Здравствуйте, последние пару лет, участились взломы российских сайтов и сервисов, в сеть попало огромное количество персональных данных, в том числе, регистрационных. Единственное правильное решение, как я считаю, это использование сложного, длинного, уникального пароля для каждого отдельного сайта или сервиса, чтобы в случае утечки, минимизировать для себя негативные последствия. При этом, стоит отказаться от хранения паролей непосредственно в веб-браузере, в пользу, надёжного менеджера паролей, с шифрованием.
Поскольку, при использовании менеджера паролей, больше нет необходимости придумывать и запоминать пароли, длинна и сложность пароля может быть ограничена только возможностями генератора паролей и движка сайта, на котором вы собираетесь задать пароль. Сайты, работающие на современных движках, на актуальных версиях, или вообще не имеют ограничений на длину пользовательских паролей, или имеют ограничение в 100 символов.
На сайте и форуме «NANO Антивирус» используется единая учётная запись, достаточно выполнить авторизацию, допустим, на сайте, чтобы автоматически авторизоваться и на форуме, и наоборот.
При регистрации учётной записи на сайте «NANO Антивирус», пользователя просят указать пароль длинной не менее 6 символов, любых, без пробелов. Это же касается и формы смены уже зарегистрированного пароля, в личном кабинете, в профиле, на сайте. Максимальную длину пароля, якобы, не ограничивают, однако, опытным путём удалось выяснить, что она составляет, всего-то, 20 символов, при этом, сохранение пароля работает очень странно.
Например, я хочу задать новый пароль длиной в 30 символов. Генерирую пароль желаемой сложности и длины в менеджере паролей, копирую его в буфер обмена и вставляю в поля ввода на сайте, подтверждаю введённый пароль, и успешно сохраняю изменения. При этом, сайт не показывает предупреждений или ошибок, даже не приходит информационное письмо о смене пароля учётной записи на электронную почту аккаунта. Но при попытке входа в учётную запись на сайте, с новым паролем, появляется ошибка «Неверное сочетание логин/пароль», хотя, данные автоматически подтягиваются из менеджера паролей.
Как я уже писал ранее, опытным путём удалось выяснить, что максимальная длина пароля единой учётной записи «NANO Антивирус» составляет, всего-то, 20 символов. Из заданного пароля, длиной в 30 символов, сохраняются, в качестве пароля, только первые 20 символов. При этом, данное ограничение ни где не указано, а при попытке задать пароль большей длины нет ни уведомлений, ни ошибок.
На форуме «NANO Антивирус» указано ограничение на длину пароля от 6 до 100 символов, но учётная запись то единая и для сайта, и для форума.
Учитывая вышесказанное: 1. Снимите ограничение в 20 символов для паролей, увеличьте его до стандартных 100 символов. 2. Сделайте требования к паролю более информативными и наглядными, сейчас, чтобы увидеть требования к паролю на сайте, нужно навести курсор мыши на поле ввода пароля. Сделайте, например, интерактивное уведомление, ниже или сбоку от поля ввода пароля, в котором чётко прописаны требования, от и до, а по мере заполнения полей ввода, требования к паролю проверялись бы на соответствие. 3. Приведите поля авторизации и смены регистрационных данных, на сайте и форуме, под единые требования, чтобы требования к паролям везде были наглядно, чётко прописаны. 4. Уведомляйте письмом на электронную почту о том, что для аккаунта была произведена смена пароля. Сейчас, на электронную почту приходят только уведомления о смене электронной почты и о сбросе пароля. 5. Добавьте двухфакторную аутентификацию для единой учётной записи «NANO Антивирус», что бы дополнительные пароли приходили или в смс, или на электронную почту.
И ещё пара пожеланий по сайте и форуму, они не относятся к ситуации описанной мною выше: 1. Мне кажется, что уже давно пора обновить дизайн официального сайта и форма, «освежить» его, сделать более современным. Может, разработать новый корпоративный стиль, придумать маскота. 2. Начните общаться со своими пользователями в мессенджерах, создайте канал в Telegram. Форум - это хорошо, но мессенджер, более современно и практично. Например, можно оперативно получать фидбэк по актуальным вопросам, репорты о вредоносных сайтах, проводить опросы, оповещать пользователей об акциях и т.д. и т.п.
|