Пароль — уходи
Мы стараемся сделать свои продукты удобнее для пользователей, проводим тестирования, проверяем гипотезы, ведем работу над улучшением опыта пользователей основного функционала. Но многие забывают, что опыт начинается с порога. И чаще всего этот порог слишком высокий и неудобный.
Более менее активный пользователь в среднем имеет около 10–15 учетных записей, каждый сервис советует нам иметь уникальный пароль, а правила для составления пароля у сервисов разный, где-то требуется учитывать регистр, где-то обязательно добавлять числа, и спецсимволы, также ограничение на количество символов. Некоторые сервисы, заставляют пользователя менять пароль через определенный промежуток времени.
Гугл дает нам совет, как лучше составлять пароли:
“Выбирайте в качестве пароля такую комбинацию букв, цифр и символов, которая никак не соотносится лично с вами. Или возьмите случайное слово или фразу и добавьте в конец, начало или середину буквы или цифры, чтобы получить пароль, который будет не так просто угадать (например, sPo0kyh@ll0w3En). “
Теперь попробуйте это запомнить и не забыть, а ещё лучше попробуйте сделать такой пароль кому-нибудь, кому вы помогаете зарегистрировать аккаунт и тому кто плохо во всем этом разбирается, например вашим родителям. И спросите спустя пару месяцев, помнят ли они его и помнят ли, где та бумажка, на которую они его записали.
Вместо решения проблемы и снижения градуса батхерта, гугл делает как-то так:
88% людей забывали хотя бы один пароль, и им приходилось его сбрасывать.
Показательным примером является Adobe ID:
Мою историю с этой учетной записью, отлично иллюстрирует твит:
“Отлично! Тогда придумай новый пароль,” —
скажете вы, и будете неправы.
Пароль вида:
)#(()*$&#@*)1$((@(@HUI#@#_#(@()@(#I$_(()_@#(_)(_()
не подойдет, при огромной энтропии и большому числу знаков, подобрать такой пароль брутфорсом не представляется возможным в ближайший век, но для адоба этого недостаточно потому, что в нашем пароле нет символа нижнего регистра.
Когда система дала понять, что все вариации пароля, которые я в теории мог запомнить, ей не понравились, я перестал биться с бездушной машиной, и начал для входа в сервис использовать форму для восстановления пароля, удобно, потому что мне нужно иметь доступ только к моей почте. Круто, ведь можно ничего не запоминать!
О безопасности:
Пароль нужен, чтобы никто кроме нас не смог воспользоваться нашей учетной записью, и хороший пароль сможет помочь разве что от перебора. Но существуют немало других способов получить доступ к вашим данным. Каким бы хорошим ни был ваш пароль, от слива базы это вас может не спасти:
Хакер объявил о продаже базы со 100 млн аккаунтов «ВКонтакте» за 1 биткоин
В Сеть «слили» 4,92 млн аккаунтов GMail с паролями
Хакер Выставил На Продажу 32 Млн Twitter-Аккаунтов
Yahoo! сообщила, что в 2013 году неизвестные хакеры похитили личные данные более 1 млрд пользователей
Как мы видим, безопасность довольно условна.
О том, как это должно быть:
Система должна сама понимать, кто находится перед ней, машины умнее и их сложнее обмануть. И на данном этапе развития технологий это становится более чем реальным. Распознавание владельца по голосу, образу, мимике, отпечаткам —
система должна знать нас.
В идеале, это должен быть мастер аккаунт, который знает вас и живет в облаке. Даже если вы забудете все свои пароли и доступы, или же потеряете память, устройство должно вас опознать и дать доступ к вашим аккаунтам.
О том, как быть сейчас:
1. Ставим разумные ограничения на длину пароля, без ограничения по символам, регистру, спец символов, и т.д.
2. Используем Open ID
3. Используем вход по номеру телефона
4. Используем вход по отпечатку пальца
5. Даем возможность залогинится в аккаунт, через ссылку отправленную на почту
