Как стать автором
Обновить

Комментарии 78

Однако же, это издевательство над пользователем не спасает от случая, когда выбрана неправильная раскладка. Кроме того, если пользователь хочет куда-то сохранить введённый аж два раза пароль, он не может этого сделать.
Обычно, если я желаю куда-то сохранить пароль, я сперва его записываю в файлик, потом оттуда копирую и вставляю в форму два раза. Так и от неправильной раскладки можно защититься. Хотя иногда бывает риск зацепить лишний пробел.

Кстати, если в password pattern написать русские буквы, они воспринимаются как символы :-)

Вообще библиотечка нужная, спасибо!
жму «сгенерировать», tab — пароль исчезает. так и задумано?
Ещё (IMHO) было бы полезно в форме логина (или хинтом к полю пароля) отображать требования к паролю — «наш пароль требует синимум 6 символов, минимум одну цифру ...» — очень бы помогло когда надо вспомнить какой из паролей был вбит на этом сайте. Нет, я знаю про техники задания паролей «имясайта + чего-то-там», но не уверен что они широко распространены.
IMHO было бы полезно избавиться от такой херни как «ваш пароль на нашем сайте должен содержать минимум одну цифру, две запятых и китайский иероглиф» — пользователи сами должны заботиться о своей безопастности, потому что достаточно сложнный пароль может быть и без цифр и заглавных букв k@n!lob&fby%#bjy**e()$.
категорически согласен
На нашем проекте мы только проверяем пароль на несколько запрещенных вариаций (123456, кверти и еще пара) и чтобы он не был короче шести символов. А всё остальное на совести пользователя.
Шесть символов я считаю единственным возможным ограничением. Остальные ограничения вообще бредовые, причём их ставят там, где они вообще не нужны. Взять, например, какую нибудь платёжную систему, допустим Яндекс деньги (Webmoney рассматривать не буду, так как там ещё ключи необходимы, пароль не такую авжную роль играет), так там всем по барабану, какой стоит пароль, хотя идёт работа с деньгами, если мне важен мой кошелёк, то и пароль будет соответствующий, я сам введу такой, какой мне необходим, без всяких ограничений. А на каком-нибудь сайте, на который я захожу, чтобы скачать какой-нибудь файлик, я проведу больше времени, пока я буду придумывать пароль, нежели просматривать сам сайт. Обычно с таких сайтов я ухожу сразу и ищу другие сайты, где я могу скачать нужный мне файл. На сайтах, где требуется регистрация, но где я появляюсь на 1 раз, я использую самый простой пароль, типа 123456, так как мне всё равно, что будет дальше с моим аккаунтом. Особенно убивает требование, ввести какой-то спец. символ, типа @, я через 10 минут уже забуду такой пароль, а когда вернусь на этот сайт, буду вспоминать, восстанавливать и потеряю своё время. А за плагин респект.
Скажите, а чем вам не нравится такой 5-ти символьный пароль: %Q9/n?
Или, того лучше, если условия позволяют: ё♥F5)?
по хорошему, в большинстве мест нужен лишь вход по OpenID, вовсе без собственного пароля
Плагин полезный, пара предложений:

1. При уходе фокуса с поля ввода пароля — маскировать его.

2. При переключении режима маскирования исчезает сам контрол переключения (иконка трех точек или abc) — поэтому приходится подвигать мышкой или кликнуть лишний раз для обратного переключения (Ubuntu chromium 25.0.1364.97)

3. Криво отрисовывается подсказка, но заскриншотить нет возможности, т.к. окно видимо отлавливает нажатие принтскрина и перерисовывает нормально. Воспроизвести можно так: Открыть дему — назать клавиши 123 — дождаться всплытия подсказки — кликнуть на значок abc = подсказка отрисуется в левом верхнем углу страницы и криво. (Ubuntu chromium 25.0.1364.97)
Про маскирование при уходе фокуса с поля дельное предложение, спасибо.
Протестируем в Ubuntu получше.
извините что не по теме — а действительно такая большая разница в яваскрипте для линукс и для виндовс? я как то раньше особо и не заморачивался такой масштабной проверкой под одинаковыми браузерами в разных ОС…
В js — никакой (не должно быть никакой, если браузер грамотно собран, но в них багофич тоже никто не отменял). Есть разница в шрифтах, в других настройках (например, размер чекбокса). Поэтому иногда открываешь сайт в другой os — а весь дизайн поехал.
по шрифтам по идее должны помочь моношрифты? они всюду просто обязаны выглядеть одинаково. а вот про базовые настройки вида тех же чекбоксов я не подумал.
Если вы именно про этот случай, тут не знаю, в чём дело (может, в шрифтах, может где-то в другом месте, проще сесть и проверить на живом браузере). Я вам там в личку ради интереса прислал ссылку на найденный баг сафари под макосью, вот тут скорее всего тоже не учтена какая-то особенность. Моноширинные шрифты будут выглядеть всё равно не совсем одинаково: сам шрифт может получиться более светлым или из-за настроек антиалиасинга неприятным, поэтому тоже полагаться нельзя, лучше проверить.
Очень хотелось бы (на всех сайтах!), чтобы при недостаточно сложном пароле показывалось только предупреждение об этом, а возможность зарегистрироваться была. Удобно было бы иметь для всех «одноразовых» сайтов простейший пароль типа qwerty, но увы — не получается из-за такого запрета. Ну а обязательное требование цифр (например) не мешает пользователю при желании поставить пароль qwerty1, а общую безопасность пароля уменьшает (хоть и ненамного): без этого было бы неизвестно, есть в конкретном пароле цифры или нет.
для одноразовых сайтов нужно использовать менеджер паролей + одноразовую почту — и нет проблем.
Идея хорошая, но чуток критики:

Ввел русские буквы, говорит password must contain letters.
Честно говоря, никогда бы не догадался, что делают иконки «отобразить» «случайный». (я понимаю, что там есть всплывающие подсказки, но все же)
Постепенно выдавать пользователю требования из серии сначала буквы, потом большие буквы, потом цифры — это тоже издевательство. (ну и с точки зрения надежности плохо, так как все будут следовать этим правилам последовательно). Лично мне больше нравится, когда появляется список правил и по мере ввода ставятся галочки, так сразу понятно, что надо.
Спасибо, подумаем. Там список правил на самом деле и генерируется, но выводится пока только одно. Попробую придумать, как показать сразу все.
Про русские буквы уже выше написали — там на самом деле это конфигурируется, я даже в доке написал, почему буквы — не буквы. Но наверное, получилось не совсем интуитивно понятно. Подумаю, скорее всего переделаю, чтобы по умолчанию буквы брались из разных алфавитов.
Я тоже сомневаюсь насчёт иконки «отобразить». Что бы вы предлолжили? «Глаз», как в IE, мне вообще не понравилось.
Пиктограмма должна быть такой, чтобы при взгляде на неё было понятно, для чего она предназначена.
По моему мнению «глаз» наиболее подходящая кандидатура на эту роль, но уж никак не троеточие.
К нормальным глазам претензий не имею :). Этот «глаз» в размере нескольких пикселей у меня ассоциируется с wifi-точкой, антенной, чем угодно, но только не с глазом. Сама идея изобразить там глаз мне нравится, но исполнение M$ нет.
Как 1 из вариантов — можно преобразовать инпут в выпадающее меню, особнно если сайт дружит с бутстрапом, а в выпадалочке написать текстом
Длинный пароль наезжает на кнопки, а так здорово!
Единственное что не понимаю, почему такой пароль система тоже считает «слабым».

image

По мне так нужно отключать эту ошибку, если пароль длиннее, допустим, 16 символов.
Согласен, логично было бы плюсовую длину тоже учитывать (сейчас всё что больше 100%, берётся равным 100%). Сделаю поддержку.
knjndjnjknsdasfergwjfedq — слабый.

Хочется убивать за:
1. подобные, типа слабые пароли
2. в пароле должен быть спецсимвол
3. в пароле не должно быть спецсимволов
4. в пароле должна-не должна быть цифра
5. буквы русские -не русские и Прочий бред, который вы старательно поддержали!

Вот вы все вебмастера издеваетесь над нами да??? И пароль это такое место особо жестокого цинизма над пользователем?
Есть спрос — есть предложение. Я облегчил себе жизнь и сделал возможность гибкой конфигурации, чтобы быстро настроить под любые вкусы, потому что мне надоело делать это в каждом втором проекте. Кто и как это будет использовать — дело менеджеров и продукт оунеров, бывает, что их не переубедишь. Длина больше чем задумано и русские буквы — косяк в логике, да, мне справедливо подсказали, что это неправильно, за что я благодарен и исправлю.
Уран можно использовать для электростанции, а можно для атомной бомбы, и в этом не виноват инженер.
Т.е. Вы понимаете что это бред, но реализовали его чтобы облегчить реализацию бреда окружающими?
Почему Вам с одной строны не насрать на тупых менеджеров и «продукт оунеров», и с другой стороны, получается, насрать на пользователей? Что за детский лепет?
Потому что если менеджер скажет — оно всё равно будет, но будет выполнено более быстрым (следовательно, более раздражающим) способом.
Быдлоплагин для быдлокодеров?
Тут дело в политических взглядах. Я не революционер. Я выбираю синюю таблетку. Мне классно жить в этом мире и я хочу автоматизировать рутинную задачу. Старался сделать это настолько дружественным, насколько это возможно с известными ограничениями (получилось или нет, не мне судить, но я его пока что использую в трёх проектах, поэтому считаю его полезным). Я не понимаю, какое быдло вы имеете в виду. То, которое орёт на митингах? Дальнейшая дискуссия, вероятно, скатится в политику, поэтому я не отвечу.
С каких это пор требование наличия символа в ВЕРХНЕМ регистре в пароле — стало стандартом, а отсутствие дебильных требованией — революцией?
По делу и без оскорблений — это хорошо.
Из дефолта капс уберу, оставим опцией, и правда ему нечего там делать. Поддержку вообще не выкину, потому что бывает, что требуют, чтобы было так — сам дефолт сделаем менее назойливым.
Революцией я называю перевоспитание, нежелание делать поддержку чего-то «из принципа» и так далее. Ваши слова, особенно учитывая ваш последний оскорбительный комментарий, я воспринял как предложение в ответ на ТЗ сказать: «а вот не надо делать так, я не буду это реализовывать». Поэтому я усмотрел тут революционные взгляды. Возможно, был не прав.
Т.е. если Вам «сверху» скажут написать «возможность» для накручивания голосов в какой-нибудь там, например, избирательной системе, то Вы молча её напишете («а то вдруг революционером назовут»)? Мне Вас жаль.

Эк у нас хорошо массмедиа работают — любые здравые предложения «снизу» уже некоторыми по дефолту считаются революцией.
Добро пожаловать в суровую Российскую реальность…
При чем тут это? Зачем так перегинать палку? Если один разработчик не согласится маску паролю делать, по соображениям бредовости/не бредовости маски — найдут такого, который сделает. Можно попробовать объяснить, что такая маска бредова, но если заказчик/менеджер упорно стоят на своем?
Если Вы не согласитесь писать «возможность для накручивания голосов», тоже найдётся кто-нибудь другой. И? Это будет поводом написать её самостоятельно?

Если заказчик/менеджер вопреки всем разумным доводам упорно стоят на своём, значит Вы плохо объясняете или они совсем идиоты. Если второе — можно очень легко задавить количеством, вряд ли все вокруг будут такие же идиоты. Если вокруг все тоже идиоты, то… что Вы там вообще делаете?

Ну и из своего опыта могу сказать, что у меня никогда не было проблем с обоснованием бредовости некоторых идей заказчиков и «менеджеров». Да, порой приходится объяснять не по одному разу. Да, у большинства — комплекс вахтёра и паранойя. Да, бывают очень «важные» и «деловые» люди, и ещё у них есть «понимающие знакомые». Но мне, например, почему-то всё это никогда не мешало, главное — не стесняться.
НЛО прилетело и опубликовало эту надпись здесь
Хм. Спасибо, интересная штука.
Но вообще среди моих знакоміх те, кто пользуют паролехранилки типа KeePassX'а пароли обычно генерят сразу в них.
Тоже так делаю. Дело в том, что, например, в моём банке пароль может быть не длиннее (омг) 16 символов и содержать обязательно буквы-цифры (а другое вот нельзя). Мне не очень хочется тыкать кнопки, переключая режим в генераторе моей хранилки: удобнее было бы попросить сайт самому сделать то, что ему хочется получить.
У меня тоже самое — все пароли — бредятина вроде «QBX-GKTch+@gNbw<2w1sxG5(]?IW&x]gn93]nFVe», которую я даже не вижу во время генерации/копипасты на сайт при регистрации/входа, кроме одного сервиса, который тоже воспринимает только длину сильно короче всех остальных сервисов
Я просто требую email, и высылаю достаточно криптостойкий пароль на него. Потом юзер с ним входит и может уже поменять на свое усмотрение.
Вы придумали другую сложность для пользователя, просто зашли с другой стороны. Возможно этим, вы облегчили себе (как «разработчику») жизнь или упростили форму регистрации сделав её более привлекательной на первый взгляд, но…

Это плохой способ потому, что:
  • Это непривычный сценарий;
  • Никто не ожидает увидеть в почте пароль, да ещё и открытым текстом;
  • Не всегда есть возможность его скопировать для первого входа или это вызовет определённые сложности, что бы потом поменять;
  • Не сработает паролехранилка/паролегенерилка, которые не редко используют;
  • Многим не нравится когда за них решают и придумывают, тем более в таких вопросах (может у пользователя свой, достаточно хороший генератор паролей в голове, например с использованием правил составления пароля с использованием имени сайта и т. п.).


Почему вы вообще посчитали, что заходить по придуманному роботом паролю проще, чем придумать его привычным способом? У меня, к примеру, на придумывание сложного, уникального под каждое приложение или сайт, пароля, часто уходит не более 30 секунд.

Можно было бы придумать пару более удобных способов:
  1. Можно сразу же в форме ввода email показать и автоматически сгенерённый пароль, с возможностью ручного изменения/копирования/переписывания в блокнот/запоминания в голове или с помощью паролехранилок;
  2. В вашем случае можно было хотя бы высылать ссылку на автоматическую авторизацию, которая бы работала до смены пароля (только обязательно после такой автоматической авторизации, скрыть из адресной строки параметры этой ссылки).
… высылаю достаточно криптостойкий пароль… Потом юзер с ним входит и может уже поменять на свое усмотрение.

А потом пользователь может установить себе не криптостойкий пароль?

Криптостойкость можно улучшать программными общеизвестными средствами (к примеру — использование соли), и не нужно, при этом, заставлять пользователя придумывать сверхсложные пароли.
Соль от брутфорса не лечит.
Согласен. Но только в случае получения доступа к таблицам с солью. И это я всего лишь один пример привёл, в скобочках, который не является панацеей. В любом случае нужно поддерживать множество различных техник. А я, своим комментарием, только хотел поинтересоваться, зачем выдумывать временный криптостойкий пароль, если потом пользователь его сменит.
Если вы по какой-либо причине храните соль отдельно от пароля — у вас что-то пошло не так.
Не, не… пароль и соль рядышком конечно. Брутфорс ведь может проводится и без факта кражи БД или получения доступа к таблицам с паролями и солью. К примеру атака на внешние сервисы/API приложения. А для последних, просто даже добавление соли к хешам паролей уже является хорошим лекарством. Поэтому и решил уточнить.
На внешнюю атаку («атака на API») факт наличия/отсутствия соли не влияет совсем, т.к. в таком случае вы работаете не с радужными таблицами хешей, а с оригинальными паролями.

Посмотрите в сторону долгоиграющих алгоритмов с автоматической генерацией соли. Минус радужные таблицы (соль и различные вариации количества итераций), минус брутфорс как таковой (долгоиграющий алгоритм). Дайте злоумышленнику поиграть в более изощрённые игры :)
Спасибо! Хороший вариант.
Зато время работы алгоритма лечит. Вообще, изначально надо понимать, какую именно атаку будут проводить — на конкретный аккаунт или на угон пачки аккаунтов. И уже исходя из этого думать, стоит ли усложнять жизнь конечному пользователю.

В любом случае, пути два — ввод пароля пользователем при регистрации или отправка на почту ссылку на форму задания пароля. Слать какие бы то ни было пароли куда-либо — неправильно.
Лично меня бесит, когда вижу условие типа «пароль должен с цифрами» — делаю цифру, получаю другое условие — «пароль должен быть длинным», делаю длинным — ещё что-то вылазит, и конца краю этому не видно. Хочу, чтобы мне все условия выдавались сразу. При этом, в нём было бы здорово выделять те из них, которые ещё не выполнены, и приглушать те, которые уже меня не касаются.
Выше уже отметили этот момент :) фича в планах, появится.
А я хочу, чтобы сервис правильно работал с хешированием паролей и, как следствие, выдавал мне всего лишь одно сообщение — «Ваш пароль будет ещё прекрасней, если увеличить его длину до 6 символов и добавить в него цифры или небуквенные сифволы» (это в случае, если в моём пароле только буквы). Подчеркну — «или».
А почему нельзя иконки позиционировать относительно родительских input элеметнов? При абсолютном позиционировании их положение зависит от параметров родительских элементов, которые не всегда возможно изменить.
Непосредственно input не может содержать в себе что-либо по спецификации. Если положить их рядом с инпутами и позиционировать относительно них (или inline-block, или relative), есть проблема с тем, что содержащий элемент должен иметь ширину самого инпута + этих элементов, что не всегда приемлемо. Кроме того, некоторые плагины (например, jQuery.Validate) лезут в html и принудительно добавляют свои элементы прямо за инпутом, из-за этого тоже возникают сложности.
От параметров родительских элементов позиционирование не особо зависит (понятное дело, что смещение считается с первого не-static элемента): работает как с fixed, так и с absolute-позиционированными элементами в разных комбинациях, там даже есть тест на это.
Спрошу, может быть вы знаете, почему бывает ограничение на длину пароля СВЕРХУ? Т.е. почему пароль должен быть не более 20 букв, например?

У меня почти все пароли — это длинные фразы, и я постоянно упираюсь в ограничения на длину (про требования цифры-спецсимволы вообще молчу).
Привет, ICQ! :)
Такое бывает в двух случаях:
1. Пароли хранятся в открытом (реже — зашифрованном, но не хэшированном) виде. Тогда ограничение длины, скорее всего, из-за формата хранения (примитивный случай — в MySQL длина строки в соотв. поле ограничена 20 символами).
2. Админы или программисты — просто идиоты. Хотя это и к первому случаю относится…
Спасибо :)
Правда, вроде бы такое ограничение есть у пароля толи на e-bay, толи в paypal, толи в applestore. Надеюсь, там все же не идиоты работают…
НЛО прилетело и опубликовало эту надпись здесь
Так точно так же описано и реализовано автором статьи в его библиотеке.?
Сложность пароля можно оценивать по количеству вариантов для брутфорса по обычным маскам (перебор по словарю не рассматриваем). Например, пароль из 15 букв одного регистра в этом смысле примерно соответствует 12 символам из букв обоих регистров и цифр (26 ^ 15 ~ 62 ^ 12). Хотя этот метод и не панацея — придется учитывать много шаблонов. Скажем, 6 строчных букв и 3 цифры (abcdef793) это в 300 раз хуже 9 буквоцифр (ab7c9def3).

Тогда подсказка может содержать не конкретные требования («Нужна заглавная буква!»), а набор рекомендаций («Пароль слабый! Добавьте еще символов, или заглавные буквы, или спец. символы»).

Психологически неплохо действует рейтинг в виде количества условных секунд (часов, лет, и т. д.), необходимых для взлома пароля. Где-то такое видел.
А теперь просто примените долгоиграющий алгоритм хеширования и перенесите ответственность с плеч пользователя на свои плечи. Регистронезависимая комбинация из 4 латинских буквоцифр — это 1.5 млн вариантов, брутфорс в среднем за 750 тысяч итераций. Достаточно иметь алгоритм, отрабатывающий 0.3-0.5 секунды, чтобы заставлять брутфорсить один пароль в среднем за 60-100 часов. Напомню, мы говорим о пароле в 4 символа. Аналогичный пароль длиной в 6 символов будет в среднем брутфорситься примерно за 3000-5000 дней.

Конечно, можно применить более массивные вычислительные ресурсы — кластеры или гриды — и скорость увеличится в сотни и тысячи раз. Но достаточно трезво посмотреть на свои сервисы и на то, кто и зачем их будет взламывать. В абсолютном большинстве случаев требование таких паролей — необоснованная паранойя.

Мультиязычная подсказка…
По-моему, самый крутой способ, показать криптоскойкий ли пароль, это не писать «плохо»-«хорошо», а позволить пользователю самому оценить, насколько легко будет взломать его аккаунт.



Голые женщины, конечно, классные, но подозреваю, что так действеннее)
Для большинства пользователей эта надпись будет интерпретироваться как «вас взломают через 13 дней». Т.е. если для меня надпись, что взломают за год, говорит о том, что пароль нормальный (ну кому я нужен, чтобы год тратить вычислительные ресурсы на мой пароль), то для моей мамы это значит, что ровно через год её взломают.
Можно спастись другими постановками фразы «Can be cracked in 13 days», а когда пароль сильный, можно обойтись чем-то вроде «This password is difficult to crack»
Интересный плагин, спасибо, попробую попользоваться.

Если в форме регистрации есть второе поле с паролем для проверки — можно ли сделать так, чтобы при генерации пароля второе поле автоматически тоже заполнялось?

Кстати, тот плагин simplePassMeter (который с «more»), зря вы сразу его отсеяли, очень даже неплохой. У него есть пару интересных фишек — проверки matchField (указываем поле с pass2, чтобы оба введённых пароля совпадали) и noMatchField (указываем поле с логином, чтобы не совпадали). Самый большой недостаток — плохая модульность, сложно переводить и ещё сложнее сделать его мультиязычным.
Спасибо, с логином будет полезно, добавил настройку и проверку.
Про второе поле при генерации — не думаю, что правильной будет его установка в ответственности этого модуля, поэтому добавил события, теперь можно подписаться на generated и записать его во второе поле.
Вот, то что надо! Спасибо! Тоже думал про события…
Разработал и описал тут. Генератор пароля, с возможностью видеть пароль под звездочками.
habrahabr.ru/sandbox/59323/
Если ограничиться только современными браузерами, будет работать. У меня type изменяется только в случае если браузер поддерживает эту фичу, в остальных случаях будет fallback. В jquery это кстати был не баг, а фича такая :) помню, где-то даже было написано, что т.к. не все это умеют, то пусть и мы тоже будем падать (если конечно не путаю с другим свойством).
Использую на новом проекте. Очень доволен, хотя конечно не хватает немного некоторых визуальных опций.
Про подсказку.

Во-первых, не согласен, что ее надо прятать. Много причин почему может потеряться фокус на самом деле. От автозаполнения форм до срочно нужно сделать музыку потише. Вообще показывать сразу все ошибки гуд, всегда видно масштаб трагедии и еще до фокуса понятно что и где исправить.

Во-вторых, сама подсказка неимоверно длинная. Прям до жести. Можно ведь отжать:

Было:
Пароль слабый, в пароле должны быть буквы. Пароль слишком короткий (мин. длина): 8. Чтобы сгенерировать пароль нажмите [ico]

Стало:
Минимальная длина — 8 символов
Должны быть буквы
[ico] — генерация пароля.

Намного проще воспринимается.
Да уж, длинно получилось, и правда выглядит пугающе; надо будет сократить, спасибо.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории