会再次弹出。有趣的是chrome（55版）根本不会弹出密码管理器，这很好，有人有更好的解决这个问题的办法吗？

Html

来源：https://stackoverflow.com/questions/41945535/html-disable-password-manager

6条答案

按热度按时间

dy2hfwbg1#

只是想补充一下，包括：

data-lpignore="true"

将禁用该字段上的最后一次传递。不确定其他密码管理器是否有类似的功能。

赞(0）回复(0）举报 2022-12-16

d4so4syb2#

这在当前的Firefox（51）、Chrome（55）、Edge（38）和IE（11）中有效：
使用三个不同的隐藏密码输入，有三个不同的值。这似乎阻止了浏览器激活密码管理器，因为它无法猜测三个值中的哪一个是要使用的新密码。

<form name="testform" action="index" method="post"
      autocomplete="off">

    <input name="disable-pwd-mgr-1" type="password" id="disable-pwd-mgr-1" style="display: none;" value="disable-pwd-mgr-1" />
    <input name="disable-pwd-mgr-2" type="password" id="disable-pwd-mgr-2" style="display: none;" value="disable-pwd-mgr-2" />
    <input name="disable-pwd-mgr-3" type="password" id="disable-pwd-mgr-3" style="display: none;" value="disable-pwd-mgr-3" />

    <label for="protected-input">Protected Input</label>
    <input autocomplete="aus" type="password" size="16" maxlength="16" id="protected-input" name="protected-input" accept="numbers" />

    <button name="next" id="next" type="submit" value="Next">
        NEXT
    </button>
</form>

在过去的几年里，浏览器制造商已经开始忽略密码表单的“autocomplete=off“选项。例如，请参阅Firefox的更改问题。
理由很简单：许多网站基于对安全性的错误理解，希望禁用登录表单的自动完成功能。允许用户将密码存储在安全的密码管理器中（如当前浏览器所提供的）并不存在安全风险。事实上，它允许用户在不同的网站上使用安全和单独的密码，从而有助于安全性。
所以，不要试图禁用浏览器密码管理器，因为你认为这会增加用户的安全性，它没有。
在某些情况下，你可能不希望密码管理器弹出，例如，因为输入的密码是一次性密码或tan，第二次就没用了。但在一次性密码/ tan的情况下，为什么要使用密码输入呢？使用普通的输入就可以了。
Discussion on the issue on Security Stackexchange

赞(0）回复(0）举报 2022-12-16

jucafojl3#

现代浏览器在输入密码字段上支持autocomplete="new-password"，但IE不支持。
有关浏览器支持，请参阅：https://developer.mozilla.org/en-US/docs/Web/HTML/Attributes/autocomplete

赞(0）回复(0）举报 2022-12-16

fjaof16o4#

一些浏览器可能会在输入字段本身上使用autocomplete="off"：

<form name="testform" action="disable-pwd-mgr.htm" method="post"
    autocomplete="off">

    <label for="protected-input">Protected Input</label> 
    <input type="password" size="16" maxlength="16" id="protected-input" accept="numbers" autocomplete="off" />
    <input type="password" id="disable-pwd-mgr-1" style="display: none;" value="stop-pwd-mgr-1"/>
    <input type="password" id="disable-pwd-mgr-2" style="display: none;" value="stop-pwd-mgr-2"/>

    <button name="next" id="next" type="submit" value="Next">
        NEXT
    </button>
</form>

然而，在实践中，浏览器（和扩展）经常会忽略这个指令。

赞(0）回复(0）举报 2022-12-16

2w3kk1z55#

简单的黑客攻击（2022年2月）

我尝试了许多解决方案没有工作，简单的黑客是
1.使用text-security-disc作为font-family，将文本字段的字体显示为disc
1.使用webkit-text-security CSS属性（目前它仅适用于Chrome，我们可以将其用作text-security-disc字体的后备）

示例

<input type="text" name="password" class="password">

<style>
@font-face{
  font-family: text-security-disc;
  src: url("https://raw.githubusercontent.com/noppa/text-security/master/dist/text-security-disc.woff");
}
.password{
  -webkit-text-security: disc;
  font-family: text-security-disc;
}
</style>

在上面的例子中，-webkit-text-security: disc;被用作font-family: text-security-disc的后备。因此，如果text-security-disc不可用，则-webkit-text-security: disc;将工作。
祝你好运👍

赞(0）回复(0）举报 2022-12-16

3mpgtkmj6#

截至2022年10月11日，这些功能均不起作用-如果通过显示屏隐藏，则额外的密码字段：无;或可见性：隐藏;被最后一遍忽略。
我所做的就是在一个假密码字段中添加以下内容

<input id="disable_autofill1" name="disable_autofill1" 
  style="height:0; width:0; background:transparent;
         border:none;padding:0.3px;margin:0;display:block;" 
type="password">

这似乎足以最小化这个元素在屏幕上的大小（对我来说几乎是0），同时仍然不会触发最后一遍的恶性算法。我把它放在我真实的的密码字段之前，这甚至不是网站的正确“密码”字段，但无论如何都会被检测为一个。

赞(0）回复(0）举报 2022-12-16

我来回答

HTML -禁用密码管理器

6条答案

简单的黑客攻击（2022年2月）

示例

相关问题

热门标签

最新问答