Apple выпустила для разработчиков проект с открытым исходным кодом Password Manager Resources



    5 июня 2020 года Apple сообщила, что опубликовала на GitHub новый проект с открытым исходным кодом — Password Manager Resources. Он предназначен для того, чтобы облегчить разработчикам создания надежных паролей, совместимых с популярными веб-сайтами.

    Apple использует собственную платформу Apple iCloud Keychain, чтобы генерировать надежные пароли во время создания учетной записи или при смене пароля пользователей. Новый проект с открытым исходным кодом Password Manager Resources направлен на то, чтобы распространить возможности этой платформы на другие приложения для менеджеров паролей, которые делают сторонние разработчики. Проект Password Manager Resources опубликован под свободной лицензией MIT.

    Проблема в том, что, хотя менеджеры паролей создают уникальные и надежные пароли, часто эти пароли не совместимы с веб-сайтами, для которых они создаются. Поэтому пользователи, сталкивающиеся с такими ошибками при генерации случайного пароля, часто прибегают к выбору в пользу собственного пароля, который во много раз короче и менее безопасен, чем тот, который обычно генерируется менеджером паролей.

    Специалисты Apple, которые опубликовали этот проект, пояснили, что с помощью Password Manager Resources разработчики могут совместно работать над ресурсами для менеджеров паролей, чтобы сделать управление паролями более удобным для пользователей. В проекте уже есть списки правил выбора паролей для многих самых популярных на сегодняшний день веб-сайтов. Apple приглашает всех разработчиков присоединиться к проекту.

    В настоящее время в составе проекта Password Manager Resources опубликованы:

    • Password Rules (password-rules.json) — правила для создания совместимых паролей с особыми требованиями для различных веб-сайтов, список которых все время пополняется;
    • Websites with Shared Credential Backends (websites-with-shared-credential-backends.json) — веб-сайты с общими бэкэндами учетных данных. Группы веб-сайтов, о которых известно, что они используют один и тот же бэкэнд учетных данных, который можно использовать для улучшения предлагаемых учетных данных для входа на веб-сайты, список которых будет также пополняться;
    • Change Password URLs (change-password-URLs.json) — URL-адреса для смены паролей. Чтобы обеспечить надежные пароли, полезно иметь возможность перенаправлять пользователей непосредственно на страницы смены паролей на нужных веб-сайтах.

    Вдобавок в составе проекта Password Manager Resources уже есть один инструмент — PasswordRulesParser.

    Преимущества использования проекта Password Manager Resources, которые могут получить разработчики:

    • благодаря совместному использованию ресурсов разработчики менеджеров паролей могут улучшить качество кода с меньшими затратами, чем при разработке каждый раз нового менеджера паролей для достижения того же эффекта;
    • публично документируя поведение, характерное для веб-сайтов, разработчики менеджеров паролей могут стимулировать создателей веб-сайтов к использованию определенных стандартов для улучшения их совместимости с менеджерами паролей. Ведь это не весело быть вне известного всем списка;
    • повышая качество менеджеров паролей, Apple и сторонние разработчики повышают доверие пользователей к ним как к концепции, которая приносит пользу всем в дальнейшем.

    Комментарии 10

      +4
      Вдобавок в составе проекта Password Manager Resources уже есть один инструмент — PasswordRulesParser.


      Браво! Не смочь использовать json до конца, снабдив костылем в комплекте

      "signin.ea.com": {
              "password-rules": "minlength: 8; maxlength: 64; required: lower, upper; required: digit; allowed: [!@#-^&*=+;:];"
          },


      даже в рамках одной json'ки не могут определится как же описать required
        +4
        закиньте PR, это же open source)
          –3
          Ну я как бы не планировал вкладывать время в open source проект, принадлежащий одной из самых больших корпораций. Или вы о том, что удивляться с качества выкладываемого в open source не стоит, а нужно сразу начинать переписывать?
            +2
            проект, принадлежащий одной из самых больших корпораций
            Больший не значит лучший. Стараюсь это помнить ;-)
              0

              Корпорации состоят из людей, которые в свободное время тоже делают опенсоурс.

          0

          О да, проблема актуальна. В моём keepass уже десяток шаблонов паролей для сайтов, которым не подходит стандартный 30 символьный со спец символами. Можно выпускать обзор безопасности популярных сайтов, отталкиваясь от длины пароля и других ограничений :)

            0
            А в чем вообще смысл делать такие ограничения? Ведь при хешировании в базе все равно будут строки с постоянным числом знаков
              0

              А кто сказал, что они хэшируют? :)

                0

                Традиция.
                Анекдот про "а вы что, до сих пор готовите на той маленькой сковородке" знаете? Вот, это оно.

                  0
                  В IKEA пароль может быть от 7 до 10 символов. Я не знаю, чем думали их айтишники, мб у них правда там поле под пароль в 10 символов всего?
                  У PayPal 20, хотя вроде бы финансовый сервис, даже у Сбербанка 30 и есть второй фактор ( и спец символов можно больше: —!@#$%^&*()+,.;: против !@#$%^&*() у палки).

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое