Maskierung Passwort vom Benutzer in HTML Webforms

Question

Ich arbeite an einer Weblog-Anwendung in PHP und Javascript. Ich benutze Windows Live ID für die Authentifizierung. Der Benutzer muss ein Passwort für den Windows Live Writer angeben, da der Live Writer die Live ID nicht verwenden kann.

Ich möchte den Benutzer sein Passwort in einem HTML-Webformular bearbeiten lassen. Obwohl das Passwort in ein Passwortfeld eingegeben wird, das nur * anzeigt, ist der Wert innerhalb des HTML deutlich sichtbar. Gibt es Möglichkeiten, das Passwort im HTML zu verstecken oder zu verbergen? Ich kann ein altes/neues Passwort-Prinzip nicht verwenden, da das Passwort nicht benötigt wird. Irgendwelche Ideen?

Answer 1

Wenn sie nichts anderes als "*" Zeichen sehen können, können sie das vorhandene Passwort nicht bearbeiten, also setzen Sie sich nicht auf den Wert dieses Eingabefeldes. Lass sie einfach ein neues von Grund auf eintippen.

Geben Sie auch das Passwortänderungsformular und die POSTed-Antwort über HTTPS, nicht HTTP, an, um den neuen Wert zu sichern.

Answer 2

In den meisten Anwendungen kann das Kennwort nicht an den Benutzer zurückgegeben werden, damit sie es bearbeiten können. Ich, und die meisten sicherheitsbewussten Programmierer, hash ihre Passwörter, so dass es keine Möglichkeit gibt, mit dem ursprünglichen Passwort zu kommen, speichern die Anwendungen nur den Hash. Wenn sich jemand bei der Site anmeldet, nimmt er das bereitgestellte Passwort, hasht es und vergleicht es mit dem gespeicherten Hash, um zu sehen, ob es übereinstimmt. Dies garantiert praktisch, dass das Passwort des Benutzers nicht über SQL Injection gestohlen werden kann.