Login 在登录屏幕中预填充用户名和密码

我在ASP.NET中设计了一个标准登录屏幕，如下所示：

和往常一样，当操作员选择“记住我”时，我们希望系统不再要求操作员提供凭证，而是直接进入默认（主页）页面。 我的业务团队在互联网上看到了一些东西，他们认为当选择“记住我”时，我们需要预先填充用户名和密码，并等待客户按下“登录”按钮：

我还没见过这么多这样的练习，我不太习惯这样做。尽管如此，我没有一个好的技术论据来解释和改变他们的想法。

---

我基本上是在寻找好的论据来解释上述场景的利弊。

永远不要预先填充密码编辑字段。如果您这样做，每个人都可以阅读纯文本密码，如果他可以打开这台计算机上的登录表单。在解锁的办公室计算机上几分钟就足以检查浏览器历史记录，之后攻击者可以随时随地登录

如果您有“记住我”功能，并且用户已使用此功能登录，则根本不需要显示登录表单。您可以只显示内容。在这种情况下，攻击者可以使用该帐户进行操作，但他不能在未被注意的情况下从其他地方登录

---

我想（希望）您看到了预填充的密码字段，因为浏览器填充了内容，而不是网站。可能安装了密码管理器。

谢谢您的回复。如果我用对攻击者没有帮助的摘要哈希密码填充密码会怎么样？我也对你有利，但我想提出一个有力的理由。@Barsham-如果你从数据库中预先填充存储的哈希，哈希实际上会成为密码，它可以直接发送到服务器以获得访问权。很好，我认为你提出了我的理由。