2FA-Eingabefeld als Passwortfeld

    Firefox-Version
    124.0.2
    Betriebssystem
    Ubuntu 22.04.4 LTS

    Liebe Community,


    die Seite bw.schule erfordert einen 2. Faktor bei jedem Login. Dieser wird nach dem Login mit Benutzername und Passwort auf einer neuen Seite abgefragt. Beim Klick auf das Input-Feld wird immer der Dialog für ein neues Passwort des Firefox-Passwortmanagers angezeigt und nach der Eingabe des 2. Faktors gefragt, ob ich das Passwort ändern möchte.

    Dies macht für mich überhaupt keinen Sinn und kenne ich so von anderen Seiten auch nicht. Der Support der Seite schreibt mir aber, das Feld sei korrekt definiert mit autocomplete="new-password"" und ergänzt folgende Infos:
    "Preventing autofilling with autocomplete="new-password"

    If you are defining a user management page where a user can specify a new password for another person, and therefore you want to prevent autofilling of password fields, you can use autocomplete="new-password".

    This is a hint, which browsers are not required to comply with. However modern browsers have stopped autofilling <input> elements with autocomplete="new-password" for this very reason. For example, Firefox version 67 (see Firefox bug 1119063) stopped autofilling in this case; however, Firefox 70 (see Firefox bug 1565407) can suggest securely-generated passwords, but does not autofill a saved password. See the autocomplete compat table for more details."

    [Quelle: https://developer.mozilla.org/en-US/docs/Web…etenew-password]


    Leider wurde ich bei meiner Suche nicht weiter fündig. Könnt ihr mir weiterhelfen, ob ich da beim Passwortmanager etwas ändern kann oder ob die Aussage des Supports doch nicht stimmt und das 2FA-Feld anders definiert werden sollte?


    Vielen Dank vorab!

    Damian

    Hallo,

    die Antwort des Supports ergibt keinen Sinn. Durch das Attribut die Autovervollständigung außer Kraft zu setzen, ist ja schon richtig. Aber selbstverständlich verhindert das Attribut, welches explizit sagt, dass das Feld ein neues Passwort beinhaltet, nicht das Angebot, das neue Passwort im Browser zu speichern. Im Gegenteil ist das ein ziemlich eindeutiges Signal an den Browser, genau das zu fragen.

    Man müsste das komplett ausgeklappte HTML dazu sehen. Warum ein 2FA-Feld als Passwort und nicht als Text deklariert wird, ergibt für mich ebenfalls keinen Sinn. Ich habe das jetzt für zwei 2FA-Seiten bei mir "untersucht" (eines davon das Mozilla-Login) und das war jedes Mal ein stinknormales INPUT-Feld mit entsprechenden Vorgaben für die Eingabe.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

    Danke für die schnellen Antworten!


    Dass das Feld überhaupt als "Passwort" definiert wird, ist für mich auch nicht nachvollziehbar. Die einzige Aussage, die ich dazu bislang bekommen habe:

    Zitat


    auch bei einem Einmalpasswort, handelt es sich um ein Passwort, das immerhin 30 sec. gültig ist. Dass das Formularfeld auf type password gesetzt ist, ist absolut korrekt.

    Auf meinen Einwand, dass ich den 2. Faktor vor der Eingabe ja ohnehin irgendwo ablesen oder kopieren muss, wurde bislang nicht eingegangen.


    Zum Code aber - dieser sieht so aus:

    Code
    <div class="form-group">
                           <input id="password" type="password" class="d-none">
                           <input id="one_time_secret" type="password" autofocus="autofocus" autocomplete="new-password" class="form-control" name="one_time_secret" placeholder="Einmalpasswort" aria-label="Einmalpasswort" required="">
                                                   </div>


    Für mich (als mehr oder weniger Laien) sieht das so aus, als würde der Browser alles richtig machen (und ich habe mir auch den Code auf anderen Seiten angeschaut).

    Kennt ihr vielleicht einen Link, wo ein "Standard" zur Definition eines 2FA-Feldes ausgewiesen ist - oder eben eine Seite, warum der Passwortmanager hier korrekt handelt?

    Zitat von CrashDami

    Dass das Feld überhaupt als "Passwort" definiert wird, ist für mich auch nicht nachvollziehbar. Die einzige Aussage, die ich dazu bislang bekommen habe:

    Ich teile deine Ansicht dazu. Ich kenne auch keine einzige andere Seite, bei der das Eingabefeld für die Zwei-Faktor-Authentifizierung ein Passwort-Feld ist. Die Antworten dieses Supports scheinen leider auf ein grundlegendes Missverständnis über das 2FA-Konzept hinzuweisen.

    Zitat von CrashDami

    Kennt ihr vielleicht einen Link, wo ein "Standard" zur Definition eines 2FA-Feldes ausgewiesen ist - oder eben eine Seite, warum der Passwortmanager hier korrekt handelt?

    Ich denke nicht, dass die konkrete Website-Implementierung standardisiert ist. Was das autocomplete-Attribut betrifft, hat der Support eh schon eine Erklärung zitiert - die den Zweck beschreibt, der ganz eindeutig nicht das ist, wofür diese Seite es verwendet.