 |
| 图片由Google Gemini生成 |
就「密码输入控件是否应该允许粘贴功能」这件事情,跟同事发生了一点小的争执。
其实也没多大事。
同事觉得,既然要「安全」,那就彻底拿掉「粘贴」功能,不让进也不让出。
而我觉得,不能把控件内的文本复制出去,那是常识。但外面的文本能不能粘贴进来?这个问题还可以商量商量。
看吧,我其实是个表面上很温和的人。
实际上我想说的是:为了安全,反倒是应该允许向密码输入控件内粘贴内容才对。
同事的想法恐怕很朴素:功能尽量少,越少越安全。这个原则,我非常能够理解。
但是,他可能不用1password或者lastpass之类的密码管理工具,自己生活中也只在使用少量强度不够的密码。如果他像我这样一个账号独用一个密码,而且都是密码生成器生成的32甚至64字节长度的密码的话,大概就不会觉得有没有「粘贴」功能是无所谓的事情了。
若是阻止了用户进行「粘贴」,用户很大概率就只能采用比较简单的密码,而且很可能会重复使用自己别的地方也在用着的一个简单密码。那么这到底是更安全了还是更不安全了?
全世界可能没有哪一个国家像中国这样,醉心于所谓的「密码安全控件」。防键盘钩子,防内核驱动,私有的闭源加密算法,随机乱序软键盘,自己发明的输入法……
正常人的想法很简单:如果你的主机已经被攻破,那么谈什么安全性都是扯蛋。安全取决于最短的那块木板,所以没有必要去加码到这种程度。
但中国这边的想法更简单:我不管,我就是要「安全」。哪怕做到匪夷所思的程度。
回头想想,哪桩事情不是这样?地铁安检不也是同样的情况么?
曾经过了三年在防毒面具下的生活。然而,现今谁又不是呢?心中的防毒面具,生活在洼地的人,谁又曾拿下过?
没错,因为某国内网站密码框不支持粘贴,我只能使用比较简单的密码,并且我还需要在记录软件中把密码显示出来照着敲。
回复删除不过我在粘贴密码(或者其它包含私密内容比如各种 token)之后,会习惯性地复制一点不重要的东西,避免私密内容被意外读取。