środa, 10 sierpnia 2016

Przestańcie zmuszać mnie do wymyślania tych waszych losowych haseł!

ryanwinchester.ca



Zapoznałem się ostatnio z pewnym blogowym wpisem traktującym o zmuszaniu użytkowników do używania bardziej skomplikowanych haseł. Jestem ogromnym zwolennikiem bezpieczeństwa, ale nie myślę, że te techniki są najlepszą drogą, oraz, że są bardziej niedogodnością aniżeli pomocne.

PROBLEM

Chcecie wprowadzić bezpieczniejsze hasła- rozumiem to. Mimo wszystko jednak,

Przestańcie wymuszać na mnie te g***ne zasady ich wymyślania :(

Nie weźcie tego postu nazbyt surowo, staram się po prostu trafić w sedno. Nie adresuję tego tekstu do nikogo konkretnego, po prostu czuję się zainspirowany do napisania moich przemyśleń na ten temat. Mówię to do każdego podlegającego tym zasadom na takich stronach czy serwisach. Słabo mi się robi od tego typu zasad:


'password'
=> [
    'required',
    'confirmed',
    'min:8',
    'regex:/^(?=\S*[a-z])(?=\S*[A-Z])(?=\S*[\d])\S*$/',
];

Hasło musi zawierać co najmniej jedną dużą literę, jedną małą, oraz jedną cyfrę.


Z takimi regułami, hasło Abcd1234 uznane byłoby za poprawne, ale już mu-icac-of-jaz-doad nie.

Domyślam się, że chcecie, aby ludzie używali haseł składających się z losowych znaków, jak i%Mk3c4n ale wasze zasady wcale tego nie powodują, a nawet jeśli, to są to hasła niewygodne i nie zapewniają bezpieczeństwa, o ile nie są wystarczająco długie- co czyni je jeszcze bardziej kłopotliwymi. Ból sprawia ich wpisywanie, szczególnie na telefonie lub komputerze na którym nie masz menedżera haseł.

Po drugie, ludzie którzy używaliby słabych haseł ciągle będą takich używać, jak Lowelas1964, więc nie pomagacie tu nikomu.

Przestańcie zmuszać mnie do wymyślania tych losowych haseł i zachęcać do tego innych  -- moje hasło i tak jest lepsze.

Przykłady

Hasła przez was dozwolone:



Dwa hasła, które nie są dozwolone:

 





ROZWIĄZANIE

Nie jestem pewien, ale jeśli rzeczywiście chcecie wcielić w życie coś bezpieczniejszego niż hasła na tej liście (top 25 najpopularniejszych haseł), to nie wymuszajcie niepotrzebnie trudnych wzorów. Wasze filtry wciąż pozwolą ludziom na użycie większości z tej listy, wystarczy po prostu dodać do nich dużą literę, i/lub cyfrę lub dwie.

Zamiast tego, dlaczego po prostu nie zwiększyć minimalnej wymaganej długości i zabronić sekwencji cyfr dłuższej niż trzy lub więcej /[0-9]{3,}/?

Można pokusić się o mały krok do przodu względem tego i zabronić powtarzania tej samej litery więcej niż dwa razy pod rząd /(.)\1{2,}/, wciąż zbytnio nie przeszkadzając ludziom.

Wyeliminowałoby to większość problemów a także nie zawężałoby niepotrzebnie opcji do wyboru waszym użytkownikom.



Brak komentarzy:

Prześlij komentarz