Comments 157
С ограничением длины снизу всё понятно, но кому нужно ограничение сверху?
Как я вас понимаю. На днях пытался сменить пароль на аську. У них ещё больший маразм: максимальная длина — 8 символов. Мне дико интересно из каких соображений делают такие вещи?
Как зачем? Чтобы угонять номера покрасивше было не так сложно.
где-где, а вот асечные пароли должны быть минимум 12 символов + строгое требование спец символов + чем короче аська, тем длиннее пароль=)
для меня тоже эта загадка непостижима.
для меня тоже эта загадка непостижима.
Если не изменяет память, то через рамблер можно поставить пароль длинее
традиция — ограничение протокола — он же создавался в… э-э-э прошлом веке где-то
Ещё у них дурацкое ограничение на минимальную длину ответа на секретный вопрос. Тоже на днях столкнулся. Есть куча имён животных из трёх букв.
насколько я помню раньше вводилось 8 символов, а реально использовалось 7! Т.е. 8ой символ был для красоты. Но если вспомнить в какие годы зародилась ICQ, то удивляться не приходится;)
Действительно странно. как-то не задумывался.
Ведь если хранить хеш в базе, то все равно какой длины пароль, md5 по-любому 32 символа будет
Ведь если хранить хеш в базе, то все равно какой длины пароль, md5 по-любому 32 символа будет
Не знаю чем, но чем-то задним чувствую, что те, кто ограничивают пароль сверху, не считают нужным делать хеш пароля. Других внятных объяснений такого ограничения не вижу.
Тоже сталкивался и ругался. И парадокс еще заметил у этих редисок ума хватает обрезать пароль до 12 символов при его создании, а вот на форме логина, уже после регистрации обрезать его по первые 12 символов им сложно видитили.
UFO just landed and posted this here
Такой же маразм — ограничения на допустимые символы в пароле. Бывает и такое, что разрешают только a-Z0-9 :)
не все программисты хорошие юзабилити-спецы. я бы даже сказал, что таких единицы.
Тут сэкономили на юзабилити-тестировании, там сэкономили- вот и накапливается по мелочам недовольство пользователей.
Тут сэкономили на юзабилити-тестировании, там сэкономили- вот и накапливается по мелочам недовольство пользователей.
Лично меня больше раздражает когда регистрируешься на один раз специально вводя мыло-для-всего и пароль-для-всего, но мне не разрешают использовать пяти символьный пароль.
Выдайте мне хоть 10 предупреждений об опасном пароле, но дайте сделать по-своему!
Выдайте мне хоть 10 предупреждений об опасном пароле, но дайте сделать по-своему!
Мы тоже когда-то считали, что проблема паролей, которые легко подобрать,— проблема пользователей. Пока количество пользователей не превысило несколько миллионов и злоумышленники-спамеры элементарной проверкой по спам-базе и паролю 123456 не заполучили доступ к пусть сильно меньше чем 1% аккаунтов, не все-таки к внушительному количеству в абсолютных числах.
Правда регистрироваться мы позволяем с 5 и больше любых символов, но вот при аутентификации с таким паролем заставляем его поменять с подтверждением по email. Таким образом и регистрация не теряется из-за простого пароля, и пользователь если решит зайти во второй раз именно по паролю вынужден будет его сменить.
Правда регистрироваться мы позволяем с 5 и больше любых символов, но вот при аутентификации с таким паролем заставляем его поменять с подтверждением по email. Таким образом и регистрация не теряется из-за простого пароля, и пользователь если решит зайти во второй раз именно по паролю вынужден будет его сменить.
На каком-то числе символов всё равно придётся обрезать, иначе будут использовать текст «войны и мира» в качестве пароля.
Хехе. Как-то мой KeePass сгенерил пароль со следующей конструкцией внутри хххххххххх\nххххxxxxx.
Хорошо, что секретное слово вбил и запомнил, так как потом он не принимался.
Хорошо, что секретное слово вбил и запомнил, так как потом он не принимался.
Полностью поддерживаю, не понятно зачем так ограничивать пользователя. Наверное создатели — заказчики сайтов думают, что они заботятся о пользователе.
Например недавно столкнулся с требованием при создании интернет магазина, ограничить максимальное кол-во сравниваемых товаров 5 позициями… Зачем мне так и не смогли внятно объяснить — просто в голову пришло видимо.
Например недавно столкнулся с требованием при создании интернет магазина, ограничить максимальное кол-во сравниваемых товаров 5 позициями… Зачем мне так и не смогли внятно объяснить — просто в голову пришло видимо.
Вспомнилось ещё. Меня бесит, что в банк-клиенте моего банка нельзя получить выписку со счёта больше, чем за 90 дней. 90 можно, 91 нельзя. С 1 октября по 31 декабря хотите? А фиг вам! При этом можно как-то понять, если старые записи у них не хранятся, но период можно выбрать и пару лет назад, главное не длиннее 90 дней. Неужели жалко выдавать хоть за всё время существования банка? Ну и что, что 500 записей. Юзер сам захотел.
Интрнет банке моего банка, то же только период 90 дней, но выбрать больше нельзя. А вот иногда хочется больше 90 дней.
Походу, они все сговорились: у моего банка тоже 90.
Не знаю может это какое то техническое ограничение систем банковских? Есть народ который сталкивался с банками изнутри?
Я думаю, что тяжёлое наследие докомпьютерных времён, когда выписки получали на бумаге и за деньги. Но тут же бесплатно, я подряд могу сделать несколько выписок за смежные периоды. Инертность мышления?
Прям сейчас ообщался с одним банковским человечком. Он мне сказал:
1) У них максимальный диапазон — 180 дней
1) У них максимальный диапазон — 180 дней
Упс, отправилось неожиданно.
2) Это сделано в качестве защиты от больших нагрузок на сервер.
2) Это сделано в качестве защиты от больших нагрузок на сервер.
Угу, так обычно и говорят. При этом вряд ли кто-то измерял эти «большие нагрузки». Если банку 10 лет, то максимальный период всего в 20 раз больше этих 180 дней. Если их серверу тяжело на один запрос пользователя вытащить тысячу записей из базы и отдать по HTTP, может, сервер слабоват? :-) Нет, очевидно лучше заставить пользователя эти 20 раз кликать в интерфейсе, перебирая диапазоны и суммарно нагрузив сервер ещё сильнее.
Ясно, спасибо. Видимо не технические ограничения, видимо инертность мышления.
Там как-то странно. Маркетинг. Приходите в отделение и вам за сотню-другую дадут выписку за год.
Я в банке обитаю. Это ограничение введено из-за больших нагрузок на сервер, когда ему памяти не хватает, чтобы перелопатить 200гиговую базу данных за несколько лет назад, и он начинает свопить и тормозит все транзакции. А на 90 дней назад серверу памяти хватает, и такие запросы проходят потоком, тем более, что обычно все запрашивают именно за последний период, и все данные уже закэшированы. Редкие пользователи, запрашивающие 90 дней годовой давности, общей картины не портят.
Пока этого ограничения не было, народ запрашивал по-максимуму, и выписку приходилось ждать иногда минут по 10.
Пока этого ограничения не было, народ запрашивал по-максимуму, и выписку приходилось ждать иногда минут по 10.
Мне кажется, в таком случае юзабельнее выдавать, скажем, 20 последних транзакций и показывать странички. Редкий пользователь ткнёт на вторую страничку, а первая для каждого пользователя может быть в кэше. Зато пользователю не нужно напарываться на неприятное сообщение об ошибке.
Это было бы отличным объяснением, если бы не то, что в моем банке такого ограничения, например нет. Работает по принципу предыдущего комментария, банк выдает последние 20 записей, а, там, если хочешь хоть за 3 года (наверное и больше, но я с ними столько работаю). И вы знаете, быстро отдает, пара секунд.
Отсюда делаю вывод — проблема в реализации.
Отсюда делаю вывод — проблема в реализации.
Видать фиговая банковская система, в нашей просто в разных таблицах документы текущего дня со своими транзакциями и отдельно архивная таблица, и запросы к ней на текущую работу не влияют. П.с. ограничения в 90 дней у нас нет :)
Может быт у вас просто один банк? Банк, которым пользуется фирма, в которой я долго работал не имел этого ограницения
Я бы, мягко говоря, не понял, если бы в банке не хранились записи старше 90 дней.
Ну они могут храниться, но, скажем, в каком-нибудь труднодоступном архиве, примерно как windessy выше написал.
Хех! Я тут на сайте Philips бритву подбирал. Так у них вообще три позиции допускается к сравнению. Видимо, считают, что больше никто сравнивать не будет.
по поводу сравнения товаров — скорее всего при тестировании увидели как разваливается верстка при бОльшем кол-ве товаров и «исправили» недочет
Так это заказчики такие ограничения сочиняют, я думал программисты.
Например, на Яндексе не дают использовать в пароле символы «точка» и «запятая», а также не дают больше 20 символов, хотя года 3 назад можно было. Вот хоть бы смысл был какой.
Как раз несколько дней назад оставил фидбэк администрации одного соц. сайта, где длина пароля по неясным причинам не может превышать 12 символов.
Интересно было бы услышать аргументацию человека, установившего такое ограничение: чем именно он руководствовался?
Интересно было бы услышать аргументацию человека, установившего такое ограничение: чем именно он руководствовался?
В сервисах Яндекса стоит ограничение пароля в 20 символов.
Как-то я спросил у Бобука, что за странность, — он ответил, что в подавляющем большинстве случаев этого достаточно.
Но, как по мне, если я захотел ввести 40-символьный пароль, я должен иметь возможность это сделать :)
Как-то я спросил у Бобука, что за странность, — он ответил, что в подавляющем большинстве случаев этого достаточно.
Но, как по мне, если я захотел ввести 40-символьный пароль, я должен иметь возможность это сделать :)
У подавляющего большинства людей нет компьютеров, надо перевести Яндекс в офлайн полностью в таком случае.
Сдается мне что это ограничение делают те разработчики, которым наплевать на свою работу. Как получилось спроектировать базу на коленке, такое ограничение и будет. И переделывать им потом уже ой как не охота.
Сдается мне что это ограничение делают те разработчики, которым наплевать на свою работу. Как получилось спроектировать базу на коленке, такое ограничение и будет. И переделывать им потом уже ой как не охота.
Ещё очень раздражают обязательные «подсказки» и вопросы для восстановления пароля. Ну какая может быть подсказка для пароля «nkXC8e4oYljG4zvG»?
Наверное это все же не от отсутствия юзабилити, а от его перебора. Погоня за пользователем начинается в сокращении количества полей, кликов для регистрации, а кончается наверное мыслью «пусть пользователь по-быстрому введет пароль небольшой, а то не вспомнит потом. Да и долго как это, длинный пароль вбивать!»
Ага, а есть еще требование A-z 0-9 и не шаг в сторону.
Помнится, в старом солярисе максимальная длина пароля была 8 символов. Вот уж где засада…
Ещё часто ограничивают совсем безобидные символы в логине. Ну дайте мне вписать точки (если нет логина в субдомене как на хабре). А без точек так логин из 2 букв им не нравится. Сам когда делаю регистрацию по минимуму ограничиваю пользователей.
Некоторые системы хранят пароли в открытом виде, там это ограничение обусловлено длиной поля в таблице БД.
Даже если так, сделайте поле хоть 255 символов длиной. А можно и TEXT. Форумы хранят миллионы длинных сообщений и бодренько их показывают. Одно дополнительное длинное поле в таблице пользователей неимоверно загнёт БД?
Тут, возможно, какое-то чувство жадности играет. Программист думает «Какой бы длины сделать поле? Сделаю-ка я 32 символа… Нет, 32 — много, сделаю 16». А кому много и почему — непонятно.
Тут, возможно, какое-то чувство жадности играет. Программист думает «Какой бы длины сделать поле? Сделаю-ка я 32 символа… Нет, 32 — много, сделаю 16». А кому много и почему — непонятно.
имел подобные проблемы с MSN. Там ограничение 16 символов. Что забано — пиджин позволяет сохранить пароль любой длины, но при этом правильно общается с МСНом, а вот зайти на их вебсайт с более длинным паролем не выходит — история точь в точь как у вас.
А еще бесят т.н. «недопустимые символы» в пароле — знаки препинания, кавычки, апострофы, прочие кракозябры…
У меня та же самая история была с паролем Windows Live ID. На компьютере спокойно поменял пароль на 20-символьный, который по-тихому обрезался до 16 символов, а потом, когда пытался залогиниться с телефона — я обматерился.
> С ограничением длины снизу всё понятно
кому понятно?
мне вот никуя не понятно.
это мой пароль, мой акк, как хочу так и защищаю.
захочу — вообще без пароля сделаю…
почему мне не дают поставить мой любимый пароль из 3-х букв?
кому понятно?
мне вот никуя не понятно.
это мой пароль, мой акк, как хочу так и защищаю.
захочу — вообще без пароля сделаю…
почему мне не дают поставить мой любимый пароль из 3-х букв?
А потом админ/программер/саппорт виноват, что от вашего имени всякую чушь писали и всю карму вам слили.
повторяю, это мой акк, и мой осознанный выбор.
не надо за меня решать
не надо за меня решать
Нет, не правильно. В первую очередь это чей-то сервис, и им потом не хочется разгребать все эти проблемы 3-х буквенных паролей. Это вы такой умный делаете осознанный выбор, а большинство обычных пользователей делает выбор неосознанный.
сервис без пользователей — пустое место.
достаточно написать в форме регистрации — если у вас простой и короткий пароль — акк могут украсть. претензии при этом не принимаются.
и вообще, покажите мне сервис, который будет разбирать проблемы 20-буквенных паролей?
пошлют нах, и скажут сам дурак.
так что не аргумент.
достаточно написать в форме регистрации — если у вас простой и короткий пароль — акк могут украсть. претензии при этом не принимаются.
и вообще, покажите мне сервис, который будет разбирать проблемы 20-буквенных паролей?
пошлют нах, и скажут сам дурак.
так что не аргумент.
Наткнулся на такую же проблему когда менял пароль для почты яндекса, когда он втихую обрезал кусок пароля, сгенерированного по обычному 128-бит профилю…
Это еще на самое страшное… с регистрации РБК-Деньги:
Мало того, что он не дает использовать ничего кроме цифр и латинского алфавита ни в пароле доступа к кошельку, ни в платежном пароле, при этом издеваясь над пользователем гордой надписью «Безопасность пароля: Надежный». Так они еще и поставили под индикатором безопасности пароля какую-то хренотень, похожую на поле ввода…
пипец, товарищи.
Пароль необходим для входа в кошелек и может содержать буквы
латинского алфавита и цифры. Длина пароля, должна быть не
менее 6 и не более 20 символов.
Мало того, что он не дает использовать ничего кроме цифр и латинского алфавита ни в пароле доступа к кошельку, ни в платежном пароле, при этом издеваясь над пользователем гордой надписью «Безопасность пароля: Надежный». Так они еще и поставили под индикатором безопасности пароля какую-то хренотень, похожую на поле ввода…
пипец, товарищи.
UFO just landed and posted this here
2 раза пароль необходимо вводить например при изменении пароля т.к. иногда можно промахнутся по клавишам =)
Ну так можно сделать галку «Показать ввод пароля в открытом виде. За моим экраном никто не наблюдает.» Тогда в одной строке можно ввести сразу безошибочно и проверить глазами. Зачем мне скрывать ввод звёздочками, если я сижу за компом один в квартире?
Кроме отображения пароля есть ещё и его восстановление, если вдруг установишь что-нибудь не то. Но нужно это не так часто, а два раза пароль всем вводить приходится.
Меня ещё бесит ограничение на минимальную длину ника (обычно 3 символа). Вроде во всех популярных форумах такой бред. Вот не понимаю, чем какой-нибудь двухбуквенный ник хуже 3-х буквенного?
Реально бесит, когда пароль (не) должен начинаться с цифры.
Из личного опыта.
americanexpress.com — разрешает ставить пароль 6-8 (строго, ни больше ни меньше), должно содержать как минимум одну букву и одну цифру, спецсимволы не разрешены. При этом разрешает вводить больше 8 символов (как при регистрации так и при логине), а после нажатия submit при регистрации — выдает ошибку.
att.com — минимум 6 символов, только буквы и цифры, не должно содержать части от вашего дня рождения, имени, номера телефона, мейла, более двух одинаковых символов подряд (аа — прокатит, ааа — не прокатит), также недолжно содержать больше трех подряд идущих символов (123, abc — прокатит, 1234, abcd — не прокатит)
discover.com — допустимый логин от 6-16 символов, пароль от 5 до 10 символов. Больше полагающихся символов система при регистрации или логине не дает ввести. Без спецсимволов.
bankofamerica.com — их система мне нравится больше всего. Пароль от 8 до 20 символов, должно содержать как минимум одну букву в верхнем регистре, одну в нижнем и одну цифру. Может содержать в себе: @#%*()+={}/\?~;":'.-_| Не может содержать в себе: пробел, <>&^![]. К тому же между вводом логина и пароля есть специальная система анти фишинга.
americanexpress.com — разрешает ставить пароль 6-8 (строго, ни больше ни меньше), должно содержать как минимум одну букву и одну цифру, спецсимволы не разрешены. При этом разрешает вводить больше 8 символов (как при регистрации так и при логине), а после нажатия submit при регистрации — выдает ошибку.
att.com — минимум 6 символов, только буквы и цифры, не должно содержать части от вашего дня рождения, имени, номера телефона, мейла, более двух одинаковых символов подряд (аа — прокатит, ааа — не прокатит), также недолжно содержать больше трех подряд идущих символов (123, abc — прокатит, 1234, abcd — не прокатит)
discover.com — допустимый логин от 6-16 символов, пароль от 5 до 10 символов. Больше полагающихся символов система при регистрации или логине не дает ввести. Без спецсимволов.
bankofamerica.com — их система мне нравится больше всего. Пароль от 8 до 20 символов, должно содержать как минимум одну букву в верхнем регистре, одну в нижнем и одну цифру. Может содержать в себе: @#%*()+={}/\?~;":'.-_| Не может содержать в себе: пробел, <>&^![]. К тому же между вводом логина и пароля есть специальная система анти фишинга.
> должно содержать как минимум одну букву в верхнем регистре, одну в нижнем и одну цифру.
Подобные ограничения с одной стороны расширяют набор используемых символов, но с другой стороны ограничивают набор вариантов.
Скажем при таком раскладе доподлинно известно, что перебирать пароли состоящие только из букв нижнего (или верхнего) регистра не нужно.
Подобные ограничения с одной стороны расширяют набор используемых символов, но с другой стороны ограничивают набор вариантов.
Скажем при таком раскладе доподлинно известно, что перебирать пароли состоящие только из букв нижнего (или верхнего) регистра не нужно.
UFO just landed and posted this here
«Извините, Вы не можете использовать указанный пароль. Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль.» © bash.org.ru :)
Сначала была мысль, типа: «Подобные девелоперы в душе — злобные садисты и любители, чтобы «палочки были попендикулярны!»».
А потом подумал про другую сторону медали.
Твиттер.
Ограничен 140, типа из-за SMS`ки, а в итоге получается, что он заставляет человека напрячь мозг и выделить суть.
Хокку.
Типа как тов. Медведев сказал: «Разберитесь. Накажите виновных. Доложите в трехдневный срок.» Ровно 60 символов.
Такжэ есть ещё третий вариант — блондинке. Эти товарищи должны получать чоткие инструкции. Если пароль, то от сих до сих, а иначе рекурсивный взрыв мозга.
А ещё вариант, почему так делают:
— поле имеет ширину ИКС пискелей
— юзер (т.е. блондинко) вбивает свой паролик
— доходя до края поля блондинко видит, что нажатия её клавишей ничего не меняют в пароле (кружочки то не двигаются!!)
— epic FAIL.
Кароче истина оказалась глубже :)
А потом подумал про другую сторону медали.
Твиттер.
Ограничен 140, типа из-за SMS`ки, а в итоге получается, что он заставляет человека напрячь мозг и выделить суть.
Хокку.
Типа как тов. Медведев сказал: «Разберитесь. Накажите виновных. Доложите в трехдневный срок.» Ровно 60 символов.
Такжэ есть ещё третий вариант — блондинке. Эти товарищи должны получать чоткие инструкции. Если пароль, то от сих до сих, а иначе рекурсивный взрыв мозга.
А ещё вариант, почему так делают:
— поле имеет ширину ИКС пискелей
— юзер (т.е. блондинко) вбивает свой паролик
— доходя до края поля блондинко видит, что нажатия её клавишей ничего не меняют в пароле (кружочки то не двигаются!!)
— epic FAIL.
Кароче истина оказалась глубже :)
> доходя до края поля блондинко видит, что нажатия её клавишей ничего не меняют в пароле (кружочки то не двигаются!!)
Кстати, на эту тему простая идея: делать кружочки разного цвета или размера в зависимости от позиции:
Как минимум два преимущества — видно прокрутку и проще прикинуть число символов (со временем запомнишь, что твой пароль заканчивается на маленький кружочек и, если в очередной раз закончится на большой, значит опечатка). На CSS/JS должно быть несложно реализовать.
Кстати, на эту тему простая идея: делать кружочки разного цвета или размера в зависимости от позиции:
Как минимум два преимущества — видно прокрутку и проще прикинуть число символов (со временем запомнишь, что твой пароль заканчивается на маленький кружочек и, если в очередной раз закончится на большой, значит опечатка). На CSS/JS должно быть несложно реализовать.
А почему не просто счетчик? :)
а коды кружочков не подскажете? мне идейка понравилась.
А еще на хабре проскакивала идея цветовой индикации ввода пароля
Кстати, вот здесь она используется как минимум с сентября: bill.sknt.ru/
Люблю, когда можно использовать вообще любые символы: спец. знаки, кириллицу, пробельные символы.
Хороший пример ICQ — в ней я использовал и \t, и \r\n, и пробел. Верхнее ограничение в 8 символов ни чуть не мешает — лишние символы, кажется, обрезаются.
Хороший пример ICQ — в ней я использовал и \t, и \r\n, и пробел. Верхнее ограничение в 8 символов ни чуть не мешает — лишние символы, кажется, обрезаются.
А зачем закрывать пароли звёздочками, при регистрации?
UFO just landed and posted this here
Ну вот если брать на примерах, исходя из того что есть. (Я уж молчу про возможность OpenID) Сколько вам в жизни раз приходилось регистрироваться в том месте где ваш пароль могут подсмотреть? Я лично не припомню ни одного.
UFO just landed and posted this here
> Сколько вам в жизни раз приходилось регистрироваться в том месте где ваш пароль могут подсмотреть?
Большую часть своей e-жизни я провел именно в таких условиях.
Большую часть своей e-жизни я провел именно в таких условиях.
Проблема еще в том, что все уже привыкли к этому, и даже если написать огромными буквами что пароль будет видно при наборе, обязательно найдется тот, кто пострадает от этого. К тому же большинство не умеют печатать вслепую, и будут набирать пароль глядя на клавиатуру, не зная даже что окружающие его прекрасно считывают.
Как вариант, можно сделать галочку, переключающую два закрытых поля на одно открытое.
Как вариант, можно сделать галочку, переключающую два закрытых поля на одно открытое.
Меня в майкросовт лайв бесит то, что пробел нельзя, мои сильные пароли включают и пробелы и спецсимволы и буквы и цифры, а там не дают такое делать.
я считаю, что ограничение сверху это нормально. 18-20 — нормально для пароля и должно хватать…
>> Пусть гику хоть 200 дадут))
Это неверно… такой лимит в 18-20 символов — защита от гиков-параноиков, которые насоздают себе пароль в 30-40 символов, потом забывают его, а потом жалуются суппорту «верните пароль, забыл я, дурак такой»
>> Пусть гику хоть 200 дадут))
Это неверно… такой лимит в 18-20 символов — защита от гиков-параноиков, которые насоздают себе пароль в 30-40 символов, потом забывают его, а потом жалуются суппорту «верните пароль, забыл я, дурак такой»
Это надуманно. Гиков, желающих пароль длиннее 18 символов, вряд ли будет больше 0.1% от общего числа пользователей. И, вероятно, они смогут воспользоваться системой восстановления пароля по e-mail. Не думаю, что длинные пароли забывают сильно чаще, чем короткие: если уж решил выделиться, то, наверно, внимательнее отнесёшься к запоминанию.
UFO just landed and posted this here
Эх, я бы использовал «Войну и мир» в виде пароля…
Пароли ограничивать не нужно вообще. Никак. При задании пароля можно выдать предупреждение о том, что пароль несложный, и даже попросить поставить галочку напротив «да, я знаю, что мой пароль легко подобрать, но мне плевать на сохранность моих данных». Но никак не ограничивать!
Более того, пароли не нужны в большинстве случаев, так как почти всегда можно обойтись OpenID, Windows Live ID, OAuth или Facebook Connect.
Более того, пароли не нужны в большинстве случаев, так как почти всегда можно обойтись OpenID, Windows Live ID, OAuth или Facebook Connect.
Еще один дизайнер высказывал неплохую идею — делать галку «показать пароль».
Читая комментарии чуть выше тоже придумал такое, сделаю у себя обязательно. При регистрации вместо двух скрытых полей можно будет включить одно видимое, а при авторизации просто увидеть что набираешь, чтобы не было нервного срыва у того пользователя, который не может набрать свой пароль за несколько попыток. По-умолчанию, естественно, поля должны быть закрытыми.
ограничение длины пароля может быть связано как я думаю с двумя причинами
1.а) Если пароли в БД не шифруются то размер уменьшается а значит и время поиска этого пароля тоже (рама, она до недавних пор была недостаточно резиновой)
1.б) Если пароли в БД шифруются — как ни крути а длина хеша фиксирована, но возможны колизии. Как вариант крутой 9999 значный пароль хэш отпечатком может совпадать с 3х значным.
1.а) Если пароли в БД не шифруются то размер уменьшается а значит и время поиска этого пароля тоже (рама, она до недавних пор была недостаточно резиновой)
1.б) Если пароли в БД шифруются — как ни крути а длина хеша фиксирована, но возможны колизии. Как вариант крутой 9999 значный пароль хэш отпечатком может совпадать с 3х значным.
1.б) — это очень сильно должно повезти, при этом этот трёхзначный должен состоять из печатных символов (другие брутфорсеры крайне редко проверяют) и крутой 9999-й тоже (иначе его вводить проблематично). Несерьёзно, в общем.
Как доказательство реальности существования проблемы могу привести дкументацию заинтересованного приложения, где приводятся цыфры
www.dataparksearch.org./dpsearch-howstore.ru.html#SQL-STOR-CRC
Внимательно читать пункт «5.1.5. Способ хранения crc» тк это не исследование, а кусочек документации
Мне известен ещё один источник говоривший о наличии проблем при использовании md5 в качестве ключей для webнутых прокси, в качестве фронтенда.
www.dataparksearch.org./dpsearch-howstore.ru.html#SQL-STOR-CRC
Внимательно читать пункт «5.1.5. Способ хранения crc» тк это не исследование, а кусочек документации
Мне известен ещё один источник говоривший о наличии проблем при использовании md5 в качестве ключей для webнутых прокси, в качестве фронтенда.
Что-то я не понял про время поиска пароля. Зачем их искать?
На mint.com зарегистировался пол года назад с 18 символьным паролем и не знал проблем пока не скачал их апп для ифона и долго не мог понять почему не могу войти в него со своим паролем пока один раз не понял что сам сайт постоянно обрезал мой пароль до 16 символов а апп нет.
Тут уже много наговорили, но вот я думаю, что пользователь должен иметь право вводить пароль какой он хочет. Это его пароль. Наша задача — дать предупреждение, если мы считаем его недостаточно криптостойким для того, что он защищает. А если человек даун и физически не может запомнить больше четырёх символов??? А ограничивать пароль «сверху», это такой же бред.
Хотя я в блоге обрубал до шести ))
Вот и получается что на словах все умные, а как до дела доходит, так себе же противоречат.
Насчет коротких паролей можно и не предупреждать, если аккаунт будет взломан и пойдет спам, то его просто забанят. А чтобы не перебирали пароли (и не находили легкие, соответственно), надо после n-й неудачной попытки спрашивать каптчу.
Насчет коротких паролей можно и не предупреждать, если аккаунт будет взломан и пойдет спам, то его просто забанят. А чтобы не перебирали пароли (и не находили легкие, соответственно), надо после n-й неудачной попытки спрашивать каптчу.
«в пароле нельзя использовать кириллицу. Длина пароля должна быть не менее четырёх символов.»
с маил.ру :)
с маил.ру :)
У Альфа Банка в «Альфа-Клик» та же беда. Самое интересное они даже не позволяют использовать спец знаки в пароле!
Мой «любимый» сайт в плане паролей livejournal.
UFO just landed and posted this here
Какие-то ограничения должны быть.
Многие хранят MD5 хэши паролей, и, имея md5 хэш, можно сформировать длинный текст с тем же MD5 (года два назад ещё стало можно).
Ну и стоит не забывать, что имея неограниченную длину пароля и посылая его в упакованном GZIP запросе (хотя я не знаю, можно ли это в реальности?), можно заставить сайт только и заниматься тем, что считать MD5 у гигабайтных паролей — такой DOS получается.
Многие хранят MD5 хэши паролей, и, имея md5 хэш, можно сформировать длинный текст с тем же MD5 (года два назад ещё стало можно).
Ну и стоит не забывать, что имея неограниченную длину пароля и посылая его в упакованном GZIP запросе (хотя я не знаю, можно ли это в реальности?), можно заставить сайт только и заниматься тем, что считать MD5 у гигабайтных паролей — такой DOS получается.
С картинками только у меня проблема? Или это фишка.
Sign up to leave a comment.
Ограничение максимальной длины пароля