注销后是否应该存储电子邮件地址？

Question

我为 Web 应用程序编写了一个附加组件，它将“记住我”复选框插入到登录表单中。我的一位用户对注销后不被记住感到惊讶！显然，已注销的人应该保持注销状态，尽管有特定请求，我也不会填写密码字段，因为这意味着以明文形式存储密码。

我的问题是，如果用户之前标记了“记住我”框，是否应该预先填写登录表单的电子邮件地址/用户名？
显然，如果在公共计算机上完成，将有效地将他们的个人详细信息广播给使用该计算机的下一个陌生人，但用户无论如何都不应该在公共计算机上使用“记住我”选项。

这样做的安全考虑是什么？用户是否希望在注销后记住他们的一些详细信息？

编辑：我发现浏览器都有一个功能来记住表单值和登录详细信息，也许这没有必要。

Answer 1

如果有人使用了“记住我”功能，您绝对不应该预先填充电子邮件/登录名。请记住，此功能（通常也称为“保持登录状态”）旨在跨会话保持登录状态。这是一项可用性功能，可让用户在每次访问网站时免于重新进行身份验证。

它不是在显式注销后保留登录凭据任何部分的方法。是的，浏览器可以记住表单字段值，例如登录名，但大多数安全指南明确建议禁用此功能（请参阅 面向 .NET 开发人员的 OWASP Top 10 第 3 部分：损坏的身份验证和会话管理）。

就安全系统而言，我当然不认为用户会仅仅因为绝大多数网站不以这种方式运行而期望预先填充这些数据。如果在明确同意的情况下降低进入门槛是可以的，但当用户明确退出或结束其会话时，或者当行为与他们的期望不一致时，就不行了。

Answer 2

“记住我”与“让我保持登录状态”不同。

许多银行网站甚至在用户注销后也使用“记住我”来保存用户名（但不保存会话）（ING Direct 和 Citizens Bank 就是几个例子）。出于安全目的，他们通常会隐藏部分姓名。

为了让用户清楚地了解情况，您可能需要将措辞更改为“保持登录状态”或类似的内容。

Answer 3

假设他们的电子邮件地址被用作他们的用户标识符，这是我期望的行为，并且经常在许多我不期望其具有高安全级别的应用程序中看到这种行为。

更安全的实现是存储加密的标识符，并且仅在用户尝试登录时询问密码。这是我在持有我的金融网站的网站上看到和期望的行为。确保浏览器不记得密码字段对于此类网站非常重要。

最好在复选框旁边放置关于不要在公共计算机上使用“记住我”的警告。