Текущее время: 28 мар 2024 23:07

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
СообщениеДобавлено: 18 янв 2024 04:10 
Аватара пользователя
Не в сети

Зарегистрирован:
10 сен 2022 04:20
Сообщения: 1
Откуда:
Санкт-Петербург
Здравствуйте, последние пару лет, участились взломы российских сайтов и сервисов, в сеть попало огромное количество персональных данных, в том числе, регистрационных. Единственное правильное решение, как я считаю, это использование сложного, длинного, уникального пароля для каждого отдельного сайта или сервиса, чтобы в случае утечки, минимизировать для себя негативные последствия. При этом, стоит отказаться от хранения паролей непосредственно в веб-браузере, в пользу, надёжного менеджера паролей, с шифрованием.

Поскольку, при использовании менеджера паролей, больше нет необходимости придумывать и запоминать пароли, длинна и сложность пароля может быть ограничена только возможностями генератора паролей и движка сайта, на котором вы собираетесь задать пароль. Сайты, работающие на современных движках, на актуальных версиях, или вообще не имеют ограничений на длину пользовательских паролей, или имеют ограничение в 100 символов.

На сайте и форуме «NANO Антивирус» используется единая учётная запись, достаточно выполнить авторизацию, допустим, на сайте, чтобы автоматически авторизоваться и на форуме, и наоборот.

При регистрации учётной записи на сайте «NANO Антивирус», пользователя просят указать пароль длинной не менее 6 символов, любых, без пробелов. Это же касается и формы смены уже зарегистрированного пароля, в личном кабинете, в профиле, на сайте. Максимальную длину пароля, якобы, не ограничивают, однако, опытным путём удалось выяснить, что она составляет, всего-то, 20 символов, при этом, сохранение пароля работает очень странно.

Например, я хочу задать новый пароль длиной в 30 символов. Генерирую пароль желаемой сложности и длины в менеджере паролей, копирую его в буфер обмена и вставляю в поля ввода на сайте, подтверждаю введённый пароль, и успешно сохраняю изменения. При этом, сайт не показывает предупреждений или ошибок, даже не приходит информационное письмо о смене пароля учётной записи на электронную почту аккаунта. Но при попытке входа в учётную запись на сайте, с новым паролем, появляется ошибка «Неверное сочетание логин/пароль», хотя, данные автоматически подтягиваются из менеджера паролей.

Как я уже писал ранее, опытным путём удалось выяснить, что максимальная длина пароля единой учётной записи «NANO Антивирус» составляет, всего-то, 20 символов. Из заданного пароля, длиной в 30 символов, сохраняются, в качестве пароля, только первые 20 символов. При этом, данное ограничение ни где не указано, а при попытке задать пароль большей длины нет ни уведомлений, ни ошибок.

На форуме «NANO Антивирус» указано ограничение на длину пароля от 6 до 100 символов, но учётная запись то единая и для сайта, и для форума.

Учитывая вышесказанное:
1. Снимите ограничение в 20 символов для паролей, увеличьте его до стандартных 100 символов.
2. Сделайте требования к паролю более информативными и наглядными, сейчас, чтобы увидеть требования к паролю на сайте, нужно навести курсор мыши на поле ввода пароля. Сделайте, например, интерактивное уведомление, ниже или сбоку от поля ввода пароля, в котором чётко прописаны требования, от и до, а по мере заполнения полей ввода, требования к паролю проверялись бы на соответствие.
3. Приведите поля авторизации и смены регистрационных данных, на сайте и форуме, под единые требования, чтобы требования к паролям везде были наглядно, чётко прописаны.
4. Уведомляйте письмом на электронную почту о том, что для аккаунта была произведена смена пароля. Сейчас, на электронную почту приходят только уведомления о смене электронной почты и о сбросе пароля.
5. Добавьте двухфакторную аутентификацию для единой учётной записи «NANO Антивирус», что бы дополнительные пароли приходили или в смс, или на электронную почту.

И ещё пара пожеланий по сайте и форуму, они не относятся к ситуации описанной мною выше:
1. Мне кажется, что уже давно пора обновить дизайн официального сайта и форма, «освежить» его, сделать более современным. Может, разработать новый корпоративный стиль, придумать маскота.
2. Начните общаться со своими пользователями в мессенджерах, создайте канал в Telegram. Форум - это хорошо, но мессенджер, более современно и практично. Например, можно оперативно получать фидбэк по актуальным вопросам, репорты о вредоносных сайтах, проводить опросы, оповещать пользователей об акциях и т.д. и т.п.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 18 янв 2024 14:11 
NanoAV Team
Аватара пользователя
Не в сети

Зарегистрирован:
18 июн 2019 11:16
Сообщения: 103
Благодарим за предложения. Мы учтем и обязательно обсудим с разработчиками Ваши пожелания, возможно, данный функционал будет добавлен после обновления сайта.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
POWERED_BY
Русская поддержка phpBB