Идиотские требования к паролям В одном из продуктов, над которым я работал, я потратил несколько месяцев чтобы выиграть противостояние с безопасником головного мозга и вернуть нормальный UX в приложен...

28.03

Идиотские требования к паролям

В одном из продуктов, над которым я работал, я потратил несколько месяцев чтобы выиграть противостояние с безопасником ~~головного мозга~~ и вернуть нормальный UX в приложение.

Приложение в итоге закрыли, а этот напряженный период до сих пор снится мне в кошмарах. Это ощущение бессилия от непонимания людьми базовых вещей просто вымораживало, руки опускались от невозможности поместить в заржавевшие мозги очевидное. И каждый раз когда я встречаю подобное, мне хочется биться головой об стену.

Я, как будущий клиент, хочу просто и быстро зарегаться в вашем сраном сервисе и принести вам кучу денег. У меня есть генератор паролей, который за одну секунду генерирует самые сложные пароли в мире. И я ему доверяю. А ваш тупой сайт, который я вижу впервые, лезет в мое личное пространство и пытается научить меня жить. Вы хамите еще даже не клиенту. Вы теряете посетителей на входе, потому что ваш сумасшедший охранник плюет каждому в лицо. Вы теряете деньги!

Ваши идиотские требования не делают пароли безопаснее. Пароль Я танцевал танго с пингвином в пять утра на порядки порядков сложнее чем пароль типа Qwerty1! минимально подходящий в форму. Но вы не пропустите его, потому что вы почему-то решили, что он не безопасен. Это фатальная ошибка!

Каждое ограничение уменьшает словарь, а значит упрощает подбор. Но о каком подборе вообще идет речь, коллеги? Сейчас у каждого стоит защита от брутфорса — три раза ошибся и ты ошибся, сидишь на кулдауне от 30 минут до суток. Такими темпами скорее солнце потухнет, а земля сойдет с орбиты, чем кто-то подберет пароль сложнее qwerty. От чего вы защищаете пользователя?

Защитите его от своей тупости, плиииз!

Как сделать формы удобными, при этом сохранить уровень безопасности. ✅ Не ограничивайте символы – разрешите любые алфавиты (латиница, кириллица, китайские иероглифы и т. д.), специальные знаки и пробелы.

✅ Требуйте только минимальную длину – например, 12 символов. Не устанавливайте верхний лимит.

✅ Запрещайте только слабые пароли – сверяйте их с базами утекших паролей (например, через Have I Been Pwned API).

✅ Разрешайте использование парольных фраз – длинные осмысленные фразы проще запомнить и они безопаснее, чем короткие сложные комбинации.

✅ Поддерживайте генераторы паролей в браузерах – не заставляйте пользователей менять надежные пароли из-за выдуманных ограничений.

Отправь этот пост своему безопаснику