ブラウザの「パスワードを保存」機能を無効にする

政府の医療機関で働く喜びの1つは、PHI（保護された健康情報）の扱いに関するパラノイアのすべてに対処しなければならないことです。誤解しないでください。私はすべての人の個人情報（健康、経済、サーフィンの習慣など）を保護するために可能な限りのことをしますが、時々人々は少しびくびくしています。

適例：ある州の顧客の1人が、パスワードを保存するための便利な機能がブラウザーに備わっていることを最近知りました。それはしばらくの間存在し、完全にオプションであり、使用するかどうかの賢明な決定であるかどうかを決定するのはエンドユーザー次第であることは誰もが知っています。ただし、現時点では多少の騒動があり、サイトでその機能を無効にする方法を見つけることが求められています。

質問：サイトがブラウザにパスワードを記憶させないように指示する方法はありますか？私は長い間Web開発に携わってきましたが、これまでに遭遇したことはありません。

どんな助けでもありがたいです。

すべてのブラウザで機能するかどうかはわかりませんが、フォームでautocomplete = "off"を設定してみてください。

<form id="loginForm" action="login.cgi" method="post" autocomplete="off">

フォームとパスワードの保存プロンプトを無効にし、フォームデータがセッション履歴にキャッシュされないようにする最も簡単で最も簡単な方法は、オートコンプリートフォーム要素の属性を "off"の値で使用することです。

http://developer.mozilla.org/En/How_to_Turn_Off_Form_Autocompletionから

いくつかのマイナーな研究はこれがIEで機能することを示していますが、私は保証を残しません;）

@Joseph：実際のマークアップでXHTML検証に合格することが厳密な要件である場合（理由がわからない場合）後で理論的にこの属性をjavascriptで追加できますが、その後jsを無効にしたユーザー（おそらく無視できる量のユーザーベース）または、サイトでjsが必要な場合はゼロ）でもパスワードは保存されます。

jQueryの例：

$('#loginForm').attr('autocomplete', 'off');

に加えて

autocomplete="off"

使用する

readonly onfocus="this.removeAttribute('readonly');"

入力のためにあなたは彼らがフォームデータ（覚えてしたくないことをusername、password以下に示すように、など）：

<input type="text" name="UserName" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

<input type="password" name="Password" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

最新の主要なブラウザのIEのバージョンでテストされGoogle Chrome、Mozilla Firefox、Microsoft Edge、などと魔法のように動作します。お役に立てれば。

私はこの問題に独特のひねりを加えて、しばらくの間この問題に取り組んでいました。特権ユーザーは、保存されたパスワードを機能させることができませんでしたが、通常のユーザーはそれを必要としていました。つまり、特権ユーザーは2回ログインする必要があり、2回目は保存されたパスワードを強制しませんでした。

この要件ではautocomplete="off"、最初のログインからパスワードが保存されている可能性があるため、すべてのブラウザで標準の方法が機能するわけではありません。同僚は、パスワードフィールドが新しいパスワードフィールドでフォーカスされている場合に、そのパスワードフィールドを置き換えてから、新しいパスワードフィールドにフォーカスする（同じイベントハンドラーをフックする）ソリューションを見つけました。これは機能しました（ただし、IE6で無限ループが発生しました）。多分それを回避する方法があったが、それは私に片頭痛を引き起こしていた。

最後に、ユーザー名とパスワードだけをフォームの外に表示するようにしました。驚いたことに、これはうまくいきました！IE6、およびLinux上のFirefoxとChromeの現在のバージョンで動作しました。私はそれをさらにテストしていませんが、すべてのブラウザーではないにしてもほとんどのブラウザーで機能すると思われます（ただし、フォームがなくても気にならなかったブラウザーがそこにあったとしても驚かないでしょう）。

以下は、サンプルコードと、それを機能させるためのjQueryです。

<input type="text" id="username" name="username"/>
<input type="password" id="password" name="password"/>

<form id="theForm" action="/your/login" method="post">
  <input type="hidden" id="hiddenUsername" name="username"/>
  <input type="hidden" id="hiddenPassword" name="password"/>
  <input type="submit" value="Login"/>
</form>

<script type="text/javascript" language="JavaScript">
  $("#theForm").submit(function() {
    $("#hiddenUsername").val($("#username").val());
    $("#hiddenPassword").val($("#password").val());
  });
  $("#username,#password").keypress(function(e) {
    if (e.which == 13) {
      $("#theForm").submit();
    }
  });
</script>

まあ、それは非常に古い投稿ですが、それでも私のチームが長い間達成しようとしてきた解決策を提供します。フォーム内に新しいinput type = "password"フィールドを追加してdivでラップし、divを非表示にしました。このdivが実際のパスワード入力の前にあることを確認しました。これは私たちにとってはうまくいき、パスワードを保存するオプションはありませんでした

プランク-http : //plnkr.co/edit/xmBR31NQMUgUhYHBiZSg?p= preview

HTML：

<form method="post" action="yoururl">
      <div class="hidden">
        <input type="password"/>
      </div>
      <input type="text" name="username" placeholder="username"/>
      <input type="password" name="password" placeholder="password"/>
    </form>

CSS：

.hidden {display:none;}

各ショーのパスワードフィールドに使用される名前をランダム化することにより、ブラウザがフォームを照合しないようにすることができます。そして、ブラウザは同じURLのパスワードを見ているが、それはだ確認することはできません同じパスワード。多分それは何か他のものを制御しています。

更新：他の人が指摘する理由により、これはオートコンプリートや他の戦術を使用することに加えて、それらの代わりではないことに注意してください。

また、これはブラウザがパスワードを自動入力するのを妨げるだけであることにも注意してください。ブラウザが使用することを選択したセキュリティの任意のレベルにパスワードを保存することを妨げません。

実際の2要素認証を使用して、ユーザーのブラウザキャッシュよりも多くの場所に格納される可能性があるパスワードへの唯一の依存を回避します。

最もクリーンな方法はautocomplete="off"タグ属性を使用することですが、タブでフィールドを切り替えると、Firefoxは適切にそれに従いません。

これを防ぐ唯一の方法は、偽の隠しパスワードフィールドを追加して、ブラウザにパスワードを入力させることです。

<input type="text" id="username" name="username"/>
<input type="password" id="prevent_autofill" autocomplete="off" style="display:none" tabindex="-1" />
<input type="password" id="password" autocomplete="off" name="password"/>

ブラウザーの動作を変更するため、これは醜いハックです。これは悪い習慣と見なされるべきです。本当に必要な場合にのみ使用してください。

注：FFは#prevent_autofill（空の）の値を「保存」し、そこに保存されているパスワードを入力しようとするため、これはパスワードの自動入力を効果的に停止しますtype="password"。入力。

すべての主要なブラウザーでフォームタグにautocomplete = "off"を追加することをテストしました。実際、これまでにIE8を使用している米国のほとんどの人々。

1. IE8、IE9、IE10、Firefox、Safariは正常に動作します。

   ブラウザが「パスワードの保存」を要求しない。また、以前に保存されたユーザー名とパスワードが入力されていません。

2. ChromeおよびIE 11はautocomplete = "off"機能をサポートしていません
3. autocomplete = "off"をサポートするFF。ただし、既存の保存された資格情報が入力される場合があります。

2014年6月11日に更新

最後に、以下はJavaScriptを使用したクロスブラウザーソリューションであり、すべてのブラウザーで正常に動作しています。

ログインフォームの「フォーム」タグを削除する必要があります。クライアント側の検証後、その資格情報を非表示の形式にして送信します。

また、2つのメソッドを追加します。1つは検証用の「validateLogin（）」、もう1つはテキストボックス/パスワード/ボタン「checkAndSubmit（）」でEnterをクリックしながらEnterイベントをリッスンするためのものです。ログインフォームにはフォームタグがないため、ここではイベントを入力しないでください。

HTML

<form id="HiddenLoginForm" action="" method="post">
<input type="hidden" name="username" id="hidden_username" />
<input type="hidden" name="password" id="hidden_password" />
</form>

Username: <input type="text" name="username" id="username" onKeyPress="return checkAndSubmit(event);" /> 
Password: <input type="text" name="password" id="password" onKeyPress="return checkAndSubmit(event);" /> 
<input type="button" value="submit" onClick="return validateAndLogin();" onKeyPress="return checkAndSubmit(event);" /> 

Javascript

//For validation- you can modify as you like
function validateAndLogin(){
  var username = document.getElementById("username");
  var password = document.getElementById("password");

  if(username  && username.value == ''){
    alert("Please enter username!");
    return false;
  }

  if(password && password.value == ''){
    alert("Please enter password!");
    return false;
  }

  document.getElementById("hidden_username").value = username.value;
  document.getElementById("hidden_password").value = password.value;
  document.getElementById("HiddenLoginForm").submit();
}

//For enter event
function checkAndSubmit(e) {
 if (e.keyCode == 13) {
   validateAndLogin();
 }
}

幸運を！！！

そうではない-あなたが現実的にできる唯一のことは、サイトでアドバイスを提供することです。おそらく、初めてサインインする前に、ブラウザにパスワードを保存することを推奨しないことを示す情報をフォームに表示できます。

その後、ユーザーはすぐにアドバイスに従い、付箋にパスワードを書き留め、モニターに貼り付けます。

私がやっていることは、javascript / jQueryを使用してautocomplete = "off"とパスワードフィールドをクリアすることの組み合わせです。

jQueryの例：

$(function() { 
    $('#PasswordEdit').attr("autocomplete", "off");
    setTimeout('$("#PasswordEdit").val("");', 50); 
});

を使用setTimeout()すると、ブラウザがフィールドをクリアするまで待ってからフィールドをクリアできます。そうしないと、フィールドをクリアした後、ブラウザは常にオートコンプリートします。

autocomplete = "off"が機能しない場合... formタグを削除し、代わりにdivタグを使用してから、jqueryを使用してフォームの値をサーバーに渡します。これでうまくいきました。

autocomplete = "off"はパスワードフィールドでは機能しないため、JavaScriptを使用する必要があります。ここにある答えに基づいた簡単な解決策があります。

属性data-password-autocomplete = "off"をパスワードフィールドに追加します。

<input type="password" data-password-autocomplete="off">

次のJSを含めます。

$(function(){
    $('[data-password-autocomplete="off"]').each(function() {
        $(this).prop('type', 'text');
        $('<input type="password"/>').hide().insertBefore(this);
        $(this).focus(function() {
            $(this).prop('type', 'password');
        });
    });     
});

このソリューションはChromeとFFの両方で機能します。

「オートコンプリート」属性はほとんどの場合機能しますが、パワーユーザーはブックマークレットを使用してそれを回避できます。

ブラウザーにパスワードを保存させると、キーロギングに対する保護が実際に高まるため、おそらくブラウザーでパスワードを保存し、マスターパスワード（少なくともFirefoxでは）で保護するのが最も安全なオプションです。

回避できる回避策があります。

カスタムフォントハックを作成できます。したがって、すべての文字をドット/サークル/スターなどのカスタムフォントにしてください。これをWebサイトのカスタムフォントとして使用します。これをinkscapeで行う方法を確認してください：独自のフォントを作成する方法

次に、フォームにログインして使用します：

<form autocomplete='off'  ...>
   <input type="text" name="email" ...>
   <input type="text" name="password" class="password" autocomplete='off' ...>
   <input type=submit>
</form>

次に、CSSを追加します。

@font-face {
    font-family: 'myCustomfont';
    src: url('myCustomfont.eot');
    src: url('myCustomfont?#iefix') format('embedded-opentype'),
         url('myCustomfont.woff') format('woff'),
         url('myCustomfont.ttf') format('truetype'),
         url('myCustomfont.svg#myCustomfont') format('svg');
    font-weight: normal;
    font-style: normal;

}
.password {
  font-family:'myCustomfont';
}

プリティクロスブラウザ互換。IE6 +、FF、Safari、Chromeを試しました。変換するoetフォントが破損しないことを確認してください。それが役に立てば幸い？

この問題を解決する最も簡単な方法は、FORMタグの外側にINPUTフィールドを配置し、FORMタグの内側に2つの非表示フィールドを追加することです。次に、送信イベントリスナーで、フォームデータがサーバーに送信される前に、表示されている入力から非表示の入力に値をコピーします。

次に例を示します（フォームアクションが実際のログインスクリプトに設定されていないため、ここでは実行できません）。

<!doctype html>
<html>
<head>
  <title>Login & Save password test</title>
  <meta charset="utf-8">
  <script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.2/jquery.min.js"></script>
</head>

  <body>
      <!-- the following fields will show on page, but are not part of the form -->
      <input class="username" type="text" placeholder="Username" />
      <input class="password" type="password" placeholder="Password" />

      <form id="loginForm" action="login.aspx" method="post">
        <!-- thw following two fields are part of the form, but are not visible -->
        <input name="username" id="username" type="hidden" />
        <input name="password" id="password" type="hidden" />
        <!-- standard submit button -->
        <button type="submit">Login</button>
      </form>

    <script>
      // attache a event listener which will get called just before the form data is sent to server
      $('form').submit(function(ev) {
        console.log('xxx');
        // read the value from the visible INPUT and save it to invisible one
        // ... so that it gets sent to the server
        $('#username').val($('.username').val());
        $('#password').val($('.password').val());
      });
    </script>

  </body>
</html>

私のjs（jquery）の回避策は、フォームの送信時にパスワードの入力タイプをテキストに変更することです。パスワードが一瞬表示される可能性があるため、その直前の入力も非表示にします。ログインフォームには使用しませんが、たとえば、Webサイトの管理部分内で（autocomplete = "off"と一緒に）役立ちます。

フォームを送信する前に、これを（jqueryを使用して）コンソール内に配置してみてください。

$('form').submit(function(event) {
    $(this).find('input[type=password]').css('visibility', 'hidden').attr('type', 'text');
});

Chrome 44.0.2403.157（64ビット）でテスト済み。

たくさんのソリューションをテストしました。動的パスワードフィールド名、複数のパスワードフィールド（偽のフィールドでは非表示）、入力タイプを「テキスト」から「パスワード」に変更、autocomplete = "off"、autocomplete = "new-password"、...しかし、最近は何も解決されていませんブラウザ。

パスワードの記憶をなくすために、最終的にパスワードを入力フィールドとして扱い、入力したテキストを「ぼかし」ます。

入力したテキストを選択するとクリアテキストとして表示されるため、ネイティブパスワードフィールドよりも「安全」ではありませんが、パスワードは記憶されません。また、Javascriptがアクティブになっていることにも依存します。

ナビゲーターの以下の提案対パスワード記憶オプションを使用するリスクを推定する必要があります。

パスワードの記憶はユーザーが管理（サイトごとに無効化）できますが、「パブリック」または共有コンピューターではなく、パーソナルコンピューターでは問題ありません。

私の場合は、共有コンピューターで実行されているERPの場合なので、以下の解決策を試してみます。

<input style="background-color: rgb(239, 179, 196); color: black; text-shadow: none;" name="password" size="10" maxlength="30" onfocus="this.value='';this.style.color='black'; this.style.textShadow='none';" onkeypress="this.style.color='transparent'; this.style.textShadow='1px 1px 6px green';" autocomplete="off" type="text">

マーカスは素晴らしいポイントを上げました。私はautocomplete属性を調べることに決めて、以下を得ました：

この属性を使用することの唯一の欠点は、標準ではないこと（IEおよびMozillaブラウザーで機能する）、XHTML検証が失敗することです。これは、検証を中断するのが妥当な場合だと思います。 （ソース）

だから私はそれが全面的に100％動作しないが主要なブラウザで処理されるのでそれは素晴らしい解決策であると言わざるを得ないでしょう。

私は上記を試しましたがautocomplete="off"、何も成功しました。角度jsを使用している場合、ボタンとng-clickを使用することをお勧めします。

<button type="button" class="" ng-click="vm.login()" />

これは、誰かが私のメカニズムで受け入れることができる受け入れられた回答で問題を解決できない場合、これを追加してすでに受け入れられた回答を持っています。

質問と回答をありがとう。

私が知っている1つの方法は、（たとえば）JavaScriptを使用して、フォームを送信する前にパスワードフィールドから値をコピーすることです。

これの主な問題は、ソリューションがJavaScriptに関連付けられていることです。

また、JavaScriptに関連付けることができる場合は、サーバーにリクエストを送信する前にクライアント側でパスワードをハッシュすることもできます。

本当の問題は、単にHTMLに属性を追加することよりもはるかに深いものです。これは一般的なセキュリティの問題であり、そのためにセキュリティのためにハードウェアキーやその他のクレイジーなものが発明されました。

すべてのブラウザーで完全に機能するautocomplete = "off"があるとします。それはセキュリティに役立ちますか？もちろん、違います。ユーザーは自分のパスワードを教科書やモニターに貼られたステッカーに書き留めて、すべてのオフィスの訪問者がそれらを見ることができるようにし、デスクトップなどのテキストファイルに保存します。

一般に、WebアプリケーションとWeb開発者は、エンドユーザーのセキュリティについて一切責任を負いません。エンドユーザーは自分自身のみを保護できます。理想的には、すべてのパスワードを頭に留め、忘れた場合に備えてパスワードリセット機能（または管理者に連絡）を使用する必要があります。そうしないと、常にパスワードが見られ、何らかの方法で盗まれるリスクがあります。

したがって、ハードウェアキーを使用したクレイジーなセキュリティポリシー（一部の銀行は、基本的に2要素認証を採用するインターネットバンキングを提供しています）を持っているか、または基本的にセキュリティがありません。もちろん、これは少し誇張されています。何から保護しようとしているのかを理解することが重要です。

1. 許可されていないアクセス。基本的には、最も単純なログインフォームで十分です。ランダムなセキュリティの質問、CAPTCHA、パスワードの強化など、追加の対策が行われることがあります。
2. 資格情報の盗聴。人々が公共のWi-FiホットスポットなどからWebアプリケーションにアクセスする場合、HTTPSは必須です。HTTPSを使用している場合でも、ユーザーは定期的にパスワードを変更する必要があることに言及してください。
3. インサイダー攻撃。そのような例は2つあります。ブラウザからのパスワードの単純な盗みから始まるか、デスクのどこかに書き留めたもの（ITスキルは必要ありません）から始まり、セッションの偽造とローカルネットワークトラフィックのインターセプト（暗号化されていても）で終わります。さらに別のエンドユーザーと同じように、さらにWebアプリケーションにアクセスします。

この特定の投稿では、問題の性質（エンドユーザーのセキュリティ）のために彼が解決できない開発者に課された不十分な要件を見ることができます。私の主観的なポイントは、開発者は基本的にそのようなタスクに時間を無駄にするのではなく、基本的にNOと言って要件の問題を指摘するべきだということです。これにより、システムの安全性が完全に向上するわけではありません。むしろ、モニターにステッカーが貼られている場合があります。残念ながら、一部のボスは聞きたいものだけを聞きます。ただし、私があなたである場合、実際の問題の原因を説明しようとしますが、autocomplete = "off"は、ユーザーにすべてのパスワードを頭に独占的に保持させない限り、それを解決しません。彼の側の開発者はユーザーを完全に保護することはできません、

同じHIPAAの問題に直面し、比較的簡単な解決策を見つけた、

1. フィールド名を配列として使用して、非表示のパスワードフィールドを作成します。

   <input type="password" name="password[]" style="display:none" />
   

2. 実際のパスワードフィールドには同じ配列を使用します。

   <input type="password" name="password[]" />
   

ブラウザ（Chrome）から「パスワードの保存」を求められる場合がありますが、ユーザーが[保存]を選択したかどうかに関係なく、次回ログインしたときにパスワードが非表示のパスワードフィールドに自動的に入力されます。

「password [part2]」のように配列を定義してみましたが、まだ覚えていました。最初の場所にドロップする以外に選択肢がないため、インデックスのない配列の場合は、スローされます。

次に、選択したプログラミング言語を使用して配列（PHPなど）にアクセスします。

echo $_POST['password'][1];

autocomplete承認された回答を含むほとんどの提案は、今日のWebブラウザーでは機能しない（つまり、Webブラウザーのパスワードマネージャーは無視するautocomplete）ので、より斬新なソリューションはpassword、text、フィールドタイプ、背景色をテキストの色と一致させることです。ユーザー（またはKeePassのようなプログラム）がパスワードを入力するときに、実際のパスワードフィールドである一方で、パスワードを非表示にし続けるプレーンテキストフィールドです。ブラウザは、プレーンテキストフィールドに保存されているパスワードの保存を要求しません。

このアプローチの利点は、プログレッシブ拡張が可能であるため、フィールドが通常のパスワードフィールドとして機能するためにJavaScriptを必要としないことです（代わりにプレーンテキストフィールドから開始して同じアプローチを適用することもできますが、実際にはHIPAAではありません） PHI / PII準拠）。このアプローチは、必ずしもサーバーに送信されるとは限らない非表示のフォーム/フィールドに依存しません（非表示であるため）。また、これらのトリックのいくつかは、いくつかの最新のブラウザーでも機能しません。

jQueryプラグイン：

https://github.com/cubiclesoft/php-flexforms-modules/blob/master/password-manager/jquery.stoppasswordmanager.js

上記のリンクからの関連するソースコード：

(function($) {
$.fn.StopPasswordManager = function() {
    return this.each(function() {
        var $this = $(this);

        $this.addClass('no-print');
        $this.attr('data-background-color', $this.css('background-color'));
        $this.css('background-color', $this.css('color'));
        $this.attr('type', 'text');
        $this.attr('autocomplete', 'off');

        $this.focus(function() {
            $this.attr('type', 'password');
            $this.css('background-color', $this.attr('data-background-color'));
        });

        $this.blur(function() {
            $this.css('background-color', $this.css('color'));
            $this.attr('type', 'text');
            $this[0].selectionStart = $this[0].selectionEnd;
        });

        $this.on('keydown', function(e) {
            if (e.keyCode == 13)
            {
                $this.css('background-color', $this.css('color'));
                $this.attr('type', 'text');
                $this[0].selectionStart = $this[0].selectionEnd;
            }
        });
    });
}
}(jQuery));

デモ：

https://barebonescms.com/demos/admin_pack/admin.php

メニューの[エントリの追加]をクリックし、ページの一番下までスクロールして[モジュール：パスワードマネージャの停止]を表示します。

免責事項：このアプローチは目の見える人に有効ですが、スクリーンリーダーソフトウェアに問題がある可能性があります。たとえば、スクリーンリーダーはプレーンテキストフィールドを表示するため、ユーザーのパスワードを声に出して読む可能性があります。上記のプラグインを使用すると、他にも予期しない結果が生じる可能性があります。組み込みのWebブラウザー機能の変更は、さまざまな条件とエッジケースをテストして慎重に行う必要があります。

サイトがブラウザにパスワードを記憶させないように指示する方法はありますか？

ウェブサイトはを使用して、パスワードであることをブラウザに通知します<input type="password">。だからあなたがしなければならない場合、Webサイトの観点からこれを行うがあるは、変更する必要があります。（明らかに、これはお勧めしません）。

最善の解決策は、ユーザーがブラウザを設定して、パスワードを記憶しないようにすることです。

オートコンプリートフラグを信頼したくない場合は、ユーザーがonchangeイベントを使用してボックスに入力することを確認できます。以下のコードは単純なHTMLフォームです。非表示のフォーム要素password_editedは、最初は0に設定されています。passwordの値が変更されると、上部のJavaScript（pw_edited関数）が値を1に変更します。ボタンが押されると、フォームを送信する前に、ここでvalueenterコードをチェックします。このように、ブラウザがあなたを無視してフィールドをオートコンプリートしても、ユーザーはパスワードフィールドに入力しないとログインページを渡すことができません。また、フォーカスが設定されている場合は、パスワードフィールドを必ず空白にしてください。それ以外の場合は、最後に文字を追加し、戻って削除してシステムをだますことができます。さらにautocomplete = "off"をパスワードに追加することをお勧めしますが、この例はバックアップコードの動作を示しています。

<html>
  <head>
    <script>
      function pw_edited() {
        document.this_form.password_edited.value = 1;
      }
      function pw_blank() {
        document.this_form.password.value = "";
      }
      function submitf() {
        if(document.this_form.password_edited.value < 1) {
          alert("Please Enter Your Password!");
        }
        else {
         document.this_form.submit();
        }
      }
    </script>
  </head>
  <body>
    <form name="this_form" method="post" action="../../cgi-bin/yourscript.cgi?login">
      <div style="padding-left:25px;">
        <p>
          <label>User:</label>
          <input name="user_name" type="text" class="input" value="" size="30" maxlength="60">
        </p>
        <p>
          <label>Password:</label>
          <input name="password" type="password" class="input" size="20" value="" maxlength="50" onfocus="pw_blank();" onchange="pw_edited();">
        </p>
        <p>
          <span id="error_msg"></span>
        </p>
        <p>
          <input type="hidden" name="password_edited" value="0">
          <input name="submitform" type="button" class="button" value="Login" onclick="return submitf();">
        </p>
      </div>
    </form>
  </body>
</html>

autocomplete = "off"は、Firefox 31でパスワードマネージャーを無効にするために機能せず、おそらく一部の以前のバージョンでも機能しません。

この問題に関するmozillaでの議論をチェックしてください：https : //bugzilla.mozilla.org/show_bug.cgi?id=956906

2番目のパスワードフィールドを使用して、トークンによって生成されたワンタイムパスワードを入力したいと考えました。現在、パスワード入力の代わりにテキスト入力を使用しています。:-(

多くの試行錯誤の後、以下の解決策が最適であることを発見した後、ブラウザによるログイン名とパスワードの自動入力を無効にする同様のタスクを与えられました。以下のコントロールを元のコントロールの前に追加するだけです。

<input type="text" style="display:none">
<input type="text" name="OriginalLoginTextBox">

<input type="password" style="display:none">
<input type="text" name="OriginalPasswordTextBox">

これはIE11およびChrome 44.0.2403.107で正常に機能しています

autocomplete = "off"は最近のほとんどのブラウザーで機能しますが、Epiphany（GNOMEのWebKitを使用したブラウザー）で正常に機能する別の方法は、ランダムに生成されたプレフィックスをセッション状態（または非表示フィールド）に保存することです。セッション状態の適切な変数）を使用して、フィールドの名前を変更します。Epiphanyは引き続きパスワードを保存したいのですが、フォームに戻るとフィールドに入力されません。

この方法を使用しても問題はありませんでした。

autocomplete = "off"を使用し、非表示のパスワードフィールドを追加してから、非表示でない別のフィールドを追加します。ブラウザは、autocomplete = "off"を尊重しない場合、非表示のオートコンプリートを試みます

別の解決策は、すべての入力が非表示のタイプである非表示フォームを使用してPOSTを作成することです。表示されるフォームは、「パスワード」タイプの入力を使用します。後者のフォームは送信されないため、ブラウザはログインの操作をまったく傍受できません。