Адрес для входа в РФ: exler.world
Хотелось бы деликатно возразить
Леня Каганов разразился эмоциональным постом, в котором высказал свои претензии к разработчикам по поводу паролей пользователей. Пароли - тема важная и нередко больная, поэтому предлагаю обсудить.
Вот его претензии:
Ненавижу, когда пароль на экране заменяется звездочками. Если я такой идиот, что мне приспичило набирать пароль в переполненном трамвае, я сам способен решить проблему, как отгородиться ладошкой от пассажиров, заглядывающих через плечо. А профессиональный шпион сумеет углядеть пароль просто по тем кнопкам, которых я касаюсь — их-то вы звездочками не закроете.
Леня забывает одну существенную вещь. Кроме таких идиотов в переполненном трамвае существуют миллионы офисных работников, мониторы которых постоянно на виду. И эти работники - вовсе не идиоты. Поэтому заменять символы пароля звездочками - это не просто правило хорошего тона для разработчиков, а совершенно необходимое требование. Сейчас многие сервисы в конце строки пароля ставят специальный символ, при нажатии которого пароль будет высвечен - отличное решение.
Ненавижу, когда пароль предлагают «повторить» от опечаток. А нехер было его забивать звездочками, тогда и опечаток не будет! Человек не дебил, чтобы делать опечатку в пароле. А если он опечатался — ничего страшного, проведет смену пароля через почту еще раз.
Требование дублирования важных данных в целях проверки правильности ввода - это стандарт, идущий еще из глубины веков. Меня самого эта штука не раз спасала, когда я случайно ошибался в каком-то символе при задании пароля. Если считать дебилами всех, кто при вводе строки случайно ошибся в каком-то символе, то Лене надо бы посмотреть самому себе в глаза и понять, что он явно погорячился.
Ненавижу, когда говноразработчики пишут «ваш новый пароль h6sY!HWf6$E19h&j№sNHTjs, потом вы его сможете потом как-нибудь где-нибудь сменить...» Смени себе мозг, сука, и придумай нормальный интерфейс! Пароль — личное дело пользователя, а не разработчика.
Вот тут я себе вообще весь мозг сломал - не смог уловить суть претензии. Сервис демонстрирует новый пароль пользователя для проверки. Потому что если пользователь вдруг его ввел не в том регистре или не в той раскладке, он не сможет зайти в свой аккаунт.
Ненавижу разработчиков-придурков, которые начинают говниться «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания и минимум две буквы греческого алфавита...» Если я хочу поставить "123" — это мое личное дело, а не ваше! А свои говноконструкции с заглавными буквами сами зубрите.
Это вообще бред сивой кобылы. Сервисам и так приходит куча претензий по поводу "взлома" аккаунтов от людей, которые задают пароль "123", а потом орут, что их, дескать, взломали. Помнится, некая "статусная дама" Мария Арбатова чуть ли не среди ночи поднимала Антона Носика с постели звонком, истеря о том, что ее аккаунт в ЖЖ взломали, а руководство ЖЖ ни хрена не делает. У статусной дамы, насколько я помню, как раз был пароль "123", а отвечать за это почему-то должен был Носик. Поэтому правильно сервисы требуют от пользователей задавать хоть сколько-нибудь стойкие пароли: от этого всем будет хорошо - и пользователям, и сервисам.
Ну и конечно надо убивать разработчиков, которые хранят у себя пароли пользователей. Только хэш! Вы не имеете никакого права хранить у себя чужое, подвергая своих пользователей риску, если ваш говноресурс кто-то взломает и узнает пароли, которые пользователь, возможно, использует еще где-то. Именно поэтому все эти годы я ничем не мог помочь людям, которые мне писали «Лео, подскажи, какой у меня был пароль?» или «Лео, пропиши мне пароль qwerty123, а то я свой забыл». У меня хранится только хэш.
Вот это единственное замечание, с которым я полностью согласен. В нормальных сервисах так и делается: хранится только хэш. Меня часто пользователи моего форума и почты просят посмотреть их пароль и очень удивляются, когда я говорю, что никак не могу посмотреть их пароль. Я его могу только поменять (задать новый). А посмотреть - нет. Они не верят. А напрасно.
В данном случае - по всем пунктам согласен с Алексом. Да, всё, что описано - здорово действует на нервы, но - если всё это разом отменить - будет только хуже. Сам много раз искренне благодарил фичу - "повторный набор пароля". Теперь, насчёт звездочек. А что - вирусы, делающие скриншоты экрана отменили? И потом, каким бы ты не был аккуратным, всё равно велик шанс, что из-за спины твой пароль считают. И опять же - гораздо легче прикрывать при наборе пароля только клаву, чем прикрывать и клаву и экран. Опять же - сейчас экраны компов стали очень большими, уже своей головой перекрыть угол обзора как раньше, не получится 😄.
"Если я хочу поставить "123" — это мое личное дело, а не ваше!"
Во, вот именно из-за этого лично я пострадал... Я, всегда ставящий пароль по всем правилам, всегда сложный, пострадал из-за таких вот деятелей, ставящих "123"...Есть у меня почта, выданная провом. Почта эта у меня очень давно, я ею практически не пользуюсь, но - в одно время там начала твориться настоящая вакханалия - был просто тотальный разгул спама. Доходило до того, что мне спам приходил от меня же.. В итоге, пров ввёл там очень жесткие требования - теперь поставить на ящик пароль вида 123 в принципе невозможно. Так более того - теперь ВСЕ обязаны менять пароль минимум раз в месяц. Невзирая на его, пароля, сложность. Спрашивается - а я причём? Я же и так ставил сложный пароль, почему я обязан его менять? Но я смирился... А что делать, если прова просто задолбали жалобы таких вот марий арбатовых, поставивших паролем 123, а потом плачущих - ой, мою почту взломали... Кстати, система там теперь – реально аццкая. Пароль при его забытии ты можешь восстановить только один раз. Если опять забыл – нужно с админом связываться и лично доказывать, что ты это ты и ящик твой… И ВСЁ это ТОЛЬКО из-за такой вот позиции некоторых – «мой пароль, чё хочу, то и делаю»…
http://img.thedailywtf.com/images/13/q3/e79/Pic-6.png
А что если телефон украдут? Что тогда?
А по поводу пользователей, истерящих "меня взломали" - ну для кого лицензионные соглашения и правила сайтов пишут? На них и так нынче только кровью расписываться - для, так сказать, стилистического соответствия. Что стоит в них добавить - "Плохой пароль - сам дурак"? На этапе ввода пароля можно предупредить. Злостно предупредить. Предупредить с галочкой "да, я понял". Но запрещать - неуважение к пользователям и маркер самомнения сайтовладельцев.
P.S. На exler.ru, вроде как, есть ограничение только на минимальную длину пароля. По крайней мере, с регистрацией не было никаких проблем. Вот бы везде так...
Типичное переваливание с больной головы на здоровую - один из многих тысяч пожаловался, теперь давайте всех заставим набирать парили под наши требования (зачастую, абослютно дебильные). Вместо того, чтобы написать большиими красными буквам что-то вроде "Простой пароль приведет ко взлому вашего аккаунта, нажмите ОК что вы это прочитали".
Хуже всего то, что вместо моего обычного пароля, который выглядит примерно как jsdsdfpaqpqamnjx, меня заставляют набирать какой-нибудь Alligator5 который под требования этх дятлов подходит, а подобрать его в сто раз проще.
Один идиот с уверенностью в своей правоте стоит десятков тысяч нормальных пользователей. (стоимость в нервных клетках 😄 )
А большую красную надпись... Ответ один - "не видел/а"
Шутка.
Пароль любой сложности легко подбирается терморектальным криптоанализатором. Причем за вполне разумное время.
Шутка.
Я тут рельно забыл один реально очень важный пароль. Думаете, поможет?
===
Я вас буду пытать-иметь. Пока не скажете. А если не подойдет, то даже моя раскованная фантазия бессильна. Кошмар - это мягко сказано.
Подписываюсь!
/off
Вообще - я бы приговорил изобретателей SMS к 15-летнему расстрелу через повешение на электрическом стуле
off/
Тот же самый метод я бы применил к разработчикам Windows Phone, которые решили, что текст SMS-ок, в момент их прибытия, можно отображать поверх lock screen (!!!).
Речь идет не о том, чтобы посмотреть сохраненные пароли, а о том, чтобы видеть пароли во время ввода. Как это опционально в Андроиде сделано, например.
Тю. Зачем возражать, если у человека НЕНАВИСТЬ.
))) Кстати - да! Резонно.
а где же ректотермальный/терморектальный подбор паролей ? в условиях рашки весьма себя оправдывает (впрочем там даже и пояльник не нужен - достаточно компетентным огранам сказать "виновен" и пароль подберут, даже если у тебя и компьтера то нет...)
и уточню - при нормально организованной работе работнику надо 1-2 пароля.
у Сбербанка не очень сложный пароль на "банк-онлайн"
Да. Но там по SMS доп-но однораз. пароль шлют и информируют о входе.
Nikson:
и сменить его на сложный нельзя(
Главное, что его сменить на очень простой не получится! 😄
Хотя, конечно, пароль мог бы быть и посложнее...
1. Сначала выкатил целый список претензий к методам и требованиям к аутентификации принятых на серьезных интернет-проектах с милионной аудиторией.
2. Заявил самоуверенно, что лично ЕГО это не устраивает, а значит это глупо/по-идиотски/неудобно.
3. А затем, в результате развернувшейся дискуссии и появившихся замечаний и претензий к нерациональности реализации или к возможной небезопасности его собстенного самопального движка, заявил свое обычное : а я не обязан что-то для кого то делать, менять или отвечать за это.
Сравните с его позицией касательно авторского права- тот же стиль- тихо слиться если уличили в противоречии самому же себе.
Есть у него такое. "Я не такой как все":)
Что касается паролей из всяких там стихотворений -- достаточно сделать несколько изящных ошибок в словах, и сложность перебора тут же существенно возрастет.
И автоматическая генерация паролей в духе !4u23va123jja это тоже цирк с конями. Мне, кроме шуток, один раз сгенерировали пароль, который заканчивался на zhopa.
Ничего о_О
Некоторые и пин-коды на карточках пишут, что ж поделать.
В психиатрии есть такое понятие - вовлечение в бред. Это как раз такой случай.
Так что тут я ЛК, пожалуй, поддержу. Достаточно будет дисклеймера: Если вы идиот - это ваши проблемы. С предупреждением ознакомлен. И квадратик с галочкой.
Единственное "но" - разработчикам следует ПРЕДУПРЕЖДАТЬ юзеров о том, что они что-то делают не так, но НЕ запрещать это.
Единственное "но" - разработчикам следует ПРЕДУПРЕЖДАТЬ юзеров о том, что они что-то делают не так, но НЕ запрещать это.
А что делать потом банку, если Вы ему сообщите, что Вашей карточкой кто-то воспользовался без Вашего ведома? Всякие чаты и форумы и так разрешают простые пароли.
Эти красавцы совершенно правильно высылают на мобилку одноразовый пароль для подтверждения операции. НО! Во-первых, это восьмисимвольный сложный пароль (в разных регистрах, с цифрами и спец-символами), а во-вторых - поле для его ввода рисует звездочки.
Так и хочется их посадить и заставить сутками проводить операции...
Извините, но нычне вы со своего компьютера заходите на уже не только ваши ресурсы. И с каждым годом компьютер все меньше и меньше лично ваш. Поэтому некие условно-универсальные правила для всех неизбежны. Это как с автомобилями, пока их были единицы - они никого не беспокоили, пока курей не давили. А потом появились ПДД. И теперь вы можете быть хоть на 500% уверены, что с правитесь с управлением своего авто на скорости 140км в час, но общие правила диктуют вам максимально допустимую скорость. И как человек хорошо знакомый с компьютерами, вы должны понимать, что правило состоящие из сплошного набора исключений работать не будет.
Вариант я вижу только один - месье совсем не так квалифицирован, как думает о себе. Иначе с чего сколько бреда про ограничения? Да, есть, но убираются за полчаса, и для этого совсем не нужно Асм ковырять.
Тут есть один момент. 😄
Для удобства ввода с мобильной клавиатуры в некоторые не самые смертельно-критичные сервисы я генерирую KeePass'ом достаточно длинные пароли, но только lowercase letters. И некоторые сервисы очень сильно волнуюся: "Ох, как же это у вас 9 букв и ни одной цифры, и ни одного спец-символа, очень небезопасно!"
И еще забавно, когда так беспокоится интернет-магазин (который не сохраняет при том платежную информацию) или мониторилка веб-сайта (злоумышленники зайдут и будут мониторить другой сайт, да!).
Про LastPass я в курсе, если что. Но всё равно.
Вы не знаете, как из запомненных на компе звездочек получить пароль? Прикольно...
У Каганова хеши засолены. См. комменты к его посту.
Какого хрена в google play в топ приложений мне услужливо подсовывают местые разработки местных умельцев?
Ненавижу когда набираю google.com и он тут же услужливо переключает на Google.az Какого хрена.
Набирайте google.com/ncr
Интересно, что из этого высказывания Каганов сделал вывод, что они у себя хранят пароли. Совершенно не обязательно.
Алекс, я думаю там идет речь о системах автоматической генерации начальных паролей. Проходишь регистрацию и тебе выдают такую вот абракадабру. Естественно, ее надо сразу сменить, т.к. запомнить невозможно, но почему бы не предусмотреть задание удобного пароля сразу на этапе регистрации?
Это делается для совмещения процесса регистрации с проверкой адреса почты/телефона.
ИМХО, автор подразумевает, что пароль генерируется автоматически в такую вот лабуду и приходит на почту. Не мало таких сервисов есть. Кстати, ни что не мешает копи-пастить 😄
Про дублирование ввода важных данных - целиком и польностью за. Сам однажды на заре своей компьютерной деятельности коряво написал где-то свой адрес е-почты, который был в качестве логина. поменять его уже было нельзя. Пришлось заводить такой новый почтовый ящик, чтобы попасть в сервис (уже не помню детали, но как-то так).
Алекс, п.3 - это явно про те сервисы, которые не предлагают самому ввести свой пароль, а генерируют автоматичеки. И да, такие пароли реально непросто использовать иногда, особенно если регистрируешься не со своего компа, или с телефона/планшета по дороге.
подразумевается, что пароль будет использован однажды для входа и сменен на то что нравится