«Неправильный логин или пароль» — глупая фраза — «Хакер»

«Неправильный логин или пароль» — глупая фраза — «Хакер»

Рекомендуем почитать:

Хакинг для новичков

Попытки аутентификации заканчиваются неудачей из-за того, что пользователь забыл пароль или логин (адрес электронной почты). Большинство веб-сайтов не говорят пользователю, что конкретно он вводит неправильно. Вместо этого человек видит фразу «Неправильный логин или пароль».

Понятно, что такие меры вводили для защиты. Если злоумышленнику сказать, что почтовый адрес неправильный, то он попробует другой. Если сказать, что адрес правильный, то он начнёт перебирать пароли.

По мнению разработчика и специалиста по юзабилити Кевина Бурка, это крайне глупый подход. Подразумевается, что злоумышленнику не дают узнать, зарегистрирован ли конкретный адрес электронной почты в системе. Но узнать это можно совершенно элементарно, попытавшись создать новую учётную запись с таким же адресом. Если адрес зарегистрирован, то система скажет, что он занят.

Так зачем же эти глупые меры безопасности, справедливо вопрошает Кевин?

Как специалист по юзабилити он знает, что такая псевдозащита создаёт лишние проблемы для обычных пользователей, которые действительно не могут вспомнить, под каким адресом они регистрировались и сомневаются, правильно ли вводят пароль. Если человек очень редко заходит на сайт, то он действительно может забыть, под каким логином регистрировался. Так почему бы прямо не сказать ему, что пароль введён правильно, а имя пользователя — нет?

В качестве меры для защиты от злоумышленников Кевин Бурк рассматривает такой вариант: при попытке регистрации с адресом электронной почты не говорить, что адрес занят, а высылать ссылку для завершения регистрации на этот адрес электронной почты. Но с точки зрения UX это не самый лучший способ. Эффективными мерами были бы задержка между попытками аутентификации (против брутфорса), разъяснение пользователям необходимости использовать надёжные пароли, интеграция с парольными менеджерами и двухфакторная аутентификация.

Телефон или смартфон не принимает пароль – решение проблемы

Если проблема возникла на вашем телефоне или смартфоне, но вы абсолютно уверены в том, что вводимый вами пароль верен и его никто не менял, то в данной ситуации поможет полный сброс настроек, а в некоторых случаях перепрошивка аппарата (зависит от модели). Для каждого аппарата существует своя инструкция по сбросу и перепрошивке, которую вы можете подчеркнуть в комплектации, на официальном сайте производителя или просто на одном из тематических форумов, где подробно обсуждаются подобные технические моменты.

Используемые источники:

• https://xakep.ru/2014/12/02/login-or-password/
• https://it-actual.ru/does-not-accept-password-why-and-fix.html