Я не люблю ограничения по паролю. Пароли могут быть обязательно злыми, но они более отвратительны, когда совершенно разумный ключ отклонен. Мы все видели «ошибки», такие как:
- Ваш пароль слишком короткий.
- Ваш пароль должен содержать только буквы и цифры.
- Ваш пароль должен содержать от 8 до 10 символов, использовать буквы по крайней мере с одной заглавной буквой и иметь от одного до четырех цифр. Пожалуйста, закройте глаза, поверните на север и повторяйте Шекспира, печатая его.
Затем, после того, как вы потратили 3 часа на разработку разумного пароля, который соответствует правилам, вы вынуждены изменить его снова через 7 дней.
Я понимаю, что банки и правительственные ведомства не хотят, чтобы новички выбирали «пароль» в качестве своего секретного ключа, но настолько ли наивны пользователи? (Хорошо, не отвечайте.) На самом деле, «пароль» может быть разумным вариантом: хакеры пытаются его попробовать? Один из лучших паролей, которые я когда-либо определял, имел ноль символов — никто никогда не пытался ничего ввести! (Просто чтобы быть абсолютно ясным, это анекдот, основанный на реальных попытках получить доступ к второстепенному автономному серверу — я, конечно, не рекомендую использовать пустые пароли, и лишь в некоторых системах это будет разрешено).
Ваш клиент Twitter, фотогалерея или форма комментариев блога действительно требуют ограничения пароля? Есть несколько проблем с подходом:
- Это раздражает пользователей, особенно тех, кто понимает последствия для безопасности.
- Строгие правила предоставляют хакерам шаблон — они знают, что не стоит пытаться использовать пароли длиной менее 8 символов, более 12, без цифр и т. Д.
- Правила делают пароли гораздо сложнее запомнить — особенно если вы вынуждены регулярно их менять. Многие пользователи просто запишут его в заметку и прикрепят к своему экрану.
- Если вы указываете, что представляет собой «хороший» пароль, означает ли это, что вы несете частичную ответственность за взлом учетной записи пользователя?
По моему мнению, пользователи должны иметь возможность выбирать любой пароль, который они хотят. Вы можете показать предупреждающее сообщение при вводе легко взломанного пароля, но, если им нужна буква «p», почему бы не позволить им использовать его?
Если вы не можете доверять пользователям вводить приличный пароль, не позволяйте ему выбрать один: создайте случайную строку и отправьте ее им по электронной почте или обычной почтой.
Используете ли вы ограничения пароля в вашей системе? Был ли он более или менее успешным, чем никаких ограничений?