Pull to refresh

Хранение паролей considered harmful

Reading time 2 min
Views 1.3K
Наверняка многие из вас заметили историю с паролями на bestpersons.ru. Приглашаю их, а также прочих авторов веб-сервисов к дискуссии.

Вопрос в том, нужно ли было Bestpersons вообще иметь пароль для входа на сайт (который, в общем-то, и увели)? Ведь как ни старайся, всё равно хранить пароли правильно вряд ли получится.

Каждый раз, когда вы предлагаете пользователю сохранить пароль (новый ли, для входа на ваш сайт, или пароли от сторонних сервисов) — вы берёте на себя очень серьёзные обязательства по обеспечению безопасности этого пароля. Некоторые относятся к этому безалаберно, некоторые серьёзнее — но проблемы всё равно возможны, что и случилось с обсуждаемым ресурсом.

Вся эта возня с паролями напоминает какое-то дремучее желание хранить дома мешки с (чужой) наличностью. И ведь знают же, что независимо от того, какая дверь — деревянная ли, железная ли; даже если дробовик дома хранить — всё равно придут и ограбят. Не надёжнее ли всё же хранить их в банках, которые гарантируют возврат денег в любом случае?


Есть масса вариантов, аналогичных «безналичности», которые позволяют избежать хранения мешков с чужими деньгами паролей. Это: OpenID, Clickpass, OAuth (хотя задуман он для другого), API логинов Yahoo!, Google, Facebook, Hotmail и других провайдеров. Из российских сервисов для этих целей использоваться могут Livejournal и «Мой круг», которые поддерживают OpenID.

Большинство людей физически не может помнить больше десятка паролей, а многие не хотят помнить более одного. А зарегистрированы люди бывают на сотнях или тысячах сайтов. Почти везде — с паролем. Принцип Дирихле, в общем, применим здесь по полной мере.

К сожалению, пока невозможно ограничить себя тем, чтобы пользоваться лишь сервисами, которые не требуют создания пароля для регистрации — таких слишком мало. Но, вообще говоря, уже давно пришло время, когда для роста количества таких сервисов всё уже есть. Что же заставляет людей в очередной раз вставлять известные грабли в свои продукты?
Tags:
Hubs:
+1
Comments 47
Comments Comments 47

Articles