在中国,淘宝、支付宝等B2C/C2C网站需要在登录和支付页面的密码输入栏安装ActiveX等控件。他们的官方原因是反键盘记录和加密密码(它也有 SSL)。
但是控件可能会提供更糟糕的用户体验。就像在 Chrome 中一样,我们不能在输入帐户名之后“Tab”进入控件来输入密码。并且由于权限问题,不允许“输入”在控件中发布帐户和密码。同时,如果用户 PC 中的控件被黑客入侵,则控件可能存在网络钓鱼风险。
我注意到像 ebay、paypal、amazon 这样的全球 B2C/C2C 网站不需要安装任何控件。有时甚至不提供用于输入密码的虚拟键盘。那么防键盘记录器是支付网页设计中必须考虑的因素之一吗?在支付站点中输入密码以平衡安全性和用户体验的最佳做法是什么?