如何破解支付宝自作聪明的登陆页面禁止粘贴密码的设置？

自作聪明？

不能用手机扫码登录吗？

安装扩展 Don ’ t fuck with paste

随机密码没必要用那么长的，满足最低要求就够了

我都是谷歌浏览器记住密码不用输入的。

随机密码一律 6 位，不行就 8 位。因为有时候必须手打，比如在其它设备上输入。
密码本身的强度已经远不是薄弱点了，即使网站被脱裤密码 hash 被爆破，每个账号单独密码也不会波及其它账号。

无解


我用的是浏览器自动填充密码

我 100 位随机😭

@cigarzh 卧槽，还可以这么长的嘛

@cigarzh 100 位没啥用，hash 之后也就那么长

@wowo243 🌚反正密码器自己会填

在开发者工具里粘贴嘛

我是这样的 手机应用登陆可以粘贴 所以网页版就扫描了

改 html

自己写了一个小工具… 模拟键盘逐字输入，专门应对各种不让粘贴的地方…

如果你觉得把密码改短会导致:导致安全性降低
那么支付宝支持复制粘贴密码不会导致:导致安全性降低吗?

什么是自作聪明呢?哪个银行的会允许你粘贴密码呢?

@Salvation 难道粘贴密码也会导致不安全？

@Salvation 银行都强制用户去用 IE only 的控件了，安全性当然爆棚（

@Salvation

密码不能复制只能粘贴

@zeroDev
总不能开支付宝后，全部其他 APP 都禁用读取粘贴板的权限吧？

这种安全策略都是真金白银换来的经验

扫码或 keepass 自动输入

@vyronlee #3 感谢感谢，你推荐的插件太好用了:P

@Salvation 个人认为不会。如果确有这种情况，还望 S 君不吝赐教。

另外，Troy Hunt （ haveibeenpwned 的作者）也认为禁止粘贴密码没有什么意义（ ref: https://www.troyhunt.com/reckon-youve-seen-some-stupid-security-things-here-hold-my-beer/）。有的公司认为这能防止暴力攻击，但这可能不是不允许粘贴密码的借口……

修正链接： https://www.troyhunt.com/reckon-youve-seen-some-stupid-security-things-here-hold-my-beer/

@outloudvi 我个人的理解是这里有个困局就是便利性和安全性的平衡.我认为这里的设计也不是全无道理.说自作聪明似乎有点随意了.技术上是否有很大安全性帮助没有深入研究过.

騰訊自作聰明的不支持長密碼，不支持虛擬卡號註冊，不支持安卓模擬器，害得我....

@lalalainchina 卸載了騰訊程序並把 QQ 微信跑在了虛擬機裡

如果是支付宝 pc 版本的话，我会直接打开开发者工具，点中 input， 然后执行 $0.value="xxxx";

@lalalainchina 腾讯可以国外虚拟卡注册。。。

@coolcoffee 好 6

@coolcoffee
我会点进 event listeners，然后 remove
我就是要粘贴，我他喵粘爆

@huclengyue wechat 不行，實測

@lalalainchina 我是手机注册的后来解绑之后又绑定了 GV 似乎可以曲线救国

@bzw875 666

Sublime Text 新开一个 tab，粘贴密码进去；
全选密码，拖拽进密码输入框，登录。

另外，微信支付那个才是变态…… Safari 安装控件，必须手打密码…我都快把形如乱码的密码记住了…

觉得这能提高安全的可能和阿里的产品经理一样，一拍脑袋一个点子就出来了

这个和安全还能稍微扯上点边，毕竟是浏览器环境。
iPhone 版 QQ 禁止粘贴密码才叫真傻逼

@lalalainchina 微信需要注册用的 IP 和手机号归属国（国外）归属省份（国内）一致，而且必须用这个地区的 IP 挂个十几天

@ranye Android 版也同样傻逼

我还以为是防止复制了密码，然后后面打开了一个能获取剪贴板内容的软件把密码获取了？

粘贴密码更容易被盗吧.

@ranye 确实很烦人

黑产大佬就喜欢你的想法

键盘宏( 快捷键加密😁 )

如果是电脑网页端，自己写个油猴子脚本吧（自己写安全一些），大体思路：指定域名激活脚本，脚本激活后为密码输入框绑定焦点触发事件，一旦发现你点击了输入框，就弹出 alert 辅助输入框，copy 密码到输入框内，点击确定，脚本通过你输入的密码，向输入框的 value 来导入密码。

@Salvation 安全性角度上确实有让暴力攻击变得更不容易实施了（尤其是再加上一个安全控件），但感觉这没法成为理由啊，这种设计让使用密码管理器的人怎么办……

@outloudvi 有的时候很多东西真的不能考虑完善的.比如你想想如果你设计支付宝,你怎么设计?咋一想似乎很简单,但是实际情况是中国还有很多偏远地区的人才用上智能手机,对于他们,是不是要保证安全?

用密码管理器的人肯定有,但是是少数.而那些完全没有安全意识的人,才是多数...

所以如果一个产品的受众是全国用户,思考的路线是不一样的.很难简单拍板一个功能到底好不好.

@yksoft1

@yksoft1 ‘ Cell numbers from virtual operators cannot be used to register for Wechat ’ 这是原话...实体卡好像要让你找一个实名过的的人给你确认才能注册，可能是因为我用的开放代理，IP 黑名单了？

@huclengyue 换绑没有太大意义啊，WeChat out 倒是可以用了，可是我为什么不用 Skype...hangout.

@ranye iPhone QQ 那个是真的烦人，不让粘贴密码，我密码特么的是密码工具生成的一大串你让我手动敲？疯了

@lalalainchina 中国地区手机号确实必须辅助注册了。不过其实现在假身份资料（正反面+手持）资源一大堆吧，想养号的还是可以养。。

@Salvation 很多功能设计确实需要考虑相当多的东西。也确实，与使用密码管理器的人相比，没有安全意识的人要多得多。如果允许复制 /粘贴会出现安全问题的话，这方面肯定占大头。

不过确实看不出有什么特别的安全问题……
1. 无论怎样，密码都不会允许被简单地复制的吧……
2. 这些安全意识薄弱的人，会去用 360 什么的吧（笑）