Комментарии 6

Перевод так себе. «ДБ», «письмо, упрощающее сброс пароля» — ну кто так пишет? Вместо «простого текста» есть устоявшийся термин — «открытый текст».

Как бы то ни было, но между ними всё-таки имеется разница.
Простой текст — это просто текст. Тем более, что в некоторых местах сего топика говорится именно об обычном тексте, не подлежащем шифрованию.
Ну а судя по статье на вики, что вы скинули, открытый текст — это обычный текст, который будет использоваться для шифрования, либо получен в процессе расшифровки

Количество телодвижений и сложность процесса смены пароля на самом зависит от двух простых вещей (если с этого было начать статью, можно было бы уложится в половину текста):
1) ценность того, что хранится под паролем для пользователя
2) степень коммерциализации (монетизации) проекта с учетными записями с паролями.


С п.1 все достаточно просто: банковский, финансовый или иной аккаунт на ресурс, где пользователь затрачивает или зарабатывает значимые для него деньги (или иные активы) — несомненно будет иметь многоуровневую систему смены пароля. Например, вместо почты будет смс или звонок оператора.
И здесь уже не важна скорость и оперативность ввода юзера онлайн. Прежде всего важен тот факт, что Вася Пупкин, забывший пароль и действительно тот самый Василий, а не фейк.


Сайты, где ценность хранимой инфомации за учетной записью низка, или же доступ к закрытому содержимому не яляется критически ценным, используют простые методы возвращения юзера, сложности не нужны ни кому: ни юзеру, ни администрации.
Особенно это касается развлекательных сайтов или сайтов, где высокая монетизация при отсутствии критически ценных активов для пользователя (сайты знакомств, адалт, онлайн игры и тд).
Здесь чем меньше итераций для пользователя, тем меньше шанс, что юзер утомится и уйдет с ресурса.


Второй момент плавно вытекает из последнего абзаца: некоммерческие проекты, где нет цели извлечерия прибыли из аудитории, могут использовать любые способы восстановления паролей: от простого варианта с емейлом, до сложных.


Бизнес-ориентированные сайты (кроме тех кто из п.1) не могут себе позволить слишком сложные методы для восстановления паролей, это приведет к отказу использования клиентами ресурса. Казалось бы ну пару человек откажется и что такого?
Из личного опыта скажц так, усложнение алгоритма восстановления/регистрации дает потери на продажах/оказании услуг до 1-2% оборота компании в год. В моем примере — это стоимость хорошего автомобиля. Много ли это или мало, каждый решает сам.


Поэтому здесь нужен баланс: простота операции регистрации и восстановления, но вместе с этим должен быть алгоритм проверки подлинности юзера при восстанлении пароля. Самый простой (но не 100% гарантируемый) — это смс с кодом /месседжер, который имеет привязку к номеру телефона. Продвинутый вариант: секретный вопрос на смс.
Более сложный вариант: линк с токеном на смену пароля на емейл и после смены пароля подтверждение на телефон.

Посоветует кто паролехранилку? Чтоб по всем канонам, так сказать.
Другими словами, секретный вопрос должен определять сам сайт

Ограниченный список вариантов секретных вопросов у Paypal, Apple и других зачастую как раз всё запутывает. На половину вариантов секретных вопросов может просто не быть ответа, а ответы на другую половину слишком легко найти/подобрать. В итоге вместо подсказки для себя в поле вопроса приходится выбирать первый попавшийся вопрос и писать свой ответ, и потом не видя подсказки забываешь, какой же ответ ты тут писал.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Информация
Дата основания

22 июня 2014

Местоположение

Россия

Сайт

vdsina.ru

Численность

11–30 человек

Дата регистрации

24 сентября 2019

Блог на Хабре