Хотелось бы деликатно возразить

Леня Каганов разразился эмоциональным постом, в котором высказал свои претензии к разработчикам по поводу паролей пользователей. Пароли - тема важная и нередко больная, поэтому предлагаю обсудить.

Вот его претензии:

Ненавижу, когда пароль на экране заменяется звездочками. Если я такой идиот, что мне приспичило набирать пароль в переполненном трамвае, я сам способен решить проблему, как отгородиться ладошкой от пассажиров, заглядывающих через плечо. А профессиональный шпион сумеет углядеть пароль просто по тем кнопкам, которых я касаюсь — их-то вы звездочками не закроете.

Леня забывает одну существенную вещь. Кроме таких идиотов в переполненном трамвае существуют миллионы офисных работников, мониторы которых постоянно на виду. И эти работники - вовсе не идиоты. Поэтому заменять символы пароля звездочками - это не просто правило хорошего тона для разработчиков, а совершенно необходимое требование. Сейчас многие сервисы в конце строки пароля ставят специальный символ, при нажатии которого пароль будет высвечен - отличное решение.

Ненавижу, когда пароль предлагают «повторить» от опечаток. А нехер было его забивать звездочками, тогда и опечаток не будет! Человек не дебил, чтобы делать опечатку в пароле. А если он опечатался — ничего страшного, проведет смену пароля через почту еще раз.

Требование дублирования важных данных в целях проверки правильности ввода - это стандарт, идущий еще из глубины веков. Меня самого эта штука не раз спасала, когда я случайно ошибался в каком-то символе при задании пароля. Если считать дебилами всех, кто при вводе строки случайно ошибся в каком-то символе, то Лене надо бы посмотреть самому себе в глаза и понять, что он явно погорячился.

Ненавижу, когда говноразработчики пишут «ваш новый пароль h6sY!HWf6$E19h&j№sNHTjs, потом вы его сможете потом как-нибудь где-нибудь сменить...» Смени себе мозг, сука, и придумай нормальный интерфейс! Пароль — личное дело пользователя, а не разработчика.

Вот тут я себе вообще весь мозг сломал - не смог уловить суть претензии. Сервис демонстрирует новый пароль пользователя для проверки. Потому что если пользователь вдруг его ввел не в том регистре или не в той раскладке, он не сможет зайти в свой аккаунт.

Ненавижу разработчиков-придурков, которые начинают говниться «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания и минимум две буквы греческого алфавита...» Если я хочу поставить "123" — это мое личное дело, а не ваше! А свои говноконструкции с заглавными буквами сами зубрите.

Это вообще бред сивой кобылы. Сервисам и так приходит куча претензий по поводу "взлома" аккаунтов от людей, которые задают пароль "123", а потом орут, что их, дескать, взломали. Помнится, некая "статусная дама" Мария Арбатова чуть ли не среди ночи поднимала Антона Носика с постели звонком, истеря о том, что ее аккаунт в ЖЖ взломали, а руководство ЖЖ ни хрена не делает. У статусной дамы, насколько я помню, как раз был пароль "123", а отвечать за это почему-то должен был Носик. Поэтому правильно сервисы требуют от пользователей задавать хоть сколько-нибудь стойкие пароли: от этого всем будет хорошо - и пользователям, и сервисам.

Ну и конечно надо убивать разработчиков, которые хранят у себя пароли пользователей. Только хэш! Вы не имеете никакого права хранить у себя чужое, подвергая своих пользователей риску, если ваш говноресурс кто-то взломает и узнает пароли, которые пользователь, возможно, использует еще где-то. Именно поэтому все эти годы я ничем не мог помочь людям, которые мне писали «Лео, подскажи, какой у меня был пароль?» или «Лео, пропиши мне пароль qwerty123, а то я свой забыл». У меня хранится только хэш.

Вот это единственное замечание, с которым я полностью согласен. В нормальных сервисах так и делается: хранится только хэш. Меня часто пользователи моего форума и почты просят посмотреть их пароль и очень удивляются, когда я говорю, что никак не могу посмотреть их пароль. Я его могу только поменять (задать новый). А посмотреть - нет. Они не верят. А напрасно.