로그 아웃 후에 이메일 주소를 저장해야합니까?

Question

로그인 정보에 "내 계정 정보 기억"확인란을 삽입하는 웹 응용 프로그램의 부가 기능을 작성했습니다. 내 사용자 중 한 명이 로그 아웃 한 후 기억이 안납니다. 분명히 로그 아웃 한 사람은 로그 아웃 상태를 유지해야하며 특정 요청에도 불구하고 비밀번호 필드를 채우지 않습니다. 이는 암호를 일반 텍스트로 저장한다는 의미입니다.

사용자가 이전에 "내 계정 정보 기억"상자에 표시된 경우 내 질문에 전자 메일 주소/사용자 이름이 로그인 양식에 미리 입력되어 있어야합니까?
공용 컴퓨터에서 개인 컴퓨터를 사용하는 다음 낯선 사람에게 개인 정보를 효과적으로 브로드 캐스팅하는 것은 분명하지만 공용 컴퓨터에서는 "내 정보 기억"옵션을 사용하지 않아야합니다.

이렇게하는 보안 고려 사항은 무엇입니까? 사용자는 로그 아웃 한 후 일부 정보를 기억할 것으로 기대합니까?

편집 : 어쨌든 브라우저는 양식 값 및 로그인 세부 정보를 기억할 수있는 기능이있어 아마도이 기능이 필요하지 않을 수도 있습니다.

Answer 1

"내 정보 기억하기"는 "내가 계속 정보를 기록한 상태"와 다릅니다.

많은 은행 사이트는 사용자가 로그 아웃 한 후에도 (ING Direct와 Citizens Bank가 몇 가지 예입니다) 사용자 이름을 저장하기 위해 "나를 기억합니다"를 사용합니다. 대개 보안 목적으로 이름의 일부를 숨 깁니다.

사용자에게 분명하게 말하려면 "로그인 상태 유지"또는 이와 비슷한 문구를 변경하고 싶을 것입니다.

Answer 2

전자 메일 주소가 사용자 식별자로 사용된다고 가정 할 때 이것은 높은 보안 수준이 예상되지 않는 많은 응용 프로그램에서 자주 볼 수있는 동작입니다.

암호화 된 식별자를 저장하고 사용자가 로그인을 시도 할 때 암호 만 묻는 것이 더 안전한 구현입니다. 이것은 내 금융 사이트를 보유하고있는 사이트에서보고 기대하는 행동입니다. 브라우저가 암호 필드를 기억하지 못하게하는 것은 그러한 사이트에서 중요합니다.

확인란을 선택하면 공용 컴퓨터에서 "내 계정 정보 기억"을 사용하지 않도록 경고하는 것이 좋습니다.

Answer 3

절대적으로 이 아니야 누군가가 "나를 기억합니다"기능을 사용하는 경우 전자 메일/로그인 정보를 미리 채 웁니다. 이 기능은 "로그인 상태 유지"라고도하며 세션 전반에 로그인 상태를 유지하도록 설계되었습니다. 사용자가 사이트를 방문 할 때마다 사용자를 다시 인증하는 것을 방지하는 것은 유용성 기능입니다.

이 아닌 명시 적으로 로그 아웃 한 후 로그인 자격 증명의 일부를 유지하는 수단입니다. 예, 브라우저는 로그인 이름과 같은 양식 필드 값을 기억할 수 있지만 대부분의 보안 지침에서는 이것을 비활성화하는 것이 좋습니다 (OWASP Top 10 for .NET developers part 3: Broken authentication and session management 참조).

보안 시스템 측면에서 볼 때 대다수의 웹 사이트가 이러한 방식으로 작동하지 않기 때문에이 데이터를 미리 채울 사용자의 기대는 없습니다. 장벽을 항목으로 낮추는 것이 명시적인 동의로 끝나면 좋지만 사용자가 세션에서 구체적으로 로그 아웃하거나 세션을 종료 한 경우가 아니라 동작이 예상 한 것과 일치하지 않는 경우가 아닙니다.