其实不是——你唯一能做的就是在网站上提供建议;也许，在他们第一次登录之前，您可以向他们展示一个表单，其中的信息表明不建议他们允许浏览器存储密码。

然后，用户将立即按照建议，在便利贴上写下密码，并将其粘贴在显示器上。

我不确定它是否能在所有浏览器中工作，但你应该尝试在表单上设置autocomplete="off"。

<form id="loginForm" action="login.cgi" method="post" autocomplete="off">

禁用表单和密码存储提示并防止表单数据在会话历史中缓存的最简单和最简单的方法是使用值为“off”的自动完成表单元素属性。

从https://developer.mozilla.org/en-US/docs/Web/Security/Securing_your_site/Turning_off_form_autocompletion

一些小研究表明，这可以在IE中工作，但我不能保证;)

@Joseph:如果严格要求通过实际标记的XHTML验证(不知道为什么会这样)，理论上你可以在之后用javascript添加这个属性，但禁用js的用户(可能可以忽略不计，如果你的网站需要js，则为零)仍然会保存他们的密码。

jQuery示例:

$('#loginForm').attr('autocomplete', 'off');

网站有没有办法告诉浏览器不要提供记住密码的功能?

该网站通过使用<input type="password">告诉浏览器这是一个密码。所以如果你必须从网站的角度来做这件事，那么你就必须改变它。(显然我不建议这样做)。

最好的解决方案是让用户配置浏览器，这样它就不会记住密码。

我知道的一种方法是在提交表单之前使用(例如)JavaScript从密码字段中复制值。

这样做的主要问题是解决方案与JavaScript绑定在一起。

同样，如果它可以绑定到JavaScript，那么在向服务器发送请求之前，不妨在客户端对密码进行哈希处理。

Markus提出了一个很好的观点。我决定查找autocomplete属性，得到以下内容:

使用这个的唯一缺点 属性是不规范 (适用于IE和Mozilla浏览器)， 并且会导致XHTML验证 失败。我认为这是一个 打破验证是合理的 然而。(源)

所以我不得不说，虽然它不是100%的工作，但在主要的浏览器处理，所以它是一个伟大的解决方案。

您可以通过在每个显示中随机为密码字段使用的名称来防止浏览器匹配表单。然后浏览器看到与url相同的密码，但不能确定这是相同的密码。也许它在控制其他东西。

更新:注意，这应该是使用自动补全或其他策略的补充，而不是替代它们，因为其他人指出的原因。

还要注意，这只会阻止浏览器自动完成密码。它不会阻止它以浏览器选择使用的任意安全级别存储密码。

使用真正的双因素身份验证来避免对密码的唯一依赖，因为密码可能存储在比用户浏览器缓存更多的地方。

我一直在做的是autocomplete="off"和使用javascript / jQuery清除密码字段的组合。

jQuery示例:

$(function() { 
    $('#PasswordEdit').attr("autocomplete", "off");
    setTimeout('$("#PasswordEdit").val("");', 50); 
});

通过使用setTimeout()，您可以等待浏览器在清除字段之前完成该字段，否则浏览器将总是在您清除字段后自动完成。

我在这个问题上苦苦挣扎了一段时间，并有了一个独特的解决方法。特权用户不能让保存的密码为他们工作，但普通用户需要它。这意味着特权用户必须登录两次，第二次强制不保存密码。

有了这个要求，标准的autocomplete="off"方法并不适用于所有浏览器，因为密码可能是从第一次登录时保存的。一位同事找到了一种解决方案，在关注新密码字段时替换密码字段，然后关注新密码字段(然后连接相同的事件处理程序)。这是有效的(除了它在IE6中造成了一个无限循环)。也许有办法，但这让我头疼。

最后，我尝试将用户名和密码放在表单之外。令我惊讶的是，这竟然起作用了!它可以在IE6上运行，也可以在Linux上运行当前版本的Firefox和Chrome。我还没有进一步测试它，但我怀疑它在大多数(如果不是所有)浏览器中都能运行(但如果有一种浏览器不关心是否没有表单，我也不会感到惊讶)。

下面是一些示例代码，以及一些jQuery来让它工作:

<input type="text" id="username" name="username"/>
<input type="password" id="password" name="password"/>

<form id="theForm" action="/your/login" method="post">
  <input type="hidden" id="hiddenUsername" name="username"/>
  <input type="hidden" id="hiddenPassword" name="password"/>
  <input type="submit" value="Login"/>
</form>

<script type="text/javascript" language="JavaScript">
  $("#theForm").submit(function() {
    $("#hiddenUsername").val($("#username").val());
    $("#hiddenPassword").val($("#password").val());
  });
  $("#username,#password").keypress(function(e) {
    if (e.which == 13) {
      $("#theForm").submit();
    }
  });
</script>

就像人们意识到的那样——“自动完成”属性在大多数时候都是有效的，但高级用户可以使用bookmarklet绕过它。

使用浏览器保存密码实际上可以增加对键盘记录的保护，所以最安全的选择可能是将密码保存在浏览器中，但使用主密码保护它们(至少在Firefox中是这样)。

autocomplete="off"适用于大多数现代浏览器，但我使用的另一种方法是在Epiphany(一种支持webkit的GNOME浏览器)中成功工作，即在会话状态中存储一个随机生成的前缀(或一个隐藏字段，我碰巧在会话状态中已经有一个合适的变量)，并使用它来更改字段的名称。Epiphany仍然想要保存密码，但当返回到表单时，它不会填充字段。

使用这种方法我没有遇到任何问题:

使用autocomplete="off"，添加一个隐藏密码字段，然后再添加一个非隐藏密码字段。如果浏览器不尊重autocomplete="off"则会尝试自动完成隐藏的内容

If you do not want to trust the autocomplete flag, you can make sure that the user types in the box using the onchange event. The code below is a simple HTML form. The hidden form element password_edited starts out set to 0. When the value of password is changed, the JavaScript at the top (pw_edited function) changes the value to 1. When the button is pressed, it checks the valueenter code here before submitting the form. That way, even if the browser ignores you and autocompletes the field, the user cannot pass the login page without typing in the password field. Also, make sure to blank the password field when focus is set. Otherwise, you can add a character at the end, then go back and remove it to trick the system. I recommend adding the autocomplete="off" to password in addition, but this example shows how the backup code works.

<html>
  <head>
    <script>
      function pw_edited() {
        document.this_form.password_edited.value = 1;
      }
      function pw_blank() {
        document.this_form.password.value = "";
      }
      function submitf() {
        if(document.this_form.password_edited.value < 1) {
          alert("Please Enter Your Password!");
        }
        else {
         document.this_form.submit();
        }
      }
    </script>
  </head>
  <body>
    <form name="this_form" method="post" action="../../cgi-bin/yourscript.cgi?login">
      <div style="padding-left:25px;">
        <p>
          <label>User:</label>
          <input name="user_name" type="text" class="input" value="" size="30" maxlength="60">
        </p>
        <p>
          <label>Password:</label>
          <input name="password" type="password" class="input" size="20" value="" maxlength="50" onfocus="pw_blank();" onchange="pw_edited();">
        </p>
        <p>
          <span id="error_msg"></span>
        </p>
        <p>
          <input type="hidden" name="password_edited" value="0">
          <input name="submitform" type="button" class="button" value="Login" onclick="return submitf();">
        </p>
      </div>
    </form>
  </body>
</html>

恕我直言, 最好的方法是随机选择type=password的输入字段的名称。 使用“pwd”前缀，然后是一个随机数。 动态创建字段并将表单呈现给用户。

您的登录表单看起来像…

<form>
   <input type=password id=pwd67584 ...>
   <input type=text id=username ...>
   <input type=submit>
</form>

然后，在服务器端，当您分析客户端发布的表单时，捕获以“pwd”开头的字段，并将其用作“password”。

另一种解决方案是使用隐藏表单使POST，其中所有输入的类型都是隐藏的。可见表单将使用“password”类型的输入。后一种表单永远不会被提交，所以浏览器根本无法拦截登录操作。

最干净的方法是使用autocomplete="off"标签属性but 当你用Tab切换字段时，Firefox不能正确地遵守它。

唯一可以阻止这种情况的方法是添加一个虚假的隐藏密码字段，它会欺骗浏览器在那里填充密码。

<input type="text" id="username" name="username"/>
<input type="password" id="prevent_autofill" autocomplete="off" style="display:none" tabindex="-1" />
<input type="password" id="password" autocomplete="off" name="password"/>

这是一种丑陋的黑客行为，因为你改变了浏览器的行为，这应该被认为是糟糕的做法。只有在你真的需要的时候才使用它。

注意:这将有效地停止密码自动填充，因为FF将“保存”#prevent_autofill的值(它是空的)，并将尝试填充那里保存的任何密码，因为它总是使用在DOM中分别输入“username”之后找到的第一个type=“password”输入。

我认为加上autocomplete="off"一点用都没有

我有另一个解，

<input type="text" name="preventAutoPass" id="preventAutoPass" style="display:none" />

在输入密码之前添加此选项。

例如：<input type=“text” name=“txtUserName” id=“txtUserName” /> <输入类型=“文本” 名称=“防止自动传递” id=“防止自动传递” 样式=“显示：无” /> <输入类型=“密码” 名称=“txtPass” id=“txtPass” autocomplete=“off” />

这并不会阻止浏览器询问并保存密码。但它阻止了密码的填写。

欢呼

由于Internet Explorer 11不再支持input type="password"字段的autocomplete="off"(希望其他浏览器不会效仿他们的做法)，最简洁的方法(在撰写本文时)似乎是让用户在不同的页面提交他们的用户名和密码，即用户输入他们的用户名，提交，然后输入密码并提交。美国银行和汇丰银行的网站也在使用这种方法。

因为浏览器无法将密码与用户名关联起来，所以它不会提供存储密码的功能。这种方法适用于所有主流浏览器(在撰写本文时)，无需使用Javascript也能正常运行。缺点是，它将更麻烦的用户，将采取2回传为一个登录操作，而不是一个，所以这真的取决于你的网站需要多安全。

更新:正如Gregory在这篇评论中提到的，Firefox将效仿IE11，忽略密码字段的autocomplete="off"。

我已经测试了在所有主要的浏览器中添加autocomplete="off"的表单标签。事实上，到目前为止，美国大多数人都在使用IE8。

IE8, IE9, IE10, Firefox, Safari都可以。 浏览器没有提示“保存密码”。 另外，以前保存的用户名和密码没有填充。 Chrome & ie11不支持自动完成="off"功能 FF支持autocomplete="off"。但有时已经存了 填充凭证。

2014年6月11日更新

最后，下面是一个使用javascript的跨浏览器解决方案，它可以在所有浏览器中正常工作。

需要删除登录表单中的“表单”标签。在客户端验证之后，将凭据放入隐藏表单并提交。

另外，添加两个方法。一个用于验证“validateLogin()”，另一个用于在文本框/密码/按钮“checkAndSubmit()”中单击回车时监听进入事件。因为现在登录表单没有表单标签，所以输入事件在这里不起作用。

HTML

<form id="HiddenLoginForm" action="" method="post">
<input type="hidden" name="username" id="hidden_username" />
<input type="hidden" name="password" id="hidden_password" />
</form>

Username: <input type="text" name="username" id="username" onKeyPress="return checkAndSubmit(event);" /> 
Password: <input type="text" name="password" id="password" onKeyPress="return checkAndSubmit(event);" /> 
<input type="button" value="submit" onClick="return validateAndLogin();" onKeyPress="return checkAndSubmit(event);" /> 

Javascript

//For validation- you can modify as you like
function validateAndLogin(){
  var username = document.getElementById("username");
  var password = document.getElementById("password");

  if(username  && username.value == ''){
    alert("Please enter username!");
    return false;
  }

  if(password && password.value == ''){
    alert("Please enter password!");
    return false;
  }

  document.getElementById("hidden_username").value = username.value;
  document.getElementById("hidden_password").value = password.value;
  document.getElementById("HiddenLoginForm").submit();
}

//For enter event
function checkAndSubmit(e) {
 if (e.keyCode == 13) {
   validateAndLogin();
 }
}

祝你好运! !

真正的问题比在HTML中添加属性要深刻得多——这是常见的安全问题，这就是为什么人们为了安全发明了硬件密钥和其他疯狂的东西。

假设autocomplete="off"在所有浏览器中都能正常工作。这对安全有帮助吗?当然不是。用户将把密码写在课本上，写在每个办公室访客都能看到的显示器上贴的贴纸上，保存在桌面上的文本文件中等等。

一般来说，web应用程序和web开发人员不以任何方式对最终用户的安全负责。最终用户只能保护自己。理想情况下，他们必须把所有的密码都记在脑子里，并使用密码重置功能(或联系管理员)以防他们忘记密码。否则，总有一个风险，密码可以看到和窃取以某种方式。

所以，要么你对硬件密钥有一些疯狂的安全策略(比如，一些银行提供的网上银行基本上采用双因素认证)，要么基本上没有安全。当然，这有点夸张了。重要的是要了解你想要保护的是什么:

Not authorised access. Simplest login form is enough basically. There sometimes additional measures taken like random security questions, CAPTCHAs, password hardening etc. Credential sniffing. HTTPS is A MUST if people access your web application from public Wi-Fi hotspots etc. Mention that even having HTTPS, your users need to change their passwords regularly. Insider attack. There are two many examples of such, starting from simple stealing of your passwords from browser or those that you have written down somewhere on the desk (does not require any IT skills) and ending with session forging and intercepting local network traffic (even encrypted) and further accessing web application just like it was another end-user.

In this particular post, I can see inadequate requirements put on developer which he will never be able to resolve due to the nature of the problem - end-user security. My subjective point is that developer should basically say NO and point on requirement problem rather than wasting time on such tasks, honestly. This does not absolutely make your system more secure, it will rather lead to the cases with stickers on monitors. Unfortunately, some bosses hear only what they want to hear. However, if I was you I would try to explain where the actual problem is coming from, and that autocomplete="off" would not resolve it unless it will force users to keep all their passwords exclusively in their head! Developer on his end cannot protect users completely, users need to know how to use system and at the same time do not expose their sensitive/secure information and this goes far beyond authentication.

如果autocomplete="off"不起作用…删除表单标签并使用div标签，然后使用jquery将表单值传递给服务器。这对我很管用。

我周围有个工作，可能会有帮助。

你可以自定义字体。所以，做一个自定义字体，所有的字符为点/圆/星号为例。使用它作为你网站的自定义字体。检查如何做到这一点在inkscape:如何使自己的字体

然后在你的登录表单上使用:

<form autocomplete='off'  ...>
   <input type="text" name="email" ...>
   <input type="text" name="password" class="password" autocomplete='off' ...>
   <input type=submit>
</form>

然后添加css:

@font-face {
    font-family: 'myCustomfont';
    src: url('myCustomfont.eot');
    src: url('myCustomfont?#iefix') format('embedded-opentype'),
         url('myCustomfont.woff') format('woff'),
         url('myCustomfont.ttf') format('truetype'),
         url('myCustomfont.svg#myCustomfont') format('svg');
    font-weight: normal;
    font-style: normal;

}
.password {
  font-family:'myCustomfont';
}

很好的跨浏览器兼容性。我尝试过IE6+、FF、Safari和Chrome浏览器。只要确保你转换的oet字体不会被损坏。希望有帮助?

好吧，这是一个非常老的帖子，但我仍然会给出我的解决方案，这是我的团队长期以来一直在努力实现的。我们只是在表单中添加了一个新的input type="password"字段，并将其包装在div中，并使div隐藏起来。确保这个div在实际的密码输入之前。 这为我们工作，它没有提供任何保存密码选项

扑通- http://plnkr.co/edit/xmBR31NQMUgUhYHBiZSg?p=preview

HTML:

<form method="post" action="yoururl">
      <div class="hidden">
        <input type="password"/>
      </div>
      <input type="text" name="username" placeholder="username"/>
      <input type="password" name="password" placeholder="password"/>
    </form>

CSS:

.hidden {display:none;}

autocomplete="off"不能在Firefox 31中禁用密码管理器，在一些早期版本中也很可能不能。

查看mozilla关于此问题的讨论: https://bugzilla.mozilla.org/show_bug.cgi?id=956906

我们希望使用第二个密码字段输入由令牌生成的一次性密码。现在我们使用文本输入而不是密码输入。:-（

我被给了一个类似的任务禁用自动填写登录名和密码的浏览器，经过大量的试验和错误，我发现下面的解决方案是最优的。只需在原始控件之前添加以下控件。

<input type="text" style="display:none">
<input type="text" name="OriginalLoginTextBox">

<input type="password" style="display:none">
<input type="text" name="OriginalPasswordTextBox">

这在IE11和Chrome 44.0.2403.107上运行正常

解决这个问题最简单的方法是将INPUT字段放在FORM标记之外，并在FORM标记内部添加两个隐藏字段。然后在提交事件侦听器中，在表单数据提交到服务器之前，将值从可见输入复制到不可见输入。

下面是一个例子(你不能在这里运行它，因为表单动作没有设置为一个真正的登录脚本):

<!doctype html> <html> <head> <title>Login & Save password test</title> <meta charset="utf-8"> <script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.2/jquery.min.js"></script> </head> <body> <!-- the following fields will show on page, but are not part of the form --> <input class="username" type="text" placeholder="Username" /> <input class="password" type="password" placeholder="Password" /> <form id="loginForm" action="login.aspx" method="post"> <!-- thw following two fields are part of the form, but are not visible --> <input name="username" id="username" type="hidden" /> <input name="password" id="password" type="hidden" /> <!-- standard submit button --> <button type="submit">Login</button> </form> <script> // attache a event listener which will get called just before the form data is sent to server $('form').submit(function(ev) { console.log('xxx'); // read the value from the visible INPUT and save it to invisible one // ... so that it gets sent to the server $('#username').val($('.username').val()); $('#password').val($('.password').val()); }); </script> </body> </html>

我的js (jquery)的解决方案是改变密码输入类型的文本在表单提交。密码可能在一秒钟内可见，所以我还隐藏了在此之前的输入。我宁愿不使用这个登录表单，但它是有用的(连同autocomplete="off")，例如在网站的管理部分。

在提交表单之前，试着把它放到一个控制台中(使用jquery)。

$('form').submit(function(event) {
    $(this).find('input[type=password]').css('visibility', 'hidden').attr('type', 'text');
});

在Chrome 44.0.2403.157(64位)上测试。

面对同样的HIPAA问题，我找到了一个相对简单的解决方案，

创建一个隐藏密码字段，字段名为数组。 <input type="password" name="password[]" style="display:none" /> 实际密码字段使用相同的数组。 /> . <input type="password" name="password[]

浏览器(Chrome)可能会提示你“保存密码”，但无论用户是否选择保存，下次登录时，密码将自动填充隐藏的密码字段，数组中的零槽，使第一个槽为空。

我尝试定义数组，例如“password[part2]”，但它仍然记得。我认为如果它是一个无索引数组，它就会丢弃它因为它别无选择，只能把它放在第一个位置。

然后使用你选择的编程语言访问数组，比如PHP，

echo $_POST['password'][1];

除了

autocomplete="off"

使用

readonly onfocus="this.removeAttribute('readonly');"

对于您不希望他们记住的输入表单数据(用户名，密码等)，如下所示:

<input type="text" name="UserName" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

<input type="password" name="Password" autocomplete="off" readonly 
    onfocus="this.removeAttribute('readonly');" >

在最新版本的主流浏览器(如谷歌Chrome, Mozilla Firefox, Microsoft Edge等)上进行了测试，效果非常好。

我尝试了上面的autocomplete="off"，但任何成功。如果你正在使用angular js，我的建议是使用button和ng-click。

<button type="button" class="" ng-click="vm.login()" />

这已经有一个公认的答案，我加上这一点，如果有人不能解决问题与公认的答案，他可以去我的机制。

谢谢你的提问和回答。

因为autocomplete="off"对密码字段不起作用，所以必须依赖javascript。这里有一个简单的解决方案，基于这里找到的答案。

添加属性data-password-autocomplete="off"到你的密码字段:

<input type="password" data-password-autocomplete="off">

包括以下JS:

$(function(){
    $('[data-password-autocomplete="off"]').each(function() {
        $(this).prop('type', 'text');
        $('<input type="password"/>').hide().insertBefore(this);
        $(this).focus(function() {
            $(this).prop('type', 'password');
        });
    });     
});

这个解决方案适用于Chrome和FF。

我测试了很多解决方案。动态密码字段名，多个密码字段(假密码不可见)，更改输入类型从“text”到“password”，autocomplete=“off”，autocomplete=“new-password”，…但是最近的浏览器没有解决这个问题。

为了摆脱密码记忆，我最后把密码当作输入字段，并“模糊”输入的文本。

它不如本地密码字段“安全”，因为选择键入的文本会显示为明文，但密码不会被记住。它还依赖于激活Javascript。

你将不得不估计使用下面的建议和密码记住选项导航的风险。

虽然密码记忆可以由用户管理(每个站点取消)，但它适用于个人计算机，不适用于“公共”或共享计算机。

我的案例是一个在共享计算机上运行的ERP，所以我将在下面尝试我的解决方案。

<input style="background-color: rgb(239, 179, 196); color: black; text-shadow: none;" name="password" size="10" maxlength="30" onfocus="this.value='';this.style.color='black'; this.style.textShadow='none';" onkeypress="this.style.color='transparent'; this.style.textShadow='1px 1px 6px green';" autocomplete="off" type="text">

Since most of the autocomplete suggestions, including the accepted answer, don't work in today's web browsers (i.e. web browser password managers ignore autocomplete), a more novel solution is to swap between password and text types and make the background color match the text color when the field is a plain text field, which continues to hide the password while being a real password field when the user (or a program like KeePass) is entering a password. Browsers don't ask to save passwords that are stored in plain text fields.

The advantage of this approach is that it allows for progressive enhancement and therefore doesn't require Javascript for a field to function as a normal password field (you could also start with a plain text field instead and apply the same approach but that's not really HIPAA PHI/PII-compliant). Nor does this approach depend on hidden forms/fields which might not necessarily be sent to the server (because they are hidden) and some of those tricks also don't work either in several modern browsers.

jQuery插件:

https://github.com/cubiclesoft/php-flexforms-modules/blob/master/password-manager/jquery.stoppasswordmanager.js

相关源代码来自上述链接:

(function($) {
$.fn.StopPasswordManager = function() {
    return this.each(function() {
        var $this = $(this);

        $this.addClass('no-print');
        $this.attr('data-background-color', $this.css('background-color'));
        $this.css('background-color', $this.css('color'));
        $this.attr('type', 'text');
        $this.attr('autocomplete', 'off');

        $this.focus(function() {
            $this.attr('type', 'password');
            $this.css('background-color', $this.attr('data-background-color'));
        });

        $this.blur(function() {
            $this.css('background-color', $this.css('color'));
            $this.attr('type', 'text');
            $this[0].selectionStart = $this[0].selectionEnd;
        });

        $this.on('keydown', function(e) {
            if (e.keyCode == 13)
            {
                $this.css('background-color', $this.css('color'));
                $this.attr('type', 'text');
                $this[0].selectionStart = $this[0].selectionEnd;
            }
        });
    });
}
}(jQuery));

演示:

https://barebonescms.com/demos/admin_pack/admin.php

点击菜单中的“添加条目”，然后滚动到页面底部的“模块:停止密码管理器”。

免责声明:虽然这种方法适用于视力正常的人，但屏幕阅读器软件可能存在问题。例如，屏幕阅读器可能会大声读出用户的密码，因为它看到的是纯文本字段。使用上述插件还可能产生其他不可预见的后果。改变内置的web浏览器功能应该通过测试各种各样的条件和边缘情况来进行。

这是我的解决方案的html代码。它适用于Chrome-Safari-Internet Explorer。我创建了新的字体，所有字符看起来都是“●”。然后我使用这种字体作为密码文本。注意:我的字体名是“passwordsecreregular”。

<style type="text/css">
         #login_parola {
             font-family: 'passwordsecretregular' !important;
            -webkit-text-security: disc !important;
            font-size: 22px !important;
         }
    </style>


<input type="text" class="w205 has-keyboard-alpha"  name="login_parola" id="login_parola" onkeyup="checkCapsWarning(event)"  
   onfocus="checkCapsWarning(event)" onblur="removeCapsWarning()" onpaste="return false;" maxlength="32"/>

<input type="text" id="mPassword" required="required" title="Valid password required" autocomplete="off" list="autocompleteOff" readonly onfocus="this.removeAttribute('readonly');" style="text-security:disc; -webkit-text-security:disc;" oncopy="return false;" onpaste="return false;"/>