NIST SP 800-63b 为密码表单(又名登录页面)提供了以下指南:
验证者应该允许索赔人在输入记忆的秘密时使用“粘贴”功能。这有助于使用广泛使用的密码管理器,并且在许多情况下增加了用户选择更强的记忆秘密的可能性。
为了帮助索赔人成功输入一个记住的秘密,验证者应该提供一个选项来显示秘密——而不是一系列的点或星号——直到它被输入。这允许索赔人在他们的屏幕不太可能被观察到的位置验证他们的条目。验证器还可以允许用户的设备在输入每个字符后短时间显示单个输入的字符,以验证输入是否正确。这尤其适用于移动设备。
我向我提出的论点是这两个功能不应该一起实现,因为它们会允许用户绕过密码管理器的保护并查看自动填充的密码。我怀疑这个论点站不住脚,但我很好奇社区的意见。
密码管理器并不是要对自己隐藏密码
就这么简单。惠特:大多数密码管理器都允许您随时查看自己的密码。我说“大多数”只是因为我没有全部使用它们。我曾与一些由于密码管理器无法控制的原因而无法自动填充的网站合作。因此查看/复制您自己的密码是必要的。IMO 一个不允许您查看自己的秘密的密码管理器是一个损坏的密码管理器。
如果您可以使用密码管理器查看您自己的密码,那么一个拒绝显示密码以试图向自己隐藏密码的个人网站就严重错过了大局。
有些人使用密码管理器,有些人不使用
使用密码管理器时,粘贴功能非常有用。键入时查看的功能对于正在键入密码的人(尤其是在手机上)很有帮助。对于两个不同的人群来说,这是两个不同的功能,他们都可以使用给定的站点。因此,说您一次只需要其中一个功能是愚蠢的......
[自我回答]
您可以通过右键单击 > 检查元素 > 更改type="password"为轻松取消屏蔽密码字段type=""。因此,真的没有理由不在Web UI 上放置“查看您的密码”眼球。
在 GitHub 的首页测试,没有眼球按钮:
考虑到您的第一个引用明确引用“粘贴”功能,这意味着剪贴板。与直接将数据输入网页表单的自动填充相反。
常见的剪贴板实现不会阻止用户将剪贴板内容粘贴到任意目的地(或者实际上,其他程序检索/记录剪贴板内容)。
如果论点是“眼球”功能可能会向用户透露密码,用户可以更容易地做到这一点,只需将剪贴板内容粘贴到不同的非屏蔽字段中即可。