:: urbansheep (urbansheep) wrote,
:: urbansheep
urbansheep

  • Music:

Кому нужны эти пароли?

Достоинство хранения всей почты в вебе состоит ещё и в том, что это избавляет от множества проблем с запоминанием ненужных вещей. Мне совершенно неважно, какой у меня пароль на блоглайнс или на слэшдоте. Мне вообще ничего не важно, кроме пароля к моей почте и кошельку. И все десять случайных символов из этих паролей я помню и пальцами, головой (как и пин-коды к кредитным картам и длинную ключевую фразу к PGP). Но это всего с десяток тупых последовательностей, которые легко удержать в долговременной памяти.

Поэтому появляется следующий паттерн поведения — когда я регистрирую новый аккаунт, то под него генерируется уникальный пароль, который на всякий случай забрасывается в почту (искать удобно), и сохраняется в браузере. Если в будущем пароля в почте или браузере не оказывается, то я, зная свои привычные юзернеймы и регистрационные адреса, запрашиваю напоминание или сброс пароля.

Это приводит нас к абсолютно логичной мысли при разработке регистрационных интерфейсов — не надо предлагать ввести пароль. Пароль надо всегда генерировать заново. И убрать из формы поле вообще. Это заодно избавляет от такой замечательной привычки пользователей, как использование для всех сервисов единого пароля, написанного на бумажке, висящей рядом с монитором, что оказывается намного более серьёзной угрозой, чем перехват одного, уникального пароля в письме.

В принципе, можно пойти ещё дальше — отказаться от паролей вообще. После регистрации пользователю и так всегда присылают письмо-зонд, которое удостоверяет, что адрес функционирует. После проверки адреса пользователь считается автоматически вошедшим в систему. Это давно известная и вполне удобная практика. Если же пользователь хочет войти заново, ему можно выслать на почту новую „одноразовую“ ссылку, после клика по которой пользователь, ничего не вводя руками, оказывается в системе.

Это особенно удобно для сервисов, которые дают возможность привязать сессию к IP, как делает ливжурнал или яндекс — получаешь на домашний компьютер ссылку-логин, и пользуешься ею. Даже если она засветится у кого-то в логах, то IP-фильтр отрежет чужие запросы.

Это не поможет с пинкодами (если почта не хранится в копии на КПК, к примеру), но если не загружать пользователей ненужными паролями, то велик шанс, что общая безопасность от этого выиграет, а не проиграет (меньше надо запоминать — меньше написано на бумажке у монитора). Так бывшее „простое решение“ с парами пользователь-пароль оказывается сложным, когда этих пар сотни. Поэтому на смену паролям приходит один почтовый ящик и один поисковый запрос (с названием сайта). Или одна ссылка „напомнить пароль“. Или один общий пароль (яху, гугл, msn, яндекс, и теперь рамблер).

Пусть пользователи помнят то, что для них важно, а не пароли от сервисов.

Ссылка по теме:

  • Passwords add up to information overload for brain: According to a survey of more than 1,000 adults, the average person now has to instantly recall 21 digits or characters from memory, but at least 40 per cent of people say they have forgotten codes at vital moments. (scotsman.com)

 
 
 

Subscribe
  • Post a new comment

    Error

    Comments allowed for friends only

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 2 comments