Deaktivieren Sie die Browser-Funktion "Passwort speichern"

Eine der Freuden bei der Arbeit für eine staatliche Gesundheitsbehörde ist es, mit all der Paranoia im Umgang mit PHI (Protected Health Information) fertig zu werden. Versteh mich nicht falsch, ich bin alles dafür, alles zu tun, um die persönlichen Daten der Menschen (Gesundheit, Finanzen, Surfgewohnheiten usw.) zu schützen, aber manchmal werden die Leute etwas zu nervös.

Ein typisches Beispiel: Einer unserer staatlichen Kunden hat kürzlich herausgefunden, dass der Browser die praktische Funktion zum Speichern Ihres Passworts bietet. Wir alle wissen, dass es schon eine Weile da ist und völlig optional ist und es dem Endbenutzer überlassen bleibt, zu entscheiden, ob es eine kluge Entscheidung ist, es zu verwenden oder nicht. Im Moment herrscht jedoch ein gewisser Aufruhr, und wir werden aufgefordert, einen Weg zu finden, um diese Funktionalität für unsere Website zu deaktivieren.

Frage : Gibt es eine Möglichkeit für eine Website, den Browser anzuweisen, keine Passwörter zu speichern? Ich habe mich schon lange mit Webentwicklung beschäftigt, weiß aber nicht, dass ich darauf schon einmal gestoßen bin.

Jede Hilfe wird geschätzt.

Ich bin nicht sicher, ob es in allen Browsern funktioniert, aber Sie sollten versuchen, autocomplete = "off" im Formular zu setzen.

<form id="loginForm" action="login.cgi" method="post" autocomplete="off">

Die einfachste und einfachste Möglichkeit, die Eingabeaufforderungen für die Formular- und Kennwortspeicherung zu deaktivieren und zu verhindern, dass Formulardaten im Sitzungsverlauf zwischengespeichert werden, besteht darin, das Attribut für die automatische Vervollständigung des Formularelements mit dem Wert "off" zu verwenden.

Von http://developer.mozilla.org/En/How_to_Turn_Off_Form_Autocompletion

Einige kleinere Untersuchungen zeigen, dass dies im IE funktioniert, aber ich werde keine Garantien hinterlassen;)

@Joseph : Wenn es eine strikte Anforderung ist, die XHTML-Validierung mit dem tatsächlichen Markup zu bestehen (ich weiß nicht, warum das so ist), können Sie dieses Attribut theoretisch später mit Javascript hinzufügen, aber dann Benutzer mit deaktiviertem js (wahrscheinlich eine vernachlässigbare Menge Ihrer Benutzerbasis) oder Null, wenn Ihre Site js benötigt) werden ihre Passwörter weiterhin gespeichert.

Beispiel mit jQuery:

$('#loginForm').attr('autocomplete', 'off');

Zusätzlich zu

autocomplete="off"

Verwenden

readonly onfocus="this.removeAttribute('readonly');"

für die Eingaben, an die sie sich keine Formulardaten ( usw.) erinnern usernamesollen password, wie unten gezeigt:

<input type="text" name="UserName" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

<input type="password" name="Password" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

Getestet auf die neuesten Versionen der gängigen Browser , dh Google Chrome, Mozilla Firefox, Microsoft Edgeetc. und funktioniert wie ein Zauber. Hoffe das hilft.

Ich hatte eine Weile mit diesem Problem zu kämpfen, mit einer einzigartigen Wendung des Problems. Privilegierte Benutzer konnten die gespeicherten Passwörter nicht für sie verwenden, aber normale Benutzer benötigten sie. Dies bedeutete, dass sich privilegierte Benutzer zweimal anmelden mussten, das zweite Mal, dass keine gespeicherten Passwörter erzwungen wurden.

Mit dieser Anforderung autocomplete="off"funktioniert die Standardmethode nicht in allen Browsern, da das Kennwort möglicherweise beim ersten Anmelden gespeichert wurde. Ein Kollege hat eine Lösung gefunden, um das Kennwortfeld zu ersetzen, wenn es durch ein neues Kennwortfeld fokussiert wurde, und sich dann auf das neue Kennwortfeld zu konzentrieren (und dann denselben Ereignishandler anzuschließen). Dies funktionierte (außer es verursachte eine Endlosschleife in IE6). Vielleicht gab es einen Ausweg, aber es verursachte mir eine Migräne.

Schließlich habe ich versucht, nur den Benutzernamen und das Passwort außerhalb des Formulars zu haben. Zu meiner Überraschung hat das funktioniert! Es funktionierte unter IE6 und aktuellen Versionen von Firefox und Chrome unter Linux. Ich habe es nicht weiter getestet, aber ich vermute, dass es in den meisten, wenn nicht allen Browsern funktioniert (aber es würde mich nicht überraschen, wenn es einen Browser gäbe, dem es egal wäre, wenn es kein Formular gäbe).

Hier ist ein Beispielcode zusammen mit jQuery, damit es funktioniert:

<input type="text" id="username" name="username"/>
<input type="password" id="password" name="password"/>

<form id="theForm" action="/your/login" method="post">
  <input type="hidden" id="hiddenUsername" name="username"/>
  <input type="hidden" id="hiddenPassword" name="password"/>
  <input type="submit" value="Login"/>
</form>

<script type="text/javascript" language="JavaScript">
  $("#theForm").submit(function() {
    $("#hiddenUsername").val($("#username").val());
    $("#hiddenPassword").val($("#password").val());
  });
  $("#username,#password").keypress(function(e) {
    if (e.which == 13) {
      $("#theForm").submit();
    }
  });
</script>

Nun, es ist ein sehr alter Beitrag, aber ich werde trotzdem meine Lösung geben, die mein Team schon lange zu erreichen versucht hatte. Wir haben gerade ein neues Feld für den Eingabetyp = "Passwort" in das Formular eingefügt und es in div eingeschlossen und das div ausgeblendet. Stellen Sie sicher, dass dieses div vor der eigentlichen Passworteingabe steht. Dies funktionierte für uns und es gab keine Option zum Speichern des Passworts

Plunk - http://plnkr.co/edit/xmBR31NQMUgUhYHBiZSg?p=preview

HTML:

<form method="post" action="yoururl">
      <div class="hidden">
        <input type="password"/>
      </div>
      <input type="text" name="username" placeholder="username"/>
      <input type="password" name="password" placeholder="password"/>
    </form>

CSS:

.hidden {display:none;}

Sie können verhindern, dass der Browser mit den Formularen übereinstimmt, indem Sie den Namen, der für das Kennwortfeld in jeder Show verwendet wird, zufällig auswählen. Dann sieht der Browser ein Passwort für dieselbe URL, kann jedoch nicht sicher sein, ob es dasselbe Passwort ist . Vielleicht kontrolliert es etwas anderes.

Update: Beachten Sie, dass dies zusätzlich zur Verwendung der automatischen Vervollständigung oder anderer Taktiken und nicht als Ersatz für diese aus den von anderen angegebenen Gründen erfolgen sollte.

Beachten Sie auch, dass dies nur verhindert, dass der Browser das Kennwort automatisch vervollständigt . Es wird nicht verhindert, dass das Kennwort in einer beliebigen willkürlichen Sicherheitsstufe gespeichert wird, die der Browser verwendet.

Verwenden Sie eine echte Zwei-Faktor-Authentifizierung , um die alleinige Abhängigkeit von Kennwörtern zu vermeiden, die möglicherweise an viel mehr Orten als im Browser-Cache des Benutzers gespeichert sind.

Der sauberste Weg ist die Verwendung des autocomplete="off"Tag-Attributs, aber Firefox befolgt es nicht richtig, wenn Sie Felder mit Tab wechseln.

Die einzige Möglichkeit, dies zu stoppen, besteht darin, ein falsches verstecktes Kennwortfeld hinzuzufügen, das den Browser dazu verleitet, das Kennwort dort aufzufüllen.

<input type="text" id="username" name="username"/>
<input type="password" id="prevent_autofill" autocomplete="off" style="display:none" tabindex="-1" />
<input type="password" id="password" autocomplete="off" name="password"/>

Es ist ein hässlicher Hack, weil Sie das Browserverhalten ändern, was als schlechte Praxis angesehen werden sollte. Verwenden Sie es nur, wenn Sie es wirklich brauchen.

Hinweis: Dadurch wird das automatische Ausfüllen von Kennwörtern effektiv gestoppt, da FF den Wert von #prevent_autofill(der leer ist) "speichert" und versucht, alle gespeicherten Kennwörter dort aufzufüllen, da immer die erste type="password"Eingabe verwendet wird, die im DOM nach dem jeweiligen "Benutzernamen" gefunden wird. Eingang.

Ich habe getestet, dass das Hinzufügen von autocomplete = "off" im Formular-Tag in allen gängigen Browsern erfolgt. Tatsächlich verwenden die meisten Menschen in den USA bisher IE8.

1. IE8, IE9, IE10, Firefox, Safari funktionieren einwandfrei.

   Browser fragt nicht nach "Passwort speichern". Außerdem wurden zuvor gespeicherte Benutzernamen und Passwörter nicht ausgefüllt.

2. Chrome & IE 11 unterstützen die Funktion "Autocomplete =" off "nicht
3. FF unterstützt die automatische Vervollständigung = "aus". Manchmal werden jedoch vorhandene gespeicherte Anmeldeinformationen ausgefüllt.

Aktualisiert am 11. Juni 2014

Im Folgenden finden Sie eine browserübergreifende Lösung mit Javascript, die in allen Browsern einwandfrei funktioniert.

Das "Formular" -Tag muss im Anmeldeformular entfernt werden. Legen Sie diese Anmeldeinformationen nach der clientseitigen Überprüfung in versteckter Form ab und senden Sie sie ab.

Fügen Sie außerdem zwei Methoden hinzu. eine zur Validierung "validateLogin ()" und eine andere zum Abhören des Enter-Ereignisses, während Sie in das Textfeld / Passwort / die Schaltfläche "checkAndSubmit ()" auf "Enter" klicken. Da das Anmeldeformular jetzt kein Formular-Tag hat, geben Sie hier ein Ereignis ein, das nicht funktioniert.

HTML

<form id="HiddenLoginForm" action="" method="post">
<input type="hidden" name="username" id="hidden_username" />
<input type="hidden" name="password" id="hidden_password" />
</form>

Username: <input type="text" name="username" id="username" onKeyPress="return checkAndSubmit(event);" /> 
Password: <input type="text" name="password" id="password" onKeyPress="return checkAndSubmit(event);" /> 
<input type="button" value="submit" onClick="return validateAndLogin();" onKeyPress="return checkAndSubmit(event);" /> 

Javascript

//For validation- you can modify as you like
function validateAndLogin(){
  var username = document.getElementById("username");
  var password = document.getElementById("password");

  if(username  && username.value == ''){
    alert("Please enter username!");
    return false;
  }

  if(password && password.value == ''){
    alert("Please enter password!");
    return false;
  }

  document.getElementById("hidden_username").value = username.value;
  document.getElementById("hidden_password").value = password.value;
  document.getElementById("HiddenLoginForm").submit();
}

//For enter event
function checkAndSubmit(e) {
 if (e.keyCode == 13) {
   validateAndLogin();
 }
}

Viel Glück!!!

Nicht wirklich - das einzige, was Sie realistisch tun können, ist, auf der Website Ratschläge zu geben. Möglicherweise können Sie ihnen vor der ersten Anmeldung ein Formular mit Informationen anzeigen, aus denen hervorgeht, dass nicht empfohlen wird, dass der Browser das Kennwort speichert.

Dann folgt der Benutzer sofort dem Rat, schreibt das Passwort auf eine Haftnotiz und klebt es auf seinen Monitor.

Was ich getan habe, ist eine Kombination aus Autocomplete = "off" und Löschen von Passwortfeldern mit einem Javascript / jQuery.

jQuery Beispiel:

$(function() { 
    $('#PasswordEdit').attr("autocomplete", "off");
    setTimeout('$("#PasswordEdit").val("");', 50); 
});

Wenn setTimeout()Sie verwenden, können Sie warten, bis der Browser das Feld ausgefüllt hat, bevor Sie es löschen. Andernfalls wird der Browser nach dem Löschen des Felds immer automatisch vervollständigt.

Wenn autocomplete = "off" nicht funktioniert ... entfernen Sie das Formular-Tag und verwenden Sie stattdessen ein div-Tag. Übergeben Sie dann die Formularwerte mit jquery an den Server. Das hat bei mir funktioniert.

Da autocomplete = "off" für Kennwortfelder nicht funktioniert, muss man sich auf Javascript verlassen. Hier ist eine einfache Lösung, die auf den hier gefundenen Antworten basiert.

Fügen Sie Ihrem Passwortfeld das Attribut data-password-autocomplete = "off" hinzu:

<input type="password" data-password-autocomplete="off">

Schließen Sie das folgende JS ein:

$(function(){
    $('[data-password-autocomplete="off"]').each(function() {
        $(this).prop('type', 'text');
        $('<input type="password"/>').hide().insertBefore(this);
        $(this).focus(function() {
            $(this).prop('type', 'password');
        });
    });     
});

Diese Lösung funktioniert sowohl für Chrome als auch für FF.

Nur damit die Leute erkennen, dass das Attribut "Autocomplete" die meiste Zeit funktioniert, aber Power-User können es mithilfe eines Lesezeichens umgehen.

Wenn ein Browser Ihre Passwörter speichert, erhöht sich der Schutz vor Keylogging. Daher ist es möglicherweise am sichersten, Passwörter im Browser zu speichern, sie jedoch mit einem Hauptkennwort zu schützen (zumindest in Firefox).

Ich habe eine Lösung, die helfen kann.

Sie könnten einen benutzerdefinierten Font-Hack durchführen. Erstellen Sie also eine benutzerdefinierte Schriftart, bei der alle Zeichen beispielsweise als Punkt / Kreis / Stern angezeigt werden. Verwenden Sie dies als benutzerdefinierte Schriftart für Ihre Website. Überprüfen Sie, wie Sie dies in inkscape tun: So erstellen Sie Ihre eigene Schriftart

Verwenden Sie dann in Ihrem Anmeldeformular:

<form autocomplete='off'  ...>
   <input type="text" name="email" ...>
   <input type="text" name="password" class="password" autocomplete='off' ...>
   <input type=submit>
</form>

Dann fügen Sie Ihre CSS hinzu:

@font-face {
    font-family: 'myCustomfont';
    src: url('myCustomfont.eot');
    src: url('myCustomfont?#iefix') format('embedded-opentype'),
         url('myCustomfont.woff') format('woff'),
         url('myCustomfont.ttf') format('truetype'),
         url('myCustomfont.svg#myCustomfont') format('svg');
    font-weight: normal;
    font-style: normal;

}
.password {
  font-family:'myCustomfont';
}

Ziemlich browserübergreifend kompatibel. Ich habe IE6 +, FF, Safari und Chrome ausprobiert. Stellen Sie einfach sicher, dass die von Ihnen konvertierte OET-Schriftart nicht beschädigt wird. Ich hoffe es hilft?

Die einfachste Möglichkeit, dieses Problem zu lösen, besteht darin, INPUT-Felder außerhalb des FORM-Tags zu platzieren und zwei ausgeblendete Felder innerhalb des FORM-Tags hinzuzufügen. Dann in einem Submit-Ereignis-Listener, bevor die Formulardaten an den Server gesendet werden, kopieren Sie die Werte von der sichtbaren Eingabe in die unsichtbaren.

Hier ist ein Beispiel (Sie können es hier nicht ausführen, da die Formularaktion nicht auf ein echtes Anmeldeskript festgelegt ist):

<!doctype html>
<html>
<head>
  <title>Login & Save password test</title>
  <meta charset="utf-8">
  <script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.2/jquery.min.js"></script>
</head>

  <body>
      <!-- the following fields will show on page, but are not part of the form -->
      <input class="username" type="text" placeholder="Username" />
      <input class="password" type="password" placeholder="Password" />

      <form id="loginForm" action="login.aspx" method="post">
        <!-- thw following two fields are part of the form, but are not visible -->
        <input name="username" id="username" type="hidden" />
        <input name="password" id="password" type="hidden" />
        <!-- standard submit button -->
        <button type="submit">Login</button>
      </form>

    <script>
      // attache a event listener which will get called just before the form data is sent to server
      $('form').submit(function(ev) {
        console.log('xxx');
        // read the value from the visible INPUT and save it to invisible one
        // ... so that it gets sent to the server
        $('#username').val($('.username').val());
        $('#password').val($('.password').val());
      });
    </script>

  </body>
</html>

Meine Problemumgehung für js (jquery) besteht darin , den Typ der Passworteingabe in Text auf dem Formular zu ändern . Das Passwort könnte für eine Sekunde sichtbar werden, daher verstecke ich auch die Eingabe kurz davor. Ich würde dies lieber nicht für Anmeldeformulare verwenden , aber es ist nützlich (zusammen mit autocomplete = "off"), zum Beispiel innerhalb des Verwaltungsteils der Website.

Versuchen Sie, dies in eine Konsole (mit jquery) zu stellen, bevor Sie das Formular senden.

$('form').submit(function(event) {
    $(this).find('input[type=password]').css('visibility', 'hidden').attr('type', 'text');
});

Getestet auf Chrome 44.0.2403.157 (64-Bit).

Ich habe viele Lösungen getestet. Name des dynamischen Kennwortfelds, mehrere Kennwortfelder (für gefälschte nicht sichtbar), Änderung des Eingabetyps von "Text" in "Kennwort", automatische Vervollständigung = "Aus", automatische Vervollständigung = "Neues Kennwort", ... aber nichts hat es mit den letzten gelöst Browser.

Um das Passwort loszuwerden, habe ich das Passwort schließlich als Eingabefeld behandelt und den eingegebenen Text "verwischt".

Es ist weniger "sicher" als ein natives Kennwortfeld, da durch Auswahl des eingegebenen Textes dieser als Klartext angezeigt wird, das Kennwort jedoch nicht gespeichert wird. Es hängt auch davon ab, ob Javascript aktiviert ist.

Sie haben das Risiko geschätzt, die unten stehende Option zum Speichern des Kennworts im Navigator zu verwenden.

Während das Speichern von Passwörtern vom Benutzer verwaltet (pro Site deaktiviert) werden kann, ist dies für einen Personal Computer in Ordnung, nicht für einen "öffentlichen" oder gemeinsam genutzten Computer.

In meinem Fall handelt es sich um ein ERP, das auf gemeinsam genutzten Computern ausgeführt wird. Daher werde ich meine unten stehende Lösung ausprobieren.

<input style="background-color: rgb(239, 179, 196); color: black; text-shadow: none;" name="password" size="10" maxlength="30" onfocus="this.value='';this.style.color='black'; this.style.textShadow='none';" onkeypress="this.style.color='transparent'; this.style.textShadow='1px 1px 6px green';" autocomplete="off" type="text">

Markus hat einen tollen Punkt angesprochen. Ich habe mich entschlossen, das autocompleteAttribut nachzuschlagen und habe Folgendes erhalten:

Der einzige Nachteil bei der Verwendung dieses Attributs besteht darin, dass es nicht Standard ist (es funktioniert in IE- und Mozilla-Browsern) und die XHTML-Validierung fehlschlagen würde. Ich denke, dies ist ein Fall, in dem es jedoch sinnvoll ist, die Validierung zu unterbrechen. ( Quelle )

Ich muss also sagen, dass es zwar nicht zu 100% auf der ganzen Linie funktioniert, aber in den wichtigsten Browsern verarbeitet wird, sodass es eine großartige Lösung ist.

Ich habe oben versucht autocomplete="off"und doch alles erfolgreich. Wenn Sie eckige js verwenden, empfehle ich, mit der Schaltfläche und dem ng-Klick zu gehen.

<button type="button" class="" ng-click="vm.login()" />

Dies hat bereits eine akzeptierte Antwort. Ich füge diese hinzu, wenn jemand das Problem mit der akzeptierten Antwort nicht lösen kann, kann er mit meinem Mechanismus gehen.

Danke für die Frage und die Antworten.

Eine Möglichkeit, die ich kenne, besteht darin, (zum Beispiel) JavaScript zu verwenden, um den Wert aus dem Kennwortfeld zu kopieren, bevor das Formular gesendet wird.

Das Hauptproblem dabei ist, dass die Lösung an JavaScript gebunden ist.

Wenn es mit JavaScript verknüpft werden kann, können Sie das Kennwort auch auf der Clientseite hashen, bevor Sie eine Anforderung an den Server senden.

Das eigentliche Problem ist viel tiefer als nur das Hinzufügen von Attributen zu Ihrem HTML-Code - dies ist ein häufiges Sicherheitsrisiko. Deshalb haben die Leute Hardwareschlüssel und andere verrückte Dinge für die Sicherheit erfunden.

Stellen Sie sich vor, Sie haben Autocomplete = "off", das in allen Browsern einwandfrei funktioniert. Würde das bei der Sicherheit helfen? Natürlich nicht. Benutzer notieren ihre Passwörter in Lehrbüchern auf Aufklebern auf ihrem Monitor, auf denen jeder Bürobesucher sie sehen kann, speichern sie in Textdateien auf dem Desktop und so weiter.

Im Allgemeinen sind Webanwendungen und Webentwickler in keiner Weise für die Sicherheit der Endbenutzer verantwortlich. Endbenutzer können sich nur selbst schützen. Im Idealfall MÜSSEN sie alle Passwörter im Kopf behalten und die Funktion zum Zurücksetzen von Passwörtern (oder den Administrator kontaktieren) verwenden, falls sie diese vergessen haben. Andernfalls besteht immer die Gefahr, dass das Passwort irgendwie gesehen und gestohlen wird.

Entweder haben Sie eine verrückte Sicherheitsrichtlinie mit Hardwareschlüsseln (wie einige Banken das Internet-Banking anbieten, bei dem im Grunde eine Zwei-Faktor-Authentifizierung verwendet wird) oder KEINE SICHERHEIT. Nun, das ist natürlich etwas übertrieben. Es ist wichtig zu verstehen, wovor Sie sich schützen möchten:

1. Kein autorisierter Zugriff. Grundsätzlich reicht das einfachste Anmeldeformular aus. Manchmal werden zusätzliche Maßnahmen ergriffen, wie zufällige Sicherheitsfragen, CAPTCHAs, Kennwortschutz usw.
2. Anmeldeinformationen schnüffeln. HTTPS ist ein MUSS, wenn Benutzer über öffentliche WLAN-Hotspots usw. auf Ihre Webanwendung zugreifen. Erwähnen Sie, dass Ihre Benutzer selbst mit HTTPS ihre Kennwörter regelmäßig ändern müssen.
3. Insider-Angriff. Es gibt zwei Beispiele dafür, angefangen beim einfachen Stehlen Ihrer Passwörter aus dem Browser oder von Passwörtern, die Sie irgendwo auf dem Schreibtisch notiert haben (keine IT-Kenntnisse erforderlich), bis hin zum Fälschen von Sitzungen und Abfangen des lokalen Netzwerkverkehrs (sogar verschlüsselt). und weiter auf die Webanwendung zugreifen, als wäre es ein anderer Endbenutzer.

In diesem speziellen Beitrag sehe ich unzureichende Anforderungen an den Entwickler, die er aufgrund der Art des Problems - der Sicherheit der Endbenutzer - niemals lösen kann. Mein subjektiver Punkt ist, dass Entwickler grundsätzlich NEIN sagen und auf Anforderungsprobleme hinweisen sollten, anstatt ehrlich Zeit für solche Aufgaben zu verschwenden. Dies macht Ihr System nicht unbedingt sicherer, sondern führt eher zu Fällen mit Aufklebern auf Monitoren. Leider hören einige Chefs nur das, was sie hören wollen. Wenn ich Sie wäre, würde ich versuchen zu erklären, woher das eigentliche Problem kommt, und dass Autocomplete = "off" es nicht lösen würde, es sei denn, es zwingt Benutzer, alle ihre Passwörter ausschließlich im Kopf zu behalten! Entwickler seinerseits können Benutzer nicht vollständig schützen,

Angesichts des gleichen HIPAA-Problems und fand eine relativ einfache Lösung,

1. Erstellen Sie ein verstecktes Kennwortfeld mit dem Feldnamen als Array.

   <input type="password" name="password[]" style="display:none" />
   

2. Verwenden Sie dasselbe Array für das eigentliche Kennwortfeld.

   <input type="password" name="password[]" />
   

Der Browser (Chrome) fordert Sie möglicherweise zur Eingabe von "Kennwort speichern" auf. Unabhängig davon, ob der Benutzer "Speichern" auswählt, wird beim nächsten Anmelden des Kennworts das versteckte Kennwortfeld, der Null-Steckplatz im Array, automatisch ausgefüllt, wobei der erste Steckplatz leer bleibt.

Ich habe versucht, das Array zu definieren, z. B. "password [part2]", aber es wurde immer noch gespeichert. Ich denke, es wirft es ab, wenn es ein nicht indiziertes Array ist, weil es keine andere Wahl hat, als es an der ersten Stelle abzulegen.

Dann verwenden Sie die Programmiersprache Ihrer Wahl, um auf das Array zuzugreifen, z. B. PHP.

echo $_POST['password'][1];

Da die meisten autocompleteVorschläge, einschließlich der akzeptierten Antwort, in den heutigen Webbrowsern nicht funktionieren (dh Webbrowser-Passwortmanager ignorieren autocomplete), besteht eine neuere Lösung darin, zwischen passwordund textTypen zu wechseln und die Hintergrundfarbe mit der Textfarbe im Feld abzustimmen ist ein einfaches Textfeld, das das Kennwort weiterhin verbirgt, während es ein echtes Kennwortfeld ist, wenn der Benutzer (oder ein Programm wie KeePass) ein Kennwort eingibt. Browser fordern nicht zum Speichern von Passwörtern auf, die in Klartextfeldern gespeichert sind.

Der Vorteil dieses Ansatzes besteht darin, dass eine schrittweise Verbesserung möglich ist und daher kein Javascript erforderlich ist, damit ein Feld als normales Kennwortfeld fungiert (Sie können stattdessen auch mit einem einfachen Textfeld beginnen und denselben Ansatz anwenden, dies ist jedoch nicht wirklich HIPAA PHI / PII-konform). Dieser Ansatz hängt auch nicht von versteckten Formularen / Feldern ab, die möglicherweise nicht unbedingt an den Server gesendet werden (weil sie versteckt sind), und einige dieser Tricks funktionieren auch in mehreren modernen Browsern nicht.

jQuery-Plugin:

https://github.com/cubiclesoft/php-flexforms-modules/blob/master/password-manager/jquery.stoppasswordmanager.js

Relevanter Quellcode über den obigen Link:

(function($) {
$.fn.StopPasswordManager = function() {
    return this.each(function() {
        var $this = $(this);

        $this.addClass('no-print');
        $this.attr('data-background-color', $this.css('background-color'));
        $this.css('background-color', $this.css('color'));
        $this.attr('type', 'text');
        $this.attr('autocomplete', 'off');

        $this.focus(function() {
            $this.attr('type', 'password');
            $this.css('background-color', $this.attr('data-background-color'));
        });

        $this.blur(function() {
            $this.css('background-color', $this.css('color'));
            $this.attr('type', 'text');
            $this[0].selectionStart = $this[0].selectionEnd;
        });

        $this.on('keydown', function(e) {
            if (e.keyCode == 13)
            {
                $this.css('background-color', $this.css('color'));
                $this.attr('type', 'text');
                $this[0].selectionStart = $this[0].selectionEnd;
            }
        });
    });
}
}(jQuery));

Demo:

https://barebonescms.com/demos/admin_pack/admin.php

Klicken Sie im Menü auf "Eintrag hinzufügen" und scrollen Sie zum Ende der Seite zu "Modul: Kennwort-Manager stoppen".

Haftungsausschluss: Während dieser Ansatz für sehende Personen funktioniert, kann es zu Problemen mit der Bildschirmlese-Software kommen. Beispielsweise kann ein Bildschirmleser das Kennwort des Benutzers laut vorlesen, da ein einfaches Textfeld angezeigt wird. Die Verwendung des oben genannten Plugins kann auch andere unvorhergesehene Folgen haben. Das Ändern der integrierten Webbrowser-Funktionalität sollte sparsam erfolgen, indem eine Vielzahl von Bedingungen und Randfällen getestet werden.

Gibt es eine Möglichkeit für eine Website, dem Browser mitzuteilen, dass er nicht anbieten soll, sich Passwörter zu merken?

Die Website teilt dem Browser mit, dass es sich um ein Passwort handelt <input type="password">. Wenn Sie dies aus Sicht der Website tun müssen, müssen Sie dies ändern. (Natürlich empfehle ich das nicht).

Die beste Lösung wäre, den Benutzer seinen Browser so konfigurieren zu lassen, dass er sich keine Passwörter merkt.

Wenn Sie dem Flag für die automatische Vervollständigung nicht vertrauen möchten, können Sie mithilfe des Ereignisses onchange sicherstellen, dass der Benutzer das Feld eingibt. Der folgende Code ist ein einfaches HTML-Formular. Das ausgeblendete Formularelement password_edited wird zunächst auf 0 gesetzt. Wenn der Wert des Kennworts geändert wird, ändert das JavaScript oben (Funktion pw_edited) den Wert auf 1. Wenn die Schaltfläche gedrückt wird, wird hier der Code des Wertgebers überprüft, bevor das Formular gesendet wird . Auf diese Weise kann der Benutzer die Anmeldeseite nicht übergeben, selbst wenn der Browser Sie ignoriert und das Feld automatisch vervollständigt, ohne das Kennwortfeld einzugeben. Stellen Sie außerdem sicher, dass das Kennwortfeld leer ist, wenn der Fokus festgelegt ist. Andernfalls können Sie am Ende ein Zeichen hinzufügen und dann zurückgehen und es entfernen, um das System auszutricksen. Ich empfehle zusätzlich das Kennwort autocomplete = "off" zum Kennwort hinzuzufügen, aber dieses Beispiel zeigt, wie der Sicherungscode funktioniert.

<html>
  <head>
    <script>
      function pw_edited() {
        document.this_form.password_edited.value = 1;
      }
      function pw_blank() {
        document.this_form.password.value = "";
      }
      function submitf() {
        if(document.this_form.password_edited.value < 1) {
          alert("Please Enter Your Password!");
        }
        else {
         document.this_form.submit();
        }
      }
    </script>
  </head>
  <body>
    <form name="this_form" method="post" action="../../cgi-bin/yourscript.cgi?login">
      <div style="padding-left:25px;">
        <p>
          <label>User:</label>
          <input name="user_name" type="text" class="input" value="" size="30" maxlength="60">
        </p>
        <p>
          <label>Password:</label>
          <input name="password" type="password" class="input" size="20" value="" maxlength="50" onfocus="pw_blank();" onchange="pw_edited();">
        </p>
        <p>
          <span id="error_msg"></span>
        </p>
        <p>
          <input type="hidden" name="password_edited" value="0">
          <input name="submitform" type="button" class="button" value="Login" onclick="return submitf();">
        </p>
      </div>
    </form>
  </body>
</html>

autocomplete = "off" funktioniert nicht zum Deaktivieren des Kennwortmanagers in Firefox 31 und höchstwahrscheinlich auch nicht in einigen früheren Versionen.

Überprüfen Sie die Diskussion bei Mozilla zu diesem Problem: https://bugzilla.mozilla.org/show_bug.cgi?id=956906

Wir wollten ein zweites Passwortfeld verwenden, um ein einmaliges Passwort einzugeben, das von einem Token generiert wurde. Jetzt verwenden wir eine Texteingabe anstelle einer Passworteingabe. :-(

Ich hatte eine ähnliche Aufgabe, das automatische Ausfüllen von Anmeldenamen und Passwörtern durch den Browser zu deaktivieren. Nach vielen Versuchen und Fehlern fand ich die folgende Lösung optimal. Fügen Sie einfach die folgenden Steuerelemente vor Ihren ursprünglichen Steuerelementen hinzu.

<input type="text" style="display:none">
<input type="text" name="OriginalLoginTextBox">

<input type="password" style="display:none">
<input type="text" name="OriginalPasswordTextBox">

Dies funktioniert gut für IE11 und Chrome 44.0.2403.107

autocomplete = "off" funktioniert für die meisten modernen Browser, aber eine andere Methode, die ich erfolgreich mit Epiphany (einem WebKit-basierten Browser für GNOME) verwendet habe, besteht darin, ein zufällig generiertes Präfix im Sitzungsstatus (oder ein verstecktes Feld, das ich zufällig hatte) zu speichern eine geeignete Variable bereits im Sitzungsstatus) und ändern Sie damit den Namen der Felder. Epiphany möchte das Kennwort weiterhin speichern, aber wenn Sie zum Formular zurückkehren, werden die Felder nicht ausgefüllt.

Ich hatte keine Probleme mit dieser Methode:

Verwenden Sie autocomplete = "off", fügen Sie ein verstecktes Kennwortfeld und dann ein weiteres nicht verstecktes hinzu. Der Browser versucht, das versteckte automatisch zu vervollständigen, wenn er autocomplete = "off" nicht berücksichtigt.

Eine andere Lösung besteht darin, den POST in einer ausgeblendeten Form zu erstellen, in der alle Eingaben vom Typ ausgeblendet sind. Das sichtbare Formular verwendet Eingaben vom Typ "Passwort". Das letztere Formular wird niemals gesendet, sodass der Browser den Anmeldevorgang überhaupt nicht abfangen kann.