Почти ежедневно я сталкиваюсь с необходимостью регистрации в разных сервисах. Некоторые из них хранят важные персональные данные, те же Госуслуги, клиент-банк или личный кабинет налогоплательщика. Но есть и такие, которые не знают обо мне ничего супер-важного. Максимум, собирают телефон и email, которые я итак не слишком-то скрываю. При этом, почти все сервисы просят невероятно сложный пароль:
Не менее 6-8 символов.
Маленькие и заглавные буквы.
Числа и специальные символы.
Знакомо? Оставлю тут пару соображений с точки зрения пользователя.
Не все сервисы одинаково важны
Одно дело встречать подобные требования к паролю на Госуслугах или в личном кабинете налогоплательщика. Совсем другое, когда меня заставляют изощряться там, где это не нужно. Например, когда я пытаюсь подключить бесплатную пробную подписку какого-то информационного или обучающего ресурса.
Как и большинство пользователей, я не собираюсь возвращаться на ресурс после окончания пробного периода (средняя конверсия из триала в платную подписку всего 35%).
Так зачем же заставлять пользователя сразу придумывать сложный пароль? Когда можно предусмотреть другой сценарий: предлагать пользователю усложнить пароль или подключить двухфакторную аутентификацию только тогда, когда в сервисе появляются персданные или данные об оплате.
А если сервис в целом не заточен на сбор и хранение таких данных, не стоит усложнять клиентский путь по привычке или потому что «все так делают, мы чем хуже». Всё должно быть обоснованным.
Кстати, с точки зрения безопасности, использование цифр и специальных символов (@#=?\) обосновано. Но мы всё дальше уходим от десктопа в сторону мобильных устройств. А вот набрать сложный пароль на телефоне – это уже ежедневная трата драгоценных секунд и минут. Просто представьте пользователя, который вынужден сидеть и переключать клавиатуру туда-сюда.
Чем сложнее, тем легче
Не секрет, что чем сложнее пароль, тем легче его забыть. Чтобы упростить себе жизнь, пользователь точно пойдёт одним из этих путей (других я просто не знаю):
1) Если не сильно бдит за безопасность – будет придумывать простые пароли.
2) Если бдит чуть сильнее – придумает надёжный пароль, но будет использовать его везде. Что, как известно, не сильно лучше первого варианта.
3) Если бдит хорошо – создаст систему генерации паролей для каждого ресурса. Пример такой системы неплохо описан в этой статье.
Получается следующая картина: я среднестатистический пользователь, не сильно бдящий за безопасность (а таких большинство). Чем больше с меня требуют сложные пароли, с цифрами и спецсимволами, тем чаще я буду упрощать их или использовать везде один и тот же.
Забавный парадокс.
Комментарии (37)
sergiodev
23.05.2023 15:24+5Сейчас вроде как тенденция на замену паролей смсками. Мне лично не нравится эта тема, т. к. мне проще сгенерить пароль и сохранить в LastPass или на крайняк в браузере. Пароль к тому же проще восстановить по эл. почте, если забыл. А если номер сменишь или потеряешь симку, пойди потом докажи, что это был ты. Да и вообще сообщать каким-то непонятными чувакам номер телефона не хочется. Но маркетологам плевать, им лишь бы больше людей зарегалось (к примеру, Озон).
Fahrain
23.05.2023 15:24+2Проблема в том, что уже с десяток лет как сайты перестали делиться на важные и не важные (для тебя самого). Т. е. раньше можно было зарегистрироваться в каком-нибудь "блоге Васи Пушкина" с паролем 1234 и ничего страшного бы не произошло бы.
Однако, сегодня твой емейл/логин/телефон и куча других данных гарантированно есть в базах зловредов. Это приводит к тому, что любой аккаунт с простым паролем будет мгновенно взломан - причём автоматически, роботами.
И вы скажете что и фиг с ним, там де ничего важного... Только вот такой аккаунт начинает генерировать тонны спама. В особо тяжёлых случаях - может даже использоваться для регистрации на других сайтах. Вишенкой на торте будет ещё и если емейл вы использовали такой же "не нужный" и даже не смотрите что туда пишут.
В итоге мало того, что спамят вам - все это ещё и засирает спамом и сами сайты, влияет на их позицию в поиске, жрёт трафик/процессор и деньги - в итоге просто вынуждает владельца как-то с этим бороться.
Т. е. в конечном итоге требования к паролю - они не для защиты вас. Они больше для защиты ОТ вас.
Belkogoth
23.05.2023 15:24+4Менеджеры паролей удобны - я давно привык к Keepass2, генерит пароль какой хочешь и сохраняет, плюс можно использовать даде как записную книжку. Сам файл пароля шифруется, и хранить его можно как локально, так и в облачном диске. Ну и что добавляет удобства - поддерживаеь отпечатки пальцев в мобильном клиенте и быстрый пинкод, который дает только одну попытку - быстро открывается, копируется-вставляется пароль и закрывается. Вещь, в общем, незаменимая.
А касаемо состава пароля - меня жестко выбешивает обязательное требование спецсимволов. Человек, знакомый с вышматом (видимо, многие разрабы вместо матана гоняли пивас в парадных в юности) знает, что число вариантов перебора пароля - равна длине алфавита в степени, равной доине пароля. Рост числа степени гораздо быстрее усложняет пароль, чем рост основания. То есть лучше удлинить пароль на пару знаков, чем применять спецсимволы. И при этом пароль с нестандартными буквоцифрами еще и запомнить сложнее будет) Проще знакомые понятия и слова комбинировать в длинные пароли, чем запоминать горку поменьше, но с полной кашей. И бесполезно объяснять людям, что это безопасно - люди не хотят возиться с этим геморроем. Пытаясь победить нежелание сервисы сами себе создают кучу проблем.
myswordishatred
23.05.2023 15:24+2То есть лучше удлинить пароль на пару знаков, чем применять спецсимволы
Ну вообще в идеальном мире будет измеряться энтропия пароля. Но, видимо, это задача слишком сложная для большинства сервисов, проще стандартное "Минимум одна буква в другом регистре, цифра и спецсимвол" сунуть.
Dewey
23.05.2023 15:24+6Hidden text
exTvr
23.05.2023 15:24+5Розовые розы- Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
- Розы.
- Извините, в вашем новом пароле слишком мало символов!
- Розовые розы.
- Извините, пароль должен содержать хотя бы одну цифру!
- 1 розовая роза.
- Извините, не допускается использование пробелов в пароле!
- 1розоваяроза.
- Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
- 1гребанаярозоваяроза.
- Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
- 1ГРЕБАНАЯрозоваяроза.
- Извините, не допускается использовать несколько заглавных букв, следующих подряд!
- 1ГребанаяРозоваяРоза.
- Извините, пароль должен состоять более чем из 20 символов!
- 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНе ДашьМнеДоступПрямоБлядьСейчас!
- Извините, но этот пароль уже занят!
myswordishatred
23.05.2023 15:24Мне кажется, что вставка какого-нибудь ASCII-символа в пароль типа такого: "░" решает проблемы с безопасностью практически наверняка.
saipr
23.05.2023 15:24Не секрет, что чем сложнее пароль, тем легче его забыть.
почти все сервисы просят невероятно сложный пароль:- Не менее 6-8 символов
- Маленькие и заглавные буквы
- Числа и специальные символы
Со всем этим я столкнулся первый раз, когда более тридцати лет назад внедряли Unix SCO. Там тоже SCO требовала пароль по этим правилам. Всё это было впервые, в диковинку. Фантазии не хватало, но здесь на помощь приходила сама система, предлагая сгенерировать пароль. Вот и для меня Unix SCO сделал пароль. По-началу это было невозможно запомнить и периодически его приходилось создавать заново. Но потом каким-то образом я запомнил один из паролей до автоматизма и вот уже более 30 лет пользуюсь им. Если его произнести вслух для кого-то, то любой скажет что это за бред. но он у меня сейчас и в голове и в пальцах. Ни на одной бумажке он у меня не записан. За все эти годы использования этого пароля никаких неприятностей я не испытал. И Unix SCO всегда вспоминаю добрым словом.
evr1ka
23.05.2023 15:24Проверьте его на утечки. Я почти уверен что все не так хорошо, как вы думаете. Что-то типа: https://haveibeenpwned.com/Passwords
Кому интересны дополнительные мысли, можете прочитать их в статье, которые писал для корп.сайта: https://social.efko.ru/social/group/6929e6d5-0b08-485e-a459-16eddf175ad2/postsevr1ka
23.05.2023 15:24Ссылка выше на общий тренд. Сама статья вот:
https://social.efko.ru/social/post/8b9111f9-7fc8-4091-a6f7-41eabfde8321
saboteur_kiev
23.05.2023 15:24+1Для множества разных сайтов вы все равно не удержите в голове простые пароли.
Использовать один для простых сайтов - нелепо какие бы простые они не были.
Значит нужен пассворд менеджер или хотябы блокнот. А если заглядывать в блокнот, то какая разница что из него копировать - "мойпароль" или "LKSJD@#$*ISJHFD" ?
Так зачем же заставлять пользователя сразу придумывать сложный пароль?
Можно не заставлять, предлагать пользователю автоматически сгенерированный пароль, который он копирует и вставляет себе в пассворд менеджер.
AADogov
23.05.2023 15:24А когда этот пароль ещё требуют менять каждые 2 месяца.
vikarti
23.05.2023 15:24При этом для работы в рамках одного (логически) сервиса надо несколько аккаунтов, менять надо везде.
При этом еще и нужно прописывать пароль в переменные окружения(!).
Ведь не может же получится что люди в таких случаях используют одинаковые пароли вида Aadogov$2023$<порядковый_номер_пароля_меняется_при_требовании_очередной_смены_каждые_2_месяца> ?
vikarti
23.05.2023 15:24Passkeys? По сути отказ от использования пароля (с заменой на подтверждение по e-mail например для первоначальных авторизаций + добавление авторизации устройствами пользователя, в некоторых случаях с синхронизацией (через iCloud и тот же) + fallback'и для случаев вида — Linux+старый браузер а у пользователя все на iCloud завязано(тогда пойдет все через QR коды)).
micronull
23.05.2023 15:24Если использовать KeePassXC и ему подобные, то можно забыть о проблемах с паролями, включая второй фактор, например TOTP.
Синхронизация осуществляется через облако (приватный ключ только ручками копируйте между устройствами).
Клиенты есть для браузеров и Android.
Есть встроенный плагин для проверки паролей на утечку через HIBP (запускается вручную).
LeetcodeM0nkey
23.05.2023 15:24+1Классическая ситуация перекладывания проблемы с больной головы (утечки хэшей) на здоровую (пользователя). Pbkdf с солью практически гарантированно делает пароли невосстанавливаемыми. Но нет, будем продолжать дальше хэшировать каким-нибудь древним MD5 и мучать пользователя чтобы придумывал всякие !@#.
freeExec
23.05.2023 15:24Как этот "Pbkdf с солью" поможет от подбора пароля
123456и прочих, давно наполняющих словари?
Ikolo92
23.05.2023 15:24Ну, на все случаи не претендую и уж тем более, например, на локальные шифрованные файлы, но какой хоть сколько нибудь нормальный сайт или система позволит вам брутфорсить пароль? Да даже словарная атака не поможет, если стоит условие "5 попыток, потом блок" и использовать пароль не из верха списка, с минимумом стойкости
freeExec
23.05.2023 15:24Так с брутфорсом сайта справится даже plaintext, не то что MD5, который вы почему-то забраковали.
LeetcodeM0nkey
23.05.2023 15:24Никак. Но, наверно, проще всё-таки подцепить этот словарь, а не перекладывать проблему на пользователя? freeexec например гарантированно не брутится. Нравится когда в нагрузку требуют !@#?
theurus
23.05.2023 15:24+1зачем вообще пароли если можно спрашивать только почту а по ней уже получать открытый pgp ключ с сервера ключей
Ikolo92
23.05.2023 15:24Для меня самый удобный вариант - bitwarden. Одно сочетание клавиш генерирует пароль, другое вставляет, клик мышкой сохраняет в базе. Лучше пока ничего не придумали, кажется
Хотя слышал про попытку разработать систему авторизации с помощью телефона. Наверное, было бы ещё лучше - он всегда с собой. Приложил палец к сканеру и вошел на сайт. Ну и доп способ, если телефона при себе нет (эпопея "телефон умер, или как я гугл аккаунт восстанавливал")
cahbe
23.05.2023 15:24Чем поможет вам ваш кейпасер если подключиться нужно не со своего мегакомпа? Как вы собрались вводить kdsgj*0983#$09{ONF)#N{O@ с телефона или в системе где не работает буфер обмена? А если пас нужно ввести раз 12 подряд? Я сталкивался с такими вот приколами вживую и на выходе пароль 123456йцукен кажется куда более защищённым чем предыдущий, но сохранённый на рабочем столе в текстовом файлике или распечатанный на бумажке и лежащий на клавиатуре сверху...
Ikolo92
23.05.2023 15:24В телефонах буфер обмена обычно работает - по крайней мере я пользуюсь с 4 версии и ни разу не видел устройства без него
А на каких системах его нет? Мне казалось, это давно базовая функция
Для подключения издалека есть обычно синхронизация файла в облако или менеджер с собственными серверами (доверие к владельцу - вопрос третий и нас сейчас не касается). И за что топите именно вы - за использование везде одного простого пароля из памяти?
WitFed
23.05.2023 15:24Есть древняя мудрость: не умножай сущности сверх необходимого. С паролями надо стремиться в ту же степь.
Бывают сайты, где принимают аккаунты от более продвинутых сородичей: VK, YA, FB, Google...
Может, этим путём пойдёт развитие, либу напишут общую для парольных админов, да обяжут указывать хоть какого-то "гранда" при логине, как альтернативу ?
peacemakerv
23.05.2023 15:24+1https://chriszarate.github.io/supergenpass/mobile/
Давно обсуждалось уже
Geckelberryfinn
Для одноразовых регистраций и прочего шлака, уже есть же bugmenot, вообще не надо заморачиваться с придумыванием пароля. Но, это так, к слову