Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 36
Ненавижу когда сайт указывает мне, какой пароль у меня должен быть
О, да. Придумаешь 30-значный пароль со спецсимволами, но без цифр, так тебе обязательно скажут, что цифры должны быть, а спецсимволы — фу-фу
Ну, я их keepassx'ом «придумываю». бред навроде «lQ3oG-_EgIhOmdiI29W3atg1L» не наберёт даже кошка вылизывающая себе хвост, сидя на клавиатуре, там скорее будет долгое нажатие с повторами пары клавиш, навроде «прооооожэ2»…
Вот лично я не люблю пользоваться сторонними программами. Потому что обычно это десктопные версии, и возникает проблема набора на мобильном устройстве. Тут сразу же скажут — синхронизация через облако. Извините, но это не секьюрно (периодические утечки подрывают в них веру ещё больше), внутренний параноик против этого.
Ну keepass какой то у меня был и под винду и под линукс и под winmobile еще 6.х версий, база паролей прекрасно лежит в облаке редмондского гиганта. а мой внутренний параноик мне как-то напомнил анекдот про неуловимого Джо, и напомнил что лучше когда база доступна из кучи мест, чем когда умерла единственная флешка — точка отказа.
тире и знак подчёркивания могут запретить при вводе
Чуже всего когда сайт ограничивает МАКСИМАЛЬНУЮ длину пароля X(
это вообще за гранью
… и не предупреждает об этом! :(
Был дерьмовый случай: у меня есть очень секурный пароль на 28 символов, для очень важных мест. Так вот регистрируюсь в одном месте, вбиваю пароль, подтверждение, активация, вхожу, нормально. Выхожу, перезахожу — пароль неверен. Сбрасываю, ставлю, захожу нормально. Выхожу, перезахожу — ну вы поняли.
ВНЕЗАПНО оказалось, что на странице регистрации и смены пароля в textarea стояло ограничение на 24 символа, а на странице логина этого ограничения не было. В марафоне звёздочек в поле ввода заметить, что «потерял» 4 символа — нереально. И то, я об этом узнал ибо в код полез звёздочки отключать, чтобы посмотреть что я ввожу в поле пароля при его смене. А менее дотошный юзер если?
Был дерьмовый случай: у меня есть очень секурный пароль на 28 символов, для очень важных мест. Так вот регистрируюсь в одном месте, вбиваю пароль, подтверждение, активация, вхожу, нормально. Выхожу, перезахожу — пароль неверен. Сбрасываю, ставлю, захожу нормально. Выхожу, перезахожу — ну вы поняли.
ВНЕЗАПНО оказалось, что на странице регистрации и смены пароля в textarea стояло ограничение на 24 символа, а на странице логина этого ограничения не было. В марафоне звёздочек в поле ввода заметить, что «потерял» 4 символа — нереально. И то, я об этом узнал ибо в код полез звёздочки отключать, чтобы посмотреть что я ввожу в поле пароля при его смене. А менее дотошный юзер если?
Мы сделали минимальную длину пароля равной 8 символам и по его хэшу определяем не входит ли он в 10 000 наиболее популярных в мире паролей.
Вот уроды!
Нет, серьёзно, кем они себя считают? Как они доносят это до пользователя? «Хэш вашего пароля входит в один из 10000 наиболее популярных»? Пользователь бьёт себя по лбу: хах, какой же я был дурак, вот теперь я буду использовать другие пароли!
Он ввел свою почту используя name@gmail.co вместо name@gmail.com? А может быть вместо name@hotmail.com он написал name@hotmail.cm? Вы также должны исправлять эти ошибки и предупреждать пользователя об этом.
Т.е. на этом сайте нельзя регистрироваться с почты под доменом Колумбии или Камеруна? Туда же можно отправить и совет проверять email на наличие знаков, которые автор регекспа не использует в своей почте.
В общем, вся статья — одно сплошное нарушение критерия из неё же. Бог дал людям свободу воли. Если я хочу ошибиться в написании почты — дайте мне ошибиться (а вдруг я из Камеруна). Если я хочу использовать пароль «god» для сайта чтобы зайти на него один раз — дайте мне использовать этот пароль.
Вот абсолютно согласен.
Но с другой стороны — дайте пользователям свободу выбора пароля — и они завалят вас жалобами что их взломали.
Где-то слышал изречение — при любой разработке пользовательского интерфейса исходите из того, что пользователь — дебил неопытный.
Но с другой стороны — дайте пользователям свободу выбора пароля — и они завалят вас жалобами что их взломали.
Где-то слышал изречение — при любой разработке пользовательского интерфейса исходите из того, что пользователь — дебил неопытный.
Ну так дайте человеку ошибиться. Если всё время подкладывать ему соломку, то он никогда не поймёт, что свои данные нужно защищать. При этом можно ему говорить «Твой пароль — ненадёжен, но ты вроде взрослый человек, и способен сам решать что для тебя важно, а что нет».
«Меня взломали!» — «Ок, вы можете поменять пароль посредством указанной почты, больше так не надо».
«Меня взломали!» — «Ок, вы можете поменять пароль посредством указанной почты, больше так не надо».
Где-то слышал изречение — при любой разработке пользовательского интерфейса исходите из того, что пользователь — дебил неопытный.Гораздо хуже, когда пользователь — дебил опытный. Такой найдет как напортачить с интерфейсом из одной кнопки.
Стыд и срам мне — но слово дебил планировалось быть зачеркнутым, но не смог =\
Если я хочу использовать пароль «god» для сайта чтобы зайти на него один раз — дайте мне использовать этот пароль.
А если я пишу admin/admin — то дайте мне доступ в админскую учетку!
Ох уж этот Sign In. Который вечно путается с Sign Up, и иногда наперёд не знаешь, форма регистрации перед тобой сейчас будет, или форма авторизации. Даже если на самом сайте разделено как Register/Sign In, мало ли — вдруг они решили продублировать кнопку регистрации?! Путаюсь постоянно просто. Почему все так любят этот Sign In, и при этом реже используют Log In?
Автору заголовка и всего подхода бы Альшуттера почитать, изучить ТРИЗ. Его подход давно изобретён, называется ИКР — Идеальный Конечный Результат. Кроме этого, в ТРИЗ есть ещё куче методов, как избавиться от психологической инерции и решать реально заданную задачу, а не задачу в рамках, которые ты себе дополнительно зачем-то создал и которые мешают её решить.
Вот только не Альтшуттера, а Альтшуллера.
У меня больше 10 вариантов паролей, с разными способами ввода, и когда логинишься на сайт которым пользуешься редко, иногда приходится перебором восстанавливать. Соответственно сайты которые блокируют после трех попыток… в общем, их я стараюсь больше не посещать. Лучше уж определять ботов по скорости перебора. Или ограничивать ввод пароля — 1 в три-пять секунд.
Описана самая обычная форма авторизации/регистрации, которая ещё очень далека от идеала, например что касается требований к сложности пароля:
- Системы проверки пароля на прочность пока только в состоянии потребовать пароль стойкий к жёсткому перебору(брутфорсу).
- Результатом такой их «медвежьей услуги» является сложный для запоминания пароль, который приходится записывать.
- Записанный пароль в открытом виде(единицы пользователей хранят ключи в зашифрованном виде) гораздо менее надёжен чем пароль слабый для брута.
Она не то что не идеальна, она вообще не удовлетворяет современным требованиям к безопасности в интернете.
Если посмотреть сравнительную таблицу, представленную беспарольной
системой аутентификации TeddyID www.teddyid.com/sites.php, то можно наглядно понять все недостатки обычных форм аутентификации.
Если посмотреть сравнительную таблицу, представленную беспарольной
системой аутентификации TeddyID www.teddyid.com/sites.php, то можно наглядно понять все недостатки обычных форм аутентификации.
Записанный пароль в открытом виде(единицы пользователей хранят ключи в зашифрованном виде) гораздо менее надёжен чем пароль слабый для брута.
Контраргумент: записанный на бумажку (в тетрадку) пароль никаким вирусом или трояном стырить не удастся (ну, только если в момент собственно ввода). Тетрадка естественно лежит в столе.
Причём я видел, как их некоторые записывают. Я в восторге. Я не вчера родился, я не разобрался в этой каше. А они как-то пользуются.
А почему перевод не помечен как перевод?
Искренне не понимаю как в статье про безопасность можно рекомендовать разрешать вход на сайт с помощью e-mail'а. Это автоматически означает, что ко всем своим дырам аутентификации прибавляются дыры почтового сервиса. Причем вход через сайт может быть защищен SSL, а вот при входе через ссылку в почте эта ссылка по пути к вам может много где осесть и много кто её может воспользоваться (особенно, если она многоразовая).
А еще бывают сервисы, которые любое изменение пароля шлют вам на почту, опять же встает вопрос к безопасности как почтового сервиса, так и канала как между сайтом и вашим почтовым сервисом, так и между почтовым сервисом и вами (ладно, на этом отрезке вы используете SSL).
В общем, я буду использовать вход через почту не раньше, чем распишусь в собственной импотенции как программиста хоть что-то понимающего в безопасности.
А еще бывают сервисы, которые любое изменение пароля шлют вам на почту, опять же встает вопрос к безопасности как почтового сервиса, так и канала как между сайтом и вашим почтовым сервисом, так и между почтовым сервисом и вами (ладно, на этом отрезке вы используете SSL).
В общем, я буду использовать вход через почту не раньше, чем распишусь в собственной импотенции как программиста хоть что-то понимающего в безопасности.
Статья, проиллюстрированная _такими_ скринами, лично у меня желания прочесть ее не вызвала. Прочел заголовки, посмотрел на скрины как на подтверждение слов автора — и ничего «божественного» (беру из названия поста) в примерах не увидел.
Самое мудрое, что я видел — это когда при регистрации всего лишь просят почту, на нее приходит ссылка с логином и ссылкой для активации аккаунта, и в этом же письме указан созданный для юзера пароль, причем письмо сделано так, чтобы текст из него копировался без лишних пробелов до или после логина и пароля. Логика: если я решил зарегаться, чтобы иногда сайтом пользоваться, я и так и так поставлю простой к запоминанию пароль (чтобы хоть как-то его запомнить), что будет менее надежно, что рандомный, присланный по почте пароль, который еще и найти в почте потом можно найти будет поиском. Если же я завсегдатай сайта, так я зайду в профиль и поменяю пароль на тот, что мне нравится.
Самое мудрое, что я видел — это когда при регистрации всего лишь просят почту, на нее приходит ссылка с логином и ссылкой для активации аккаунта, и в этом же письме указан созданный для юзера пароль, причем письмо сделано так, чтобы текст из него копировался без лишних пробелов до или после логина и пароля. Логика: если я решил зарегаться, чтобы иногда сайтом пользоваться, я и так и так поставлю простой к запоминанию пароль (чтобы хоть как-то его запомнить), что будет менее надежно, что рандомный, присланный по почте пароль, который еще и найти в почте потом можно найти будет поиском. Если же я завсегдатай сайта, так я зайду в профиль и поменяю пароль на тот, что мне нравится.
Рандомный пароль можно сделать одноразовым. А в профиле на сайте разрешить добавлять свой пароль. Тогда если хочешь — заходи по паролю, если не хочешь — шли себе на почту одноразовый пароль и заходи по нему.
Опционально можно сбрасывать пароль в профиле при отсылке одноразового. Но это палка о двух концах.
Опционально можно сбрасывать пароль в профиле при отсылке одноразового. Но это палка о двух концах.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Божественный подход к аутентификации