Наверняка многие из вас заметили историю с паролями на bestpersons.ru. Приглашаю их, а также прочих авторов веб-сервисов к дискуссии.
Вопрос в том, нужно ли было Bestpersons вообще иметь пароль для входа на сайт (который, в общем-то, и увели)? Ведь как ни старайся, всё равно хранить паро��и правильно вряд ли получится.
Каждый раз, когда вы предлагаете пользователю сохранить пароль (новый ли, для входа на ваш сайт, или пароли от сторонних сервисов) — вы берёте на себя очень серьёзные обязательства по обеспечению безопасности этого пароля. Некоторые относятся к этому безалаберно, некоторые серьёзнее — но проблемы всё равно возможны, что и случилось с обсуждаемым ресурсом.
Вся эта возня с паролями напоминает какое-то дремучее желание хранить дома мешки с (чужой) наличностью. И ведь знают же, что независимо от того, какая дверь — деревянная ли, железная ли; даже если дробовик дома хранить — всё равно придут и ограбят. Не надёжнее ли всё же хранить их в банках, которые гарантируют возврат денег в любом случае?
Есть масса вариантов, аналогичных «безналичности», которые позволяют избежать хранения мешков с чужими деньгами паролей. Это: OpenID, Clickpass, OAuth (хотя задуман он для другого), API логинов Yahoo!, Google, Facebook, Hotmail и других провайдеров. Из российских сервисов для этих целей использоваться могут Livejournal и «Мой круг», которые поддерживают OpenID.
Большинство людей физически не может помнить больше десятка паролей, а многие не хотят помнить более одного. А зарегистрированы люди бывают на сотнях или тысячах сайтов. Почти везде — с паролем. Принцип Дирихле, в общем, применим здесь по полной мере.
К сожалению, пока невозможно ограничить себя тем, чтобы пользоваться лишь сервисами, которые не требуют создания пароля для регистрации — таких слишком мало. Но, вообще говоря, уже давно пришло время, когда для роста количества таких сервисов всё уже есть. Что же заставляет людей в очередной раз вставлять известные грабли в свои продукты?
Вопрос в том, нужно ли было Bestpersons вообще иметь пароль для входа на сайт (который, в общем-то, и увели)? Ведь как ни старайся, всё равно хранить паро��и правильно вряд ли получится.
Каждый раз, когда вы предлагаете пользователю сохранить пароль (новый ли, для входа на ваш сайт, или пароли от сторонних сервисов) — вы берёте на себя очень серьёзные обязательства по обеспечению безопасности этого пароля. Некоторые относятся к этому безалаберно, некоторые серьёзнее — но проблемы всё равно возможны, что и случилось с обсуждаемым ресурсом.
Вся эта возня с паролями напоминает какое-то дремучее желание хранить дома мешки с (чужой) наличностью. И ведь знают же, что независимо от того, какая дверь — деревянная ли, железная ли; даже если дробовик дома хранить — всё равно придут и ограбят. Не надёжнее ли всё же хранить их в банках, которые гарантируют возврат денег в любом случае?
Есть масса вариантов, аналогичных «безналичности», которые позволяют избежать хранения мешков с чужими деньгами паролей. Это: OpenID, Clickpass, OAuth (хотя задуман он для другого), API логинов Yahoo!, Google, Facebook, Hotmail и других провайдеров. Из российских сервисов для этих целей использоваться могут Livejournal и «Мой круг», которые поддерживают OpenID.
Большинство людей физически не может помнить больше десятка паролей, а многие не хотят помнить более одного. А зарегистрированы люди бывают на сотнях или тысячах сайтов. Почти везде — с паролем. Принцип Дирихле, в общем, применим здесь по полной мере.
К сожалению, пока невозможно ограничить себя тем, чтобы пользоваться лишь сервисами, которые не требуют создания пароля для регистрации — таких слишком мало. Но, вообще говоря, уже давно пришло время, когда для роста количества таких сервисов всё уже есть. Что же заставляет людей в очередной раз вставлять известные грабли в свои продукты?
