Пароль — уходи

Alexandr Karpovich
Aug 23, 2017 · 3 min read

Мы стараемся сделать свои продукты удобнее для пользователей, проводим тестирования, проверяем гипотезы, ведем работу над улучшением опыта пользователей основного функционала. Но многие забывают, что опыт начинается с порога. И чаще всего этот порог слишком высокий и неудобный.

Более менее активный пользователь в среднем имеет около 10–15 учетных записей, каждый сервис советует нам иметь уникальный пароль, а правила для составления пароля у сервисов разный, где-то требуется учитывать регистр, где-то обязательно добавлять числа, и спецсимволы, также ограничение на количество символов. Некоторые сервисы, заставляют пользователя менять пароль через определенный промежуток времени.

Гугл дает нам совет, как лучше составлять пароли:

“Выбирайте в качестве пароля такую комбинацию букв, цифр и символов, которая никак не соотносится лично с вами. Или возьмите случайное слово или фразу и добавьте в конец, начало или середину буквы или цифры, чтобы получить пароль, который будет не так просто угадать (например, sPo0kyh@ll0w3En). “

Теперь попробуйте это запомнить и не забыть, а ещё лучше попробуйте сделать такой пароль кому-нибудь, кому вы помогаете зарегистрировать аккаунт и тому кто плохо во всем этом разбирается, например вашим родителям. И спросите спустя пару месяцев, помнят ли они его и помнят ли, где та бумажка, на которую они его записали.

Вместо решения проблемы и снижения градуса батхерта, гугл делает как-то так:

88% людей забывали хотя бы один пароль, и им приходилось его сбрасывать.

Показательным примером является Adobe ID:
Мою историю с этой учетной записью, отлично иллюстрирует твит:

“Отлично! Тогда придумай новый пароль,” —
скажете вы, и будете неправы.
Пароль вида:
)#(()*$&#@*)1$((@(@HUI#@#_#(@()@(#I$_(()_@#(_)(_()
не подойдет, при огромной энтропии и большому числу знаков, подобрать такой пароль брутфорсом не представляется возможным в ближайший век, но для адоба этого недостаточно потому, что в нашем пароле нет символа нижнего регистра.

Когда система дала понять, что все вариации пароля, которые я в теории мог запомнить, ей не понравились, я перестал биться с бездушной машиной, и начал для входа в сервис использовать форму для восстановления пароля, удобно, потому что мне нужно иметь доступ только к моей почте. Круто, ведь можно ничего не запоминать!

О безопасности:

Пароль нужен, чтобы никто кроме нас не смог воспользоваться нашей учетной записью, и хороший пароль сможет помочь разве что от перебора. Но существуют немало других способов получить доступ к вашим данным. Каким бы хорошим ни был ваш пароль, от слива базы это вас может не спасти:

Хакер объявил о продаже базы со 100 млн аккаунтов «ВКонтакте» за 1 биткоин

В Сеть «слили» 4,92 млн аккаунтов GMail с паролями

Хакер Выставил На Продажу 32 Млн Twitter-Аккаунтов

Yahoo! сообщила, что в 2013 году неизвестные хакеры похитили личные данные более 1 млрд пользователей

Как мы видим, безопасность довольно условна.

О том, как это должно быть:

Система должна сама понимать, кто находится перед ней, машины умнее и их сложнее обмануть. И на данном этапе развития технологий это становится более чем реальным. Распознавание владельца по голосу, образу, мимике, отпечаткам —
система должна знать нас.

В идеале, это должен быть мастер аккаунт, который знает вас и живет в облаке. Даже если вы забудете все свои пароли и доступы, или же потеряете память, устройство должно вас опознать и дать доступ к вашим аккаунтам.

О том, как быть сейчас:

1. Ставим разумные ограничения на длину пароля, без ограничения по символам, регистру, спец символов, и т.д.
2. Используем Open ID
3. Используем вход по номеру телефона
4. Используем вход по отпечатку пальца
5. Даем возможность залогинится в аккаунт, через ссылку отправленную на почту

)

    Alexandr Karpovich

    Written by

    Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
    Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
    Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade