Beiträge von CrashDami

  • 2FA-Eingabefeld als Passwortfeld

    Danke für die schnellen Antworten!


    Dass das Feld überhaupt als "Passwort" definiert wird, ist für mich auch nicht nachvollziehbar. Die einzige Aussage, die ich dazu bislang bekommen habe:

    Zitat


    auch bei einem Einmalpasswort, handelt es sich um ein Passwort, das immerhin 30 sec. gültig ist. Dass das Formularfeld auf type password gesetzt ist, ist absolut korrekt.

    Auf meinen Einwand, dass ich den 2. Faktor vor der Eingabe ja ohnehin irgendwo ablesen oder kopieren muss, wurde bislang nicht eingegangen.


    Zum Code aber - dieser sieht so aus:

    Code
    <div class="form-group">
                           <input id="password" type="password" class="d-none">
                           <input id="one_time_secret" type="password" autofocus="autofocus" autocomplete="new-password" class="form-control" name="one_time_secret" placeholder="Einmalpasswort" aria-label="Einmalpasswort" required="">
                                                   </div>


    Für mich (als mehr oder weniger Laien) sieht das so aus, als würde der Browser alles richtig machen (und ich habe mir auch den Code auf anderen Seiten angeschaut).

    Kennt ihr vielleicht einen Link, wo ein "Standard" zur Definition eines 2FA-Feldes ausgewiesen ist - oder eben eine Seite, warum der Passwortmanager hier korrekt handelt?

  • 2FA-Eingabefeld als Passwortfeld

    Liebe Community,


    die Seite bw.schule erfordert einen 2. Faktor bei jedem Login. Dieser wird nach dem Login mit Benutzername und Passwort auf einer neuen Seite abgefragt. Beim Klick auf das Input-Feld wird immer der Dialog für ein neues Passwort des Firefox-Passwortmanagers angezeigt und nach der Eingabe des 2. Faktors gefragt, ob ich das Passwort ändern möchte.

    Dies macht für mich überhaupt keinen Sinn und kenne ich so von anderen Seiten auch nicht. Der Support der Seite schreibt mir aber, das Feld sei korrekt definiert mit autocomplete="new-password"" und ergänzt folgende Infos:
    "Preventing autofilling with autocomplete="new-password"

    If you are defining a user management page where a user can specify a new password for another person, and therefore you want to prevent autofilling of password fields, you can use autocomplete="new-password".

    This is a hint, which browsers are not required to comply with. However modern browsers have stopped autofilling <input> elements with autocomplete="new-password" for this very reason. For example, Firefox version 67 (see Firefox bug 1119063) stopped autofilling in this case; however, Firefox 70 (see Firefox bug 1565407) can suggest securely-generated passwords, but does not autofill a saved password. See the autocomplete compat table for more details."

    [Quelle: https://developer.mozilla.org/en-US/docs/Web…etenew-password]


    Leider wurde ich bei meiner Suche nicht weiter fündig. Könnt ihr mir weiterhelfen, ob ich da beim Passwortmanager etwas ändern kann oder ob die Aussage des Supports doch nicht stimmt und das 2FA-Feld anders definiert werden sollte?


    Vielen Dank vorab!

    Damian