[Решение] Заставляем юзеров выбирать "правильные" пароли

ИМХО, неплохой выход - графическая капча (правильно расположить картинки, собрать пазл из 3-4 частей, и т.п. - всё это мышью и быстро).

Кроме того, можно просто просить ввести емейл и сразу пускать пользователя в интерфейс. А уже на мыло присылать всю информацию о регистрации, включая сгенерированные сложные пароли.

Можно сколько угодно спорить, но таки-да - капча в 2013 году это плохой признак (см отсюда и ниже)

И да, не надо только кивать на регу сёрча и др. сервисов кто может себе позволить плевать на юзеров ;).

Именно эта система реализована в онлайнах некоторых банков, называется virtual keyboard. Если речь идет именно о капче, то еще в 2009 году было соотв. исследование гугла - http://www.richgossweiler.com/projects/rotcaptcha/rotcaptcha.pdf

Еще более простые проекты:

http://identipic.com/

http://research.microsoft.com/en-us/um/redmond/projects/asirra/

Имхо, капча - довольно таки эффективное решение. Разработчикам никогда не нужно ее отметать. Тем более, что если идти в шаг разработки своей системы, то ее можно опять же выставлять пользователю не всегда, а при определенных признаках, что делает тот же вконтач.

P.S. Сорри за оффтоп.

Ещё один способ нагибания юзера и понижения безопасности - генерённые пароли в мыло.

Ок, когда это при первоначальной реге - я могу согласиться (в некоторых случаях). Но когда нет возможности сменить пасс на свой - это ОППА.

Ещё хуже, когда изменённый пасс высылается на мыло. Это просто ппц! Как будто эти деятели ничего не слышали об уводе\перехвате\чтения_посторонними почты (150ю разными способами).

Я не спорю. Я наоборот выступаю за максимальную простоту для пользователей, но это решение настолько же оправдано, насколько и решение ТС, если разговор идет об эффективности. К тому же, не нужно смотреть на вопрос в лоб. Решение необязательно должно строиться на одной технологии. Опять подниму вопрос об антифроде - там все системы "флажковые". И т.к. речь идет в основном об онлайн-шоппинге, здесь невозможно возразить, что владельцы могут плевать на потерю клиентов, а значит продаж, а значит просаживать свои бюджеты на маркетинг с наихудшим конвертом.

У Ру-Центра есть достаточно оригинальный вариант. Впрочем, да, тема не об этом.

Это плохо, само-собой.

У меня на конструкторе сайтов сделано вроде для людей:

- капчи нету (скрытый антиспам).

- после 5 неудачных попыток ввода пароля бан ip.

- логин и пароль юзер может задавать себе сам.

и сайты у юзеров в основном вроде хоумпейджи без особых пузомерок никому не нужные.

Вроде все замечательно. Но один фиг есть случаи взлома, когда у юзера логин admin и пароль типа 12345 или qwerty qwerty.

И потом сопли что сайт сломали. В моем случае конечно усложнять пароли юзеру нету надобности, максимум что взломщик сделает - испортит сайт, можно и из бекапа восстановить.

Но если бы сервис оперировал какими-то "живыми" деньгами к примеру, которые можно вывести, то была бы уже неисправимая фигня. Для таких стоит принудительно заставлять делать сложные пароли.

Ага, очень даже оригинальный :)

Сорри за офтоп.

TF-Studio, что-то у меня демо в Хроме не запускается, а в Опере говорит "Пароль нормальный", даже если ничего не писать.

Я думаю, надо учитывать не только словарь, но и какие-то принципы поведения юзеров. Например, я регулярно создаю аккаунты в Яндексе с паролем из 9 символов "три буквы, три цифры, три буквы", а Яндекс на них регулярно ругается, что пароль слабый. И совсем не потому, что кто-то вбил в словарь все девятисимвольные сочетания, а потому что буквы идут типа dfg (на клавиатуре рядом) и цифры также. Стоило набить буквы nkp (как бы вразнобой), как пароль начал Яндексу нравиться. Недавно читал где-то статью, что словарь - это полбеды, надо закономерности разрушать.

Пустой пароль - рапортует что гут, это просто пример реализации, там надо больше проверок добавлять.

Проверил в опере и хроме - у меня всё гут.