Désactiver la fonctionnalité «Enregistrer le mot de passe» du navigateur

L'une des joies de travailler pour une agence gouvernementale de soins de santé est de devoir faire face à toute la paranoïa liée au traitement des PHI (Protected Health Information). Ne vous méprenez pas, je suis tout pour faire tout ce qui est possible pour protéger les informations personnelles des gens (santé, finances, habitudes de surf, etc.), mais parfois les gens deviennent un peu trop nerveux.

Exemple: un de nos clients d'État a récemment découvert que le navigateur fournit la fonctionnalité pratique pour enregistrer votre mot de passe. Nous savons tous qu'il est là depuis un certain temps et qu'il est complètement facultatif et qu'il appartient à l'utilisateur final de décider s'il s'agit d'une décision intelligente à utiliser ou non. Cependant, il y a un peu de tumulte en ce moment et on nous demande de trouver un moyen de désactiver cette fonctionnalité pour notre site.

Question : Existe-t-il un moyen pour un site de dire au navigateur de ne pas proposer de se souvenir des mots de passe? Je travaille depuis longtemps sur le développement Web, mais je ne sais pas si je l'ai déjà rencontré auparavant.

Toute aide est appréciée.

Je ne sais pas si cela fonctionnera dans tous les navigateurs, mais vous devriez essayer de définir autocomplete = "off" sur le formulaire.

<form id="loginForm" action="login.cgi" method="post" autocomplete="off">

Le moyen le plus simple et le plus simple de désactiver les invites de stockage de formulaire et de mot de passe et d'empêcher la mise en cache des données de formulaire dans l'historique de session consiste à utiliser l'attribut d'élément de formulaire de saisie semi-automatique avec la valeur "off".

Depuis http://developer.mozilla.org/En/How_to_Turn_Off_Form_Autocompletion

Quelques recherches mineures montrent que cela fonctionne dans IE mais je ne laisse aucune garantie;)

@Joseph : Si c'est une exigence stricte de passer la validation XHTML avec le balisage réel (je ne sais pas pourquoi, cependant), vous pourriez théoriquement ajouter cet attribut avec javascript par la suite, mais ensuite les utilisateurs avec js désactivé (probablement une quantité négligeable de votre base d'utilisateurs ou zéro si votre site nécessite js) auront toujours leurs mots de passe enregistrés.

Exemple avec jQuery:

$('#loginForm').attr('autocomplete', 'off');

En plus de

autocomplete="off"

Utilisation

readonly onfocus="this.removeAttribute('readonly');"

pour les entrées que vous ne voulez pas de se rappeler des données de formulaire ( username, password, etc.) comme indiqué ci - dessous:

<input type="text" name="UserName" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

<input type="password" name="Password" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

Testé sur les dernières versions des principaux navigateurs à savoir Google Chrome, Mozilla Firefox, Microsoft Edge, etc. , et fonctionne comme un charme. J'espère que cela t'aides.

J'avais lutté avec ce problème pendant un certain temps, avec une tournure unique au problème. Les utilisateurs privilégiés ne pouvaient pas faire fonctionner les mots de passe enregistrés pour eux, mais les utilisateurs normaux en avaient besoin. Cela signifiait que les utilisateurs privilégiés devaient se connecter deux fois, la deuxième fois sans appliquer de mots de passe enregistrés.

Avec cette exigence, la autocomplete="off"méthode standard ne fonctionne pas sur tous les navigateurs, car le mot de passe peut avoir été enregistré lors de la première connexion. Un collègue a trouvé une solution pour remplacer le champ de mot de passe lorsqu'il était ciblé par un nouveau champ de mot de passe, puis se concentrer sur le nouveau champ de mot de passe (puis connecter le même gestionnaire d'événements). Cela a fonctionné (sauf qu'il a provoqué une boucle infinie dans IE6). Peut-être qu'il y avait un moyen de contourner cela, mais cela me causait une migraine.

Enfin, j'ai essayé d'avoir juste le nom d'utilisateur et le mot de passe en dehors du formulaire. À ma grande surprise, cela a fonctionné! Il a fonctionné sur IE6 et les versions actuelles de Firefox et Chrome sur Linux. Je ne l'ai pas testé plus loin, mais je soupçonne que cela fonctionne dans la plupart sinon tous les navigateurs (mais cela ne me surprendrait pas s'il y avait un navigateur qui ne se souciait pas s'il n'y avait pas de formulaire).

Voici quelques exemples de code, ainsi que quelques jQuery pour le faire fonctionner:

<input type="text" id="username" name="username"/>
<input type="password" id="password" name="password"/>

<form id="theForm" action="/your/login" method="post">
  <input type="hidden" id="hiddenUsername" name="username"/>
  <input type="hidden" id="hiddenPassword" name="password"/>
  <input type="submit" value="Login"/>
</form>

<script type="text/javascript" language="JavaScript">
  $("#theForm").submit(function() {
    $("#hiddenUsername").val($("#username").val());
    $("#hiddenPassword").val($("#password").val());
  });
  $("#username,#password").keypress(function(e) {
    if (e.which == 13) {
      $("#theForm").submit();
    }
  });
</script>

Eh bien, c'est un très vieux poste, mais je vais quand même donner ma solution, que mon équipe essayait depuis longtemps de réaliser. Nous venons d'ajouter un nouveau champ de type d'entrée = "mot de passe" à l'intérieur du formulaire et de l'envelopper dans div et de le masquer. Assurez-vous que ce div est avant la saisie du mot de passe réel. Cela a fonctionné pour nous et n'a donné aucune option Enregistrer le mot de passe

Plunk - http://plnkr.co/edit/xmBR31NQMUgUhYHBiZSg?p=preview

HTML:

<form method="post" action="yoururl">
      <div class="hidden">
        <input type="password"/>
      </div>
      <input type="text" name="username" placeholder="username"/>
      <input type="password" name="password" placeholder="password"/>
    </form>

CSS:

.hidden {display:none;}

Vous pouvez empêcher le navigateur de faire correspondre les formulaires en randomisant le nom utilisé pour le champ de mot de passe à chaque émission. Ensuite, le navigateur voit un mot de passe pour la même URL, mais ne peut pas être sûr qu'il s'agit du même mot de passe . C'est peut-être contrôler quelque chose d'autre.

Mise à jour: notez que cela devrait être en plus d' utiliser la saisie semi-automatique ou d'autres tactiques, pas un remplacement pour eux, pour les raisons indiquées par d'autres.

Notez également que cela empêchera uniquement le navigateur de compléter automatiquement le mot de passe. Cela ne l'empêchera pas de stocker le mot de passe dans le niveau arbitraire de sécurité que le navigateur choisit d'utiliser.

Utilisez une véritable authentification à deux facteurs pour éviter la seule dépendance vis-à-vis des mots de passe qui pourraient être stockés dans beaucoup plus d'endroits que le cache du navigateur de l'utilisateur.

La façon la plus propre est d'utiliser autocomplete="off"l'attribut tag mais Firefox ne lui obéit pas correctement lorsque vous changez de champs avec Tab.

La seule façon d'arrêter cela est d'ajouter un faux champ de mot de passe caché qui incite le navigateur à y saisir le mot de passe.

<input type="text" id="username" name="username"/>
<input type="password" id="prevent_autofill" autocomplete="off" style="display:none" tabindex="-1" />
<input type="password" id="password" autocomplete="off" name="password"/>

C'est un vilain piratage, car vous modifiez le comportement du navigateur, ce qui devrait être considéré comme une mauvaise pratique. Utilisez-le uniquement si vous en avez vraiment besoin.

Remarque: cela arrêtera efficacement le remplissage automatique du mot de passe, car FF "enregistrera" la valeur de #prevent_autofill(qui est vide) et essaiera de remplir tous les mots de passe enregistrés, car il utilise toujours la première type="password"entrée qu'il trouve dans DOM après le "nom d'utilisateur" respectif contribution.

J'ai testé que l'ajout de autocomplete = "off" dans la balise de formulaire dans tous les principaux navigateurs. En fait, la plupart des peuples des États-Unis utilisent IE8 jusqu'à présent.

1. IE8, IE9, IE10, Firefox, Safari fonctionnent très bien.

   Le navigateur ne demande pas "enregistrer le mot de passe". De plus, le nom d'utilisateur et le mot de passe précédemment enregistrés ne sont pas renseignés.

2. Chrome et IE 11 ne prennent pas en charge la fonctionnalité de saisie semi-automatique = "off"
3. FF supportant l'autocomplete = "off". mais parfois les informations d'identification enregistrées existantes sont renseignées.

Mis à jour le 11 juin 2014

Enfin, ci-dessous est une solution multi-navigateur utilisant javascript et cela fonctionne bien dans tous les navigateurs.

Besoin de supprimer la balise "form" dans le formulaire de connexion. Après la validation côté client, mettez ces informations d'identification sous forme masquée et soumettez-les.

Ajoutez également deux méthodes. un pour la validation "validateLogin ()" et un autre pour écouter l'événement enter en cliquant sur enter dans la zone de texte / mot de passe / bouton "checkAndSubmit ()". car maintenant le formulaire de connexion n'a pas de balise de formulaire, entrez donc l'événement ne fonctionne pas ici.

HTML

<form id="HiddenLoginForm" action="" method="post">
<input type="hidden" name="username" id="hidden_username" />
<input type="hidden" name="password" id="hidden_password" />
</form>

Username: <input type="text" name="username" id="username" onKeyPress="return checkAndSubmit(event);" /> 
Password: <input type="text" name="password" id="password" onKeyPress="return checkAndSubmit(event);" /> 
<input type="button" value="submit" onClick="return validateAndLogin();" onKeyPress="return checkAndSubmit(event);" /> 

Javascript

//For validation- you can modify as you like
function validateAndLogin(){
  var username = document.getElementById("username");
  var password = document.getElementById("password");

  if(username  && username.value == ''){
    alert("Please enter username!");
    return false;
  }

  if(password && password.value == ''){
    alert("Please enter password!");
    return false;
  }

  document.getElementById("hidden_username").value = username.value;
  document.getElementById("hidden_password").value = password.value;
  document.getElementById("HiddenLoginForm").submit();
}

//For enter event
function checkAndSubmit(e) {
 if (e.keyCode == 13) {
   validateAndLogin();
 }
}

Bonne chance!!!

Pas vraiment - la seule chose que vous pourriez faire de façon réaliste est d'offrir des conseils sur le site; peut-être qu'avant leur première connexion, vous pouvez leur montrer un formulaire contenant des informations indiquant qu'il n'est pas recommandé de laisser le navigateur stocker le mot de passe.

Ensuite, l'utilisateur suivra immédiatement les conseils, notera le mot de passe sur un post-it et l'enregistrera sur son moniteur.

Ce que j'ai fait est une combinaison de saisie semi-automatique = "off" et d'effacement des champs de mot de passe à l'aide d'un javascript / jQuery.

Exemple jQuery:

$(function() { 
    $('#PasswordEdit').attr("autocomplete", "off");
    setTimeout('$("#PasswordEdit").val("");', 50); 
});

En utilisant, setTimeout()vous pouvez attendre que le navigateur termine le champ avant de l'effacer, sinon le navigateur se terminera toujours automatiquement après avoir effacé le champ.

si autocomplete = "off" ne fonctionne pas ... supprimez la balise de formulaire et utilisez une balise div à la place, puis transmettez les valeurs du formulaire à l'aide de jquery au serveur. Cela a fonctionné pour moi.

Parce que l'autocomplete = "off" ne fonctionne pas pour les champs de mot de passe, il faut se fier à javascript. Voici une solution simple basée sur les réponses trouvées ici.

Ajoutez l'attribut data-password-autocomplete = "off" à votre champ de mot de passe:

<input type="password" data-password-autocomplete="off">

Inclure le JS suivant:

$(function(){
    $('[data-password-autocomplete="off"]').each(function() {
        $(this).prop('type', 'text');
        $('<input type="password"/>').hide().insertBefore(this);
        $(this).focus(function() {
            $(this).prop('type', 'password');
        });
    });     
});

Cette solution fonctionne pour Chrome et FF.

Juste pour que les gens le réalisent - l'attribut 'autocomplete' fonctionne la plupart du temps, mais les utilisateurs expérimentés peuvent le contourner en utilisant un bookmarklet.

Le fait qu'un navigateur enregistre vos mots de passe augmente en fait la protection contre le keylogging, donc probablement l'option la plus sûre est d'enregistrer les mots de passe dans le navigateur mais de les protéger avec un mot de passe principal (au moins dans Firefox).

J'ai un travail à faire, ce qui peut aider.

Vous pouvez créer un hack de police personnalisé. Donc, faites une police personnalisée, avec tous les caractères comme un point / cercle / étoile par exemple. Utilisez-la comme police personnalisée pour votre site Web. Vérifiez comment faire cela dans Inkscape: comment créer votre propre police

Ensuite, sur votre formulaire de connexion, utilisez:

<form autocomplete='off'  ...>
   <input type="text" name="email" ...>
   <input type="text" name="password" class="password" autocomplete='off' ...>
   <input type=submit>
</form>

Ajoutez ensuite votre css:

@font-face {
    font-family: 'myCustomfont';
    src: url('myCustomfont.eot');
    src: url('myCustomfont?#iefix') format('embedded-opentype'),
         url('myCustomfont.woff') format('woff'),
         url('myCustomfont.ttf') format('truetype'),
         url('myCustomfont.svg#myCustomfont') format('svg');
    font-weight: normal;
    font-style: normal;

}
.password {
  font-family:'myCustomfont';
}

Compatible avec plusieurs navigateurs. J'ai essayé IE6 +, FF, Safari et Chrome. Assurez-vous simplement que la police oet que vous convertissez n'est pas corrompue. J'espère que cela aide?

Le moyen le plus simple de résoudre ce problème consiste à placer les champs INPUT à l'extérieur de la balise FORM et à ajouter deux champs masqués à l'intérieur de la balise FORM. Ensuite, dans un écouteur d'événements de soumission avant que les données du formulaire ne soient soumises au serveur, copiez les valeurs de l'entrée visible vers les invisibles.

Voici un exemple (vous ne pouvez pas l'exécuter ici, car l'action de formulaire n'est pas définie sur un vrai script de connexion):

<!doctype html>
<html>
<head>
  <title>Login & Save password test</title>
  <meta charset="utf-8">
  <script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.2/jquery.min.js"></script>
</head>

  <body>
      <!-- the following fields will show on page, but are not part of the form -->
      <input class="username" type="text" placeholder="Username" />
      <input class="password" type="password" placeholder="Password" />

      <form id="loginForm" action="login.aspx" method="post">
        <!-- thw following two fields are part of the form, but are not visible -->
        <input name="username" id="username" type="hidden" />
        <input name="password" id="password" type="hidden" />
        <!-- standard submit button -->
        <button type="submit">Login</button>
      </form>

    <script>
      // attache a event listener which will get called just before the form data is sent to server
      $('form').submit(function(ev) {
        console.log('xxx');
        // read the value from the visible INPUT and save it to invisible one
        // ... so that it gets sent to the server
        $('#username').val($('.username').val());
        $('#password').val($('.password').val());
      });
    </script>

  </body>
</html>

Ma solution de contournement js (jquery) consiste à changer le type d'entrée du mot de passe en texte sur le formulaire soumis . Le mot de passe pourrait devenir visible pendant une seconde, donc je cache également l'entrée juste avant cela. Je préfère ne pas l'utiliser pour les formulaires de connexion , mais cela est utile (avec autocomplete = "off"), par exemple dans la partie administration du site Web.

Essayez de mettre cela dans une console (avec jquery), avant de soumettre le formulaire.

$('form').submit(function(event) {
    $(this).find('input[type=password]').css('visibility', 'hidden').attr('type', 'text');
});

Testé sur Chrome 44.0.2403.157 (64 bits).

J'ai testé de nombreuses solutions. Nom de champ de mot de passe dynamique, plusieurs champs de mot de passe (invisibles pour les faux), changement du type d'entrée de "texte" en "mot de passe", autocomplete = "off", autocomplete = "nouveau-mot de passe", ... mais rien ne l'a résolu avec les récents navigateur.

Pour me débarrasser du mot de passe, souvenez-vous, j'ai finalement traité le mot de passe comme un champ de saisie et "flouté" le texte tapé.

Il est moins «sûr» qu'un champ de mot de passe natif car la sélection du texte tapé l'afficherait en texte clair, mais le mot de passe n'est pas mémorisé. Cela dépend également de l'activation de Javascript.

Vous aurez une estimation du risque d'utilisation de l'option de proposition ci-dessous par rapport au mot de passe du navigateur.

Bien que la mémorisation des mots de passe puisse être gérée (déséquilibrée par site) par l'utilisateur, c'est bien pour un ordinateur personnel, pas pour un ordinateur "public" ou partagé.

Dans mon cas, c'est pour un ERP fonctionnant sur des ordinateurs partagés, je vais donc essayer ma solution ci-dessous.

<input style="background-color: rgb(239, 179, 196); color: black; text-shadow: none;" name="password" size="10" maxlength="30" onfocus="this.value='';this.style.color='black'; this.style.textShadow='none';" onkeypress="this.style.color='transparent'; this.style.textShadow='1px 1px 6px green';" autocomplete="off" type="text">

Markus a soulevé un grand point. J'ai décidé de rechercher l' autocompleteattribut et j'ai obtenu ce qui suit:

Le seul inconvénient de l'utilisation de cet attribut est qu'il n'est pas standard (il fonctionne dans les navigateurs IE et Mozilla) et entraînerait l'échec de la validation XHTML. Je pense que c'est un cas où il est raisonnable de rompre la validation cependant. ( source )

Je dois donc dire que même si cela ne fonctionne pas à 100%, il est géré dans les principaux navigateurs, c'est donc une excellente solution.

J'ai essayé dessus autocomplete="off"et pourtant tout a réussi. si vous utilisez js angulaire, ma recommandation est d'aller avec le bouton et le ng-click.

<button type="button" class="" ng-click="vm.login()" />

Cela a déjà une réponse acceptée im ajoutant ceci si quelqu'un ne peut pas résoudre le problème avec la réponse acceptée, il peut aller avec mon mécanisme.

Merci pour la question et les réponses.

Une façon que je sais est d'utiliser (par exemple) JavaScript pour copier la valeur du champ de mot de passe avant de soumettre le formulaire.

Le principal problème est que la solution est liée à JavaScript.

Là encore, s'il peut être lié à JavaScript, vous pouvez aussi hacher le mot de passe côté client avant d'envoyer une demande au serveur.

Le vrai problème est beaucoup plus profond que l'ajout d'attributs à votre code HTML - c'est un problème de sécurité commun, c'est pourquoi les gens ont inventé des clés matérielles et d'autres choses folles pour la sécurité.

Imaginez que la saisie semi-automatique = "off" fonctionne parfaitement dans tous les navigateurs. Est-ce que cela aiderait à la sécurité? Bien sûr que non. Les utilisateurs noteront leurs mots de passe dans des manuels, sur des autocollants attachés à leur moniteur où chaque visiteur du bureau peut les voir, les enregistrer dans des fichiers texte sur le bureau, etc.

En règle générale, l'application Web et le développeur Web ne sont en aucun cas responsables de la sécurité de l'utilisateur final. Les utilisateurs finaux ne peuvent se protéger que. Idéalement, ils DOIVENT garder tous les mots de passe dans leur tête et utiliser la fonctionnalité de réinitialisation du mot de passe (ou contacter l'administrateur) au cas où ils l'oublieraient. Sinon, il y aura toujours un risque que le mot de passe soit visible et volé.

Donc, soit vous avez une politique de sécurité folle avec des clés matérielles (comme certaines banques proposent des services bancaires sur Internet qui utilisent essentiellement une authentification à deux facteurs), soit AUCUNE SÉCURITÉ en gros. Eh bien, c'est un peu exagéré bien sûr. Il est important de comprendre contre quoi essayez-vous de vous protéger:

1. Accès non autorisé. Le formulaire de connexion le plus simple suffit essentiellement. Il y a parfois des mesures supplémentaires prises comme des questions de sécurité aléatoires, des CAPTCHA, le renforcement des mots de passe, etc.
2. Reniflage d'informations d'identification. HTTPS est un MUST si les gens accèdent à votre application Web à partir de points d'accès Wi-Fi publics, etc.
3. Attaque d'initié. Il existe deux exemples de ce type, à partir du simple vol de vos mots de passe dans le navigateur ou de ceux que vous avez écrits quelque part sur le bureau (ne nécessite aucune compétence informatique) et se terminant par la création de session et l'interception du trafic réseau local (même crypté) et d'accéder à une application Web comme s'il s'agissait d'un autre utilisateur final.

Dans ce post, je peux voir des exigences inadéquates imposées au développeur qu'il ne pourra jamais résoudre en raison de la nature du problème - la sécurité de l'utilisateur final. Mon point de vue subjectif est que le développeur devrait essentiellement dire NON et pointer sur le problème des exigences plutôt que de perdre du temps sur de telles tâches, honnêtement. Cela ne rend pas absolument votre système plus sûr, cela conduira plutôt aux étuis avec des autocollants sur les moniteurs. Malheureusement, certains patrons n'entendent que ce qu'ils veulent entendre. Cependant, si j'étais vous, j'essaierais d'expliquer d'où vient le problème réel, et cette autocomplete = "off" ne le résoudrait que si elle obligeait les utilisateurs à garder tous leurs mots de passe exclusivement dans leur tête! Le développeur de son côté ne peut pas protéger complètement les utilisateurs,

Face au même problème HIPAA et trouvé une solution relativement simple,

1. Créez un champ de mot de passe masqué avec le nom du champ sous forme de tableau.

   <input type="password" name="password[]" style="display:none" />
   

2. Utilisez le même tableau pour le champ de mot de passe réel.

   <input type="password" name="password[]" />
   

Le navigateur (Chrome) peut vous inviter à "Enregistrer le mot de passe", mais peu importe si l'utilisateur sélectionne enregistrer, la prochaine fois qu'il se connectera, le mot de passe remplira automatiquement le champ de mot de passe caché, l'emplacement zéro dans la baie, en laissant le 1er emplacement vide.

J'ai essayé de définir le tableau, tel que "mot de passe [part2]", mais il s'en souvenait toujours. Je pense qu'il le jette s'il s'agit d'un tableau non indexé car il n'a pas d'autre choix que de le déposer au premier endroit.

Ensuite, vous utilisez votre langage de programmation de choix pour accéder au tableau, PHP par exemple,

echo $_POST['password'][1];

Comme la plupart des autocompletesuggestions, y compris la réponse acceptée, ne fonctionnent pas dans les navigateurs web d'aujourd'hui (gestionnaires de mot de passe du navigateur web -à- dire ignorer autocomplete), une solution plus originale est d'échanger entre passwordettext types et faire correspondre la couleur de fond la couleur du texte lorsque le champ est un champ de texte brut, qui continue de masquer le mot de passe tout en étant un véritable champ de mot de passe lorsque l'utilisateur (ou un programme comme KeePass) entre un mot de passe. Les navigateurs ne demandent pas d'enregistrer les mots de passe stockés dans des champs de texte brut.

L'avantage de cette approche est qu'elle permet une amélioration progressive et ne nécessite donc pas Javascript pour qu'un champ fonctionne comme un champ de mot de passe normal (vous pouvez également commencer par un champ de texte brut à la place et appliquer la même approche, mais ce n'est pas vraiment HIPAA Conforme PHI / PII). Cette approche ne dépend pas non plus de formulaires / champs cachés qui ne sont pas nécessairement envoyés au serveur (car ils sont masqués) et certaines de ces astuces ne fonctionnent pas non plus dans plusieurs navigateurs modernes.

Plugin jQuery:

https://github.com/cubiclesoft/php-flexforms-modules/blob/master/password-manager/jquery.stoppasswordmanager.js

Code source pertinent à partir du lien ci-dessus:

(function($) {
$.fn.StopPasswordManager = function() {
    return this.each(function() {
        var $this = $(this);

        $this.addClass('no-print');
        $this.attr('data-background-color', $this.css('background-color'));
        $this.css('background-color', $this.css('color'));
        $this.attr('type', 'text');
        $this.attr('autocomplete', 'off');

        $this.focus(function() {
            $this.attr('type', 'password');
            $this.css('background-color', $this.attr('data-background-color'));
        });

        $this.blur(function() {
            $this.css('background-color', $this.css('color'));
            $this.attr('type', 'text');
            $this[0].selectionStart = $this[0].selectionEnd;
        });

        $this.on('keydown', function(e) {
            if (e.keyCode == 13)
            {
                $this.css('background-color', $this.css('color'));
                $this.attr('type', 'text');
                $this[0].selectionStart = $this[0].selectionEnd;
            }
        });
    });
}
}(jQuery));

Démo:

https://barebonescms.com/demos/admin_pack/admin.php

Cliquez sur "Ajouter une entrée" dans le menu, puis faites défiler vers le bas de la page jusqu'à "Module: Stop Password Manager".

Avertissement: Bien que cette approche fonctionne pour les personnes voyantes, il peut y avoir des problèmes avec le logiciel de lecture d'écran. Par exemple, un lecteur d'écran peut lire à haute voix le mot de passe de l'utilisateur car il voit un champ de texte en clair. L'utilisation du plug-in ci-dessus peut également entraîner d'autres conséquences imprévues. La modification de la fonctionnalité de navigateur Web intégrée doit être effectuée avec parcimonie en testant une grande variété de conditions et de cas marginaux.

Existe-t-il un moyen pour un site de dire au navigateur de ne pas proposer de se souvenir des mots de passe?

Le site Web indique au navigateur qu'il s'agit d'un mot de passe en utilisant <input type="password">. Donc, si vous devez le faire du point de vue d'un site Web, vous devrez changer cela. (Évidemment, je ne le recommande pas).

La meilleure solution serait que l'utilisateur configure son navigateur pour qu'il ne se souvienne pas des mots de passe.

Si vous ne souhaitez pas faire confiance à l'indicateur de saisie semi-automatique, vous pouvez vous assurer que l'utilisateur tape dans la zone à l'aide de l'événement onchange. Le code ci-dessous est un simple formulaire HTML. L'élément de formulaire masqué password_edited commence défini sur 0. Lorsque la valeur du mot de passe est modifiée, le JavaScript en haut (fonction pw_edited) change la valeur à 1. Lorsque le bouton est enfoncé, il vérifie le code de valeur ici avant de soumettre le formulaire . De cette façon, même si le navigateur vous ignore et complète automatiquement le champ, l'utilisateur ne peut pas passer la page de connexion sans saisir le mot de passe. Assurez-vous également de vider le champ du mot de passe lorsque la mise au point est définie. Sinon, vous pouvez ajouter un caractère à la fin, puis revenir en arrière et le supprimer pour tromper le système. Je recommande également d'ajouter l'autocomplete = "off" au mot de passe, mais cet exemple montre comment fonctionne le code de sauvegarde.

<html>
  <head>
    <script>
      function pw_edited() {
        document.this_form.password_edited.value = 1;
      }
      function pw_blank() {
        document.this_form.password.value = "";
      }
      function submitf() {
        if(document.this_form.password_edited.value < 1) {
          alert("Please Enter Your Password!");
        }
        else {
         document.this_form.submit();
        }
      }
    </script>
  </head>
  <body>
    <form name="this_form" method="post" action="../../cgi-bin/yourscript.cgi?login">
      <div style="padding-left:25px;">
        <p>
          <label>User:</label>
          <input name="user_name" type="text" class="input" value="" size="30" maxlength="60">
        </p>
        <p>
          <label>Password:</label>
          <input name="password" type="password" class="input" size="20" value="" maxlength="50" onfocus="pw_blank();" onchange="pw_edited();">
        </p>
        <p>
          <span id="error_msg"></span>
        </p>
        <p>
          <input type="hidden" name="password_edited" value="0">
          <input name="submitform" type="button" class="button" value="Login" onclick="return submitf();">
        </p>
      </div>
    </form>
  </body>
</html>

autocomplete = "off" ne fonctionne pas pour désactiver le gestionnaire de mots de passe dans Firefox 31 et très probablement pas dans certaines versions antérieures.

Consultez la discussion sur mozilla à propos de ce problème: https://bugzilla.mozilla.org/show_bug.cgi?id=956906

Nous voulions utiliser un deuxième champ de mot de passe pour entrer un mot de passe à usage unique généré par un jeton. Maintenant, nous utilisons une entrée de texte au lieu d'une entrée de mot de passe. :-(

On m'a donné une tâche similaire pour désactiver le remplissage automatique du nom de connexion et des mots de passe par le navigateur, après beaucoup d'essais et d'erreurs, j'ai trouvé la solution ci-dessous optimale. Ajoutez simplement les contrôles ci-dessous avant vos contrôles d'origine.

<input type="text" style="display:none">
<input type="text" name="OriginalLoginTextBox">

<input type="password" style="display:none">
<input type="text" name="OriginalPasswordTextBox">

Cela fonctionne bien pour IE11 et Chrome 44.0.2403.107

autocomplete = "off" fonctionne pour la plupart des navigateurs modernes, mais une autre méthode que j'ai utilisée et qui a fonctionné avec succès avec Epiphany (un navigateur WebKit pour GNOME) consiste à stocker un préfixe généré aléatoirement en état de session (ou un champ caché, je me trouvais avoir une variable appropriée dans l'état de session déjà), et utilisez-la pour modifier le nom des champs. Epiphany veut toujours enregistrer le mot de passe, mais en revenant au formulaire, il ne remplira pas les champs.

Je n'ai eu aucun problème en utilisant cette méthode:

Utilisez autocomplete = "off", ajoutez un champ de mot de passe caché puis un autre non caché. Le navigateur essaie de compléter automatiquement celui caché s'il ne respecte pas autocomplete = "off"

Une autre solution consiste à faire le POST en utilisant un formulaire caché où toutes les entrées sont de type caché. Le formulaire visible utilisera une entrée de type "mot de passe". Ce dernier formulaire ne sera jamais soumis et le navigateur ne peut donc pas intercepter du tout l'opération de connexion.