[Решение] Заставляем юзеров выбирать "правильные" пароли

Хорошо бы прямо во время ввода символов сообщать пользователю о результате.

Только на свой сервис не прикручивай.

Почему?

Домохозяйки?

просто интересуюсь

за смс нужно платить. зачем это админу сайта?

с такими заморочками - нужно еще запретить юзеру использовать дырявые браузеры, а разрешить только хром )

Потому что на нормальных сайтах этого не нужно :)

Ну ненавижу я когда меня нагибают и считают идиотом, который не может сам за себя отвечать.

Объясните, зачем "заставлять" пользователя что-то делать? Проблема взлома - проблема сервиса. Т.к. пользователи - это наши коровы, которых мы доим. И сокращая их количество, мы сокращаем свою прибыль. Поэтому для начала нужно понять цели, которые мы преследуем.

Скажем так, цель - защитить пользователя от взлома. Окей. Каким образом без использования двойной аутентификации решить этот вопрос, если речь о кейлоггере? Пока пропускаю ответ.

Более реальный кейс - брутфорс аккаунтов по словарям. Почему не пойти по другому пути? Зачем мучить пользователей с паролями, если можно мучить брутфорсеров. Самые простые решения:

1. Evercookie.

2. Geo-ip.

3. Лимиты на запросы.

4. Captcha.

Да, реализация уже становится сложнее, НО, пользователя мы избавляем от всяческих мучений (ну кроме п.4). Другой плюс, если ваше решение только в противодействии брута по словарям, здесь мы можем (особенно с решением 1.) защитить аккаунты в принципе и от других решений (кейлоггер). Если сайт на ру-трафик, может разумней вообще запретить авторизацию с других айпи (здравствуй geo ip и прощайте соксы!), сделать признаки "провайдеров". Если речь идет о том, чтобы избежать "автоматические решения", то мы должны выделить признаки этих "автоматических решений". В конце концов, даже софт большинства script-kiddies - конечен.

Это мысли тезисами, но я бы подходил к решению задачи именно с учетом опыта антифрода. А не потери трафика с регистраций как в вашем решении, т.к. может существенно снизиться количество регистраций, а т.е. конверт (датинг - супер актуально).

самый надежный пароль: 1 или !

знаю пользователя mail.ru у которой такой пароль. Ящик создавался на самой заре сервиса.

1. Капча - зло

2. Сбрутить пароль 0000 - не проблема.

Берем много прокси и не спеша брутим, отловить такое - очень сложно.

Проблема тут не в безопасности сайта, а в "заботе" о юзерах.

Если юзеры ставят пароли из топ500 - это очевидно большая проблема.

Обучить всех пользователей ставить нормальные пароли и на всех сайтах (важных сайтах) использовать разные пароли и разные почты - крайне тяжко.

Рынок аккаунтов - процветает, рынок брута серверов аналогично.

Данное решение - ни разу не претендует на роль универсальной защиты.

Безопасность в IT - крайне тяжелая вещь и громоздкая.

Я лишь помогаю автоматизировать и улучшить некоторые вещи.

На некоторых сайтах это решение будет использовано, потому что именно оно и нужно, для других будут использованы другие методы.

Диалог в данной теме - весьма полезный, ибо обсуждая разные варианты и делясь своим опытом мы можем помочь кому-то получить немного мозгов, а кому-то создать инструмент полезный.

Так что развернутые комментарии с обоснованием весьма приветствуются.

ИМХО.

Заставляя юзера (нынче итак ленивого до всяких регистрация) ещё и придумывать сложнейшие пароли (а не свой любимый, один на всё сайты ;) ) сервис с такой фичей рискует:

а) потерять юзера ДО регистрации (не только ленивых продвинутых, но и да, всех домохозяек распугает - 100% )

б) потерять юзера после реги (ну не вспомнит он этот пасс, а напоминалку может не заюзать. Опять же из-за лени или тупости)

в) раздуть базу юзеров - большинству будет проще заново зарегаться, чем вспоминать пасс.

Да, я ленив до регистраций. А если капча или др геммер - я там не юзер в 99% :)
А ещё я вначале ввожу простой пасс, а после активации акка - меняю вручную на нормальный. Такой я параноик :)

Выход: просто около формы ввода пасса учить юзеров вводить сложные, но легкозапоминаемые пароли ;)

Готов поспорить. Пользователь к ней уже приучен большими проектами. Тем более есть огромное количество реализаций, посмотрите ссылку в моем предыдущем посте, там довольно таки объемно рассмотрена ситуация, не вижу смысла здесь повторяться.

Вы не читаете, о чем я пишу. Речь идет о комплексном решении против:

1. Прокси.

2. Аномального поведения, свойственного автоматическому софту, но не человеку. Т.е. формировании признаков и соотв. флажковой системе, кого пускаем, а кого нет.

Мне кажется задачу вообще можно еще больше упростить. Вряд ли мы ведем здесь речь о взломе конкретного акка. Если мы как раз ведем речь о:

То речь идет о массовом брутфорсе по словарям, причем очень часто конкретным софтом.

Поэтому возвращаемся к тому, с чего я начал - не нужно изобретать велосипед, а просто воспользуемся наработками антифрод-индустрии.

P.S. Ни в коем случае не умоляю вашей инициативы, возможно на каких-то проектах это и будет оптимальным решением. Просто я не вижу в данный момент на каких.