Вокруг нас 100500 сайтов, требующих придумать пароль не меньше 8 букв с цифрами, строчными и прописными, не из словаря, не такой как на других сайтах, с высокой энтропией, неудобный для человека, запомнить его один раз на всю жизнь и ошибиться не больше трёх раз вспоминая его через три года, и не спутать с примерно 20 другими, паролями которые вы также храните в памяти. Люди, которые соблюдают все эти правила встречаются только в сказочках про Алису и Боба. Люди которые требуют всего этого от людей чувствуют своё превосходство над планктоном который их правила не соблюдает и от того придумывают новые ещё более сложные правила, которые игнорирует ещё большее количество людей, что, конечно, ведёт к ещё большему усложнению правил. И самое главное — если сравнить создателей этих правил с депутатами гос.думы они искренне оскорбятся, и даже не поймут, что это не шутка и не троллинг.
Понятно что надо что-то менять Но вот что? Я не знаю ответа, но у меня есть на этот счёт три картинки:
Существует множество плохих решений. Список явно не исчерпывающий, его можно расширять до бесконености.
1) Например запоминать пароли в браузерах. То есть доверять все свои секреты всем своим коллегам, которые могут подойти к компу.
2) Иметь восстановление пароля со стандартными вопросами. То есть доверять свои секреты любому кто умеет гуглить.
3) Хранить пароли на физическом носителе. То есть доверять свои секреты всем, кто может у вас что-то отобрать или стырить.
4) Лочить облачными сервисами типа Хромов и микрософтпрофилей. То есть доверять тем, кого неоднократно ловили на обмане.
5) Авторизоваться через соцсети, то есть доверять тем, кто продаёт ваши личные данные за деньги.
6) Иметь сайт хранитель паролей, который находится в уганде и кроме паролей занимается только распространением порнографии и терроризмом, как гарантией от сотрудничества с властями. (ИМХО, один из лучших вариантов).
Как мне кажется корень проблемы в том, что создатели паролей хотят, чтобы мы запоминали информацию в той форме, которая предельно неудобна для запоминания. Моя идея в том, чтобы сайт предоставлял человеку максимальную помощь для создания запоминающегося пароля через ассоциации и, возможно, мнемонические правила. Если бы у меня было время и сайт который нужно защищать я бы сделал так:
1) При регистрации человеку предлагаются три случайные картинки парадоксального или юмористического содержания. в обрамлении логотипа сайта. Любая картинка по клику заменяется на другую случайную.
2) И предлагается придумать длинный пароль-фразу, слов в пять, например, ассоциирующихся с этими картинками и не содержащих слов изображённых на картинках, в нашем случае «корова», «тачка» и «медведь». В одном или нескольких из слов предлагается заменить одну букву на цифру, или написать слово с синтаксической ошибкой.
2) После каждой успешной авторизации человеку показывается одна из выбранных им картинок, как якорь для запоминания.
3) Для восстановления пароля человеку показывается картинка, но не та, с которой он регился, а другая, одна из тех, что гугл выдаёт по словам «корова, тачка и медведь».
Только если после этого человек не вспомнил пароля сам восстанавливать через второй фактор, почту или СМС-ку, например.
Возможно формальная стойкость такого пароля к брутфорсу и будет ниже чем у красивых нечеловеческих паролей Алисы с Бобом, но я уверен, что безопасность вашей системы, тем не менее, подпрыгнет на недостижимую ранее высоту, и что важно, пользователи не будут материть вас при очередном входе на сайт пытаясь вспомнить какой именно из паролей они вынужденны были ввести в прошлый раз из-за того что их стандартный пароль для таких сайтов ваша система зарубила.
P.S. Создание размеченной базы картинок на основе пикаб-ру, ответа гугла что изображено на картинке и просмотра списка человеком, представляется задачей вполне решаемой за приемлемое время. Вероятно меньшее, чем у авторов разных некапч ушло на их создание.
P.P.S. Если вы реализуете такую систему и она понравится людям напишите под звёздочкой мелким мелким рифтом, что идей вдохновлена мной. Я вам за это ещё что-нибудь придумаю.
Понятно что надо что-то менять Но вот что? Я не знаю ответа, но у меня есть на этот счёт три картинки:
Существует множество плохих решений. Список явно не исчерпывающий, его можно расширять до бесконености.
1) Например запоминать пароли в браузерах. То есть доверять все свои секреты всем своим коллегам, которые могут подойти к компу.
2) Иметь восстановление пароля со стандартными вопросами. То есть доверять свои секреты любому кто умеет гуглить.
3) Хранить пароли на физическом носителе. То есть доверять свои секреты всем, кто может у вас что-то отобрать или стырить.
4) Лочить облачными сервисами типа Хромов и микрософтпрофилей. То есть доверять тем, кого неоднократно ловили на обмане.
5) Авторизоваться через соцсети, то есть доверять тем, кто продаёт ваши личные данные за деньги.
6) Иметь сайт хранитель паролей, который находится в уганде и кроме паролей занимается только распространением порнографии и терроризмом, как гарантией от сотрудничества с властями. (ИМХО, один из лучших вариантов).
Как мне кажется корень проблемы в том, что создатели паролей хотят, чтобы мы запоминали информацию в той форме, которая предельно неудобна для запоминания. Моя идея в том, чтобы сайт предоставлял человеку максимальную помощь для создания запоминающегося пароля через ассоциации и, возможно, мнемонические правила. Если бы у меня было время и сайт который нужно защищать я бы сделал так:
1) При регистрации человеку предлагаются три случайные картинки парадоксального или юмористического содержания. в обрамлении логотипа сайта. Любая картинка по клику заменяется на другую случайную.
2) И предлагается придумать длинный пароль-фразу, слов в пять, например, ассоциирующихся с этими картинками и не содержащих слов изображённых на картинках, в нашем случае «корова», «тачка» и «медведь». В одном или нескольких из слов предлагается заменить одну букву на цифру, или написать слово с синтаксической ошибкой.
2) После каждой успешной авторизации человеку показывается одна из выбранных им картинок, как якорь для запоминания.
3) Для восстановления пароля человеку показывается картинка, но не та, с которой он регился, а другая, одна из тех, что гугл выдаёт по словам «корова, тачка и медведь».
Только если после этого человек не вспомнил пароля сам восстанавливать через второй фактор, почту или СМС-ку, например.
Возможно формальная стойкость такого пароля к брутфорсу и будет ниже чем у красивых нечеловеческих паролей Алисы с Бобом, но я уверен, что безопасность вашей системы, тем не менее, подпрыгнет на недостижимую ранее высоту, и что важно, пользователи не будут материть вас при очередном входе на сайт пытаясь вспомнить какой именно из паролей они вынужденны были ввести в прошлый раз из-за того что их стандартный пароль для таких сайтов ваша система зарубила.
P.S. Создание размеченной базы картинок на основе пикаб-ру, ответа гугла что изображено на картинке и просмотра списка человеком, представляется задачей вполне решаемой за приемлемое время. Вероятно меньшее, чем у авторов разных некапч ушло на их создание.
P.P.S. Если вы реализуете такую систему и она понравится людям напишите под звёздочкой мелким мелким рифтом, что идей вдохновлена мной. Я вам за это ещё что-нибудь придумаю.