Андрей Смирнов
Время чтения: ~2 мин.
Просмотров: 30

«Неправильный логин или пароль» — глупая фраза — «Хакер»

«Неправильный логин или пароль» — глупая фраза — «Хакер»

Рекомендуем почитать:xb-001-210x280.jpg

Хакинг для новичков

Попытки аутентификации заканчиваются неудачей из-за того, что пользователь забыл пароль или логин (адрес электронной почты). Большинство веб-сайтов не говорят пользователю, что конкретно он вводит неправильно. Вместо этого человек видит фразу «Неправильный логин или пароль».

0032.png

Понятно, что такие меры вводили для защиты. Если злоумышленнику сказать, что почтовый адрес неправильный, то он попробует другой. Если сказать, что адрес правильный, то он начнёт перебирать пароли.

По мнению разработчика и специалиста по юзабилити Кевина Бурка, это крайне глупый подход. Подразумевается, что злоумышленнику не дают узнать, зарегистрирован ли конкретный адрес электронной почты в системе. Но узнать это можно совершенно элементарно, попытавшись создать новую учётную запись с таким же адресом. Если адрес зарегистрирован, то система скажет, что он занят.

0043.png

Так зачем же эти глупые меры безопасности, справедливо вопрошает Кевин?

Как специалист по юзабилити он знает, что такая псевдозащита создаёт лишние проблемы для обычных пользователей, которые действительно не могут вспомнить, под каким адресом они регистрировались и сомневаются, правильно ли вводят пароль. Если человек очень редко заходит на сайт, то он действительно может забыть, под каким логином регистрировался. Так почему бы прямо не сказать ему, что пароль введён правильно, а имя пользователя — нет?

В качестве меры для защиты от злоумышленников Кевин Бурк рассматривает такой вариант: при попытке регистрации с адресом электронной почты не говорить, что адрес занят, а высылать ссылку для завершения регистрации на этот адрес электронной почты. Но с точки зрения UX это не самый лучший способ. Эффективными мерами были бы задержка между попытками аутентификации (против брутфорса), разъяснение пользователям необходимости использовать надёжные пароли, интеграция с парольными менеджерами и двухфакторная аутентификация.

Телефон или смартфон не принимает пароль – решение проблемы

Does-not-accept-password-why-and-fix-1.png

Если проблема возникла на вашем телефоне или смартфоне, но вы абсолютно уверены в том, что вводимый вами пароль верен и его никто не менял, то в данной ситуации поможет полный сброс настроек, а в некоторых случаях перепрошивка аппарата (зависит от модели). Для каждого аппарата существует своя инструкция по сбросу и перепрошивке, которую вы можете подчеркнуть в комплектации, на официальном сайте производителя или просто на одном из тематических форумов, где подробно обсуждаются подобные технические моменты.

ads.pngИспользуемые источники:

  • https://xakep.ru/2014/12/02/login-or-password/
  • https://it-actual.ru/does-not-accept-password-why-and-fix.html

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации