Contexte
NIST SP 800-63b donne les conseils suivants pour les formulaires de mot de passe (aka pages de connexion):
Les vérificateurs DEVRAIENT autoriser les demandeurs à utiliser la fonctionnalité «coller» lorsque entrer un secret mémorisé. Cela facilite l'utilisation des gestionnaires de mots de passe, qui sont largement utilisés et augmentent dans de nombreux cas la probabilité que les utilisateurs choisissent des secrets mémorisés plus forts.
Afin d'aider le demandeur à entrer avec succès un secret mémorisé, le vérificateur DEVRAIT offrir une option pour afficher le secret - plutôt qu'une série de points ou d'astérisques - jusqu'à ce qu'il soit entré. Cela permet au demandeur de vérifier son entrée s'il se trouve dans un endroit où il est peu probable que son écran soit observé. Le vérificateur PEUT également permettre au dispositif de l’utilisateur d’afficher des caractères individuels saisis pendant un court laps de temps après que chaque caractère a été tapé pour vérifier l’entrée correcte. Ceci est particulièrement applicable sur les appareils mobiles.
Question
Je me suis fait valoir que ces deux fonctionnalités ne devraient pas être mises en œuvre ensemble car elles permettraient à un utilisateur de contourner la protection d'un gestionnaire de mots de passe et afficher le mot de passe rempli automatiquement. Je soupçonne que cet argument ne tiendra pas la route, mais je suis curieux de connaître les opinions de la communauté.