就像人们意识到的那样——“自动完成”属性在大多数时候都是有效的，但高级用户可以使用bookmarklet绕过它。

使用浏览器保存密码实际上可以增加对键盘记录的保护，所以最安全的选择可能是将密码保存在浏览器中，但使用主密码保护它们(至少在Firefox中是这样)。

使用真正的双因素身份验证来避免对密码的唯一依赖，因为密码可能存储在比用户浏览器缓存更多的地方。

我尝试了上面的autocomplete="off"，但任何成功。如果你正在使用angular js，我的建议是使用button和ng-click。

<button type="button" class="" ng-click="vm.login()" />

这已经有一个公认的答案，我加上这一点，如果有人不能解决问题与公认的答案，他可以去我的机制。

谢谢你的提问和回答。

面对同样的HIPAA问题，我找到了一个相对简单的解决方案，

创建一个隐藏密码字段，字段名为数组。 <input type="password" name="password[]" style="display:none" /> 实际密码字段使用相同的数组。 /> . <input type="password" name="password[]

浏览器(Chrome)可能会提示你“保存密码”，但无论用户是否选择保存，下次登录时，密码将自动填充隐藏的密码字段，数组中的零槽，使第一个槽为空。

我尝试定义数组，例如“password[part2]”，但它仍然记得。我认为如果它是一个无索引数组，它就会丢弃它因为它别无选择，只能把它放在第一个位置。

然后使用你选择的编程语言访问数组，比如PHP，

echo $_POST['password'][1];

我在这个问题上苦苦挣扎了一段时间，并有了一个独特的解决方法。特权用户不能让保存的密码为他们工作，但普通用户需要它。这意味着特权用户必须登录两次，第二次强制不保存密码。

有了这个要求，标准的autocomplete="off"方法并不适用于所有浏览器，因为密码可能是从第一次登录时保存的。一位同事找到了一种解决方案，在关注新密码字段时替换密码字段，然后关注新密码字段(然后连接相同的事件处理程序)。这是有效的(除了它在IE6中造成了一个无限循环)。也许有办法，但这让我头疼。

最后，我尝试将用户名和密码放在表单之外。令我惊讶的是，这竟然起作用了!它可以在IE6上运行，也可以在Linux上运行当前版本的Firefox和Chrome。我还没有进一步测试它，但我怀疑它在大多数(如果不是所有)浏览器中都能运行(但如果有一种浏览器不关心是否没有表单，我也不会感到惊讶)。

下面是一些示例代码，以及一些jQuery来让它工作:

<input type="text" id="username" name="username"/>
<input type="password" id="password" name="password"/>

<form id="theForm" action="/your/login" method="post">
  <input type="hidden" id="hiddenUsername" name="username"/>
  <input type="hidden" id="hiddenPassword" name="password"/>
  <input type="submit" value="Login"/>
</form>

<script type="text/javascript" language="JavaScript">
  $("#theForm").submit(function() {
    $("#hiddenUsername").val($("#username").val());
    $("#hiddenPassword").val($("#password").val());
  });
  $("#username,#password").keypress(function(e) {
    if (e.which == 13) {
      $("#theForm").submit();
    }
  });
</script>

就像人们意识到的那样——“自动完成”属性在大多数时候都是有效的，但高级用户可以使用bookmarklet绕过它。

使用浏览器保存密码实际上可以增加对键盘记录的保护，所以最安全的选择可能是将密码保存在浏览器中，但使用主密码保护它们(至少在Firefox中是这样)。