Pourquoi les sites Web exigent-ils de ressaisir le mot de passe en cas d'erreur d'utilisateur dans un formulaire d'inscription?
Plusieurs fois, lorsque vous remplissez un formulaire d'inscription et que vous manquez un champ obligatoire, le formulaire est rechargé avec tous les champs remplis, à l'exception du mot de passe que vous devez ressaisir.
Je me demande si je devrais faire la même chose. Je préfère vraiment ne pas le faire car, en tant qu'utilisateur, je suis très contrarié par la nécessité de ressaisir le mot de passe.
Est-ce une mesure de sécurité? Que protège-t-il?
EDIT: Aider l'utilisateur à se souvenir du mot de passe est important, mais ne répond pas à la question. De toute façon, la plupart des formulaires ont deux champs de mot de passe et je ne vois aucune raison de demander à l’utilisateur de taper le mot de passe 4 ou 6 fois au lieu de 2.
C'est une mesure de sécurité à plusieurs niveaux !!!
I. En tapant deux fois, c'est pour vous assurer que vous l'avez entré correctement!
Et si vous n'y entrez qu'une seule fois, si vous faites une faute de frappe et que vous ne le remarquez pas? Le site peut avoir un ToS empêchant plusieurs comptes pour la même personne/email! Vous ne pourrez peut-être plus jamais vous connecter à ce compte/site web!
II. Les mots de passe ne doivent JAMAIS être stockés en texte clair, ni encodés/cryptés, mais dans un hachage à 1 voie! [réf. CWE-257]
- Au niveau du serveur: le serveur ne peut pas vous "restituer" ce que vous avez tapé car au moment où vous obtenez la page d'erreur, le mot de passe n'est pas traité ou est déjà haché ou il ne devrait pas être stocké dans un format que vous pouvez obtenir " retour'.
- En ce qui concerne le client: il n’est pas recommandé de stocker le mot de passe dans un format récupérable (js/cookie/etc).
Considérations finales: le mot de passe doit être connu niquement pour vous! et il devrait exister sous sa forme "vraie" uniquement dans votre tête!
En termes simples, ceci est pour une meilleure sécurité. Afin de stocker les données sur le formulaire déjà saisi, il sera stocké par un script dans une variable de session ou ajouté à un lien référencé. Vous ne voulez pas stocker les données de mot de passe de cette façon. Les données peuvent souvent être facilement interceptées ou falsifiées, il est donc préférable de ne pas le faire.
Est-ce possible de faire cela, oui ... mais vous ne devriez pas. De plus, la plupart des navigateurs (s'ils sont configurés pour stocker des données de formulaire) se souviendront simplement d'un champ de saisie standard, conservant ces données stockées au cours des sessions de navigation ... mais ils ignoreront par défaut les champs de saisie de type mot de passe.
En outre, il aide également l'utilisateur à se souvenir du mot de passe qu'il a saisi en le faisant plus d'une fois ou deux. Aussi agaçant que cela puisse être, jusqu'à ce qu'une meilleure méthode soit plus largement acceptée et accessible, c'est généralement ce qui se passera.