Как сделать логин пароль на моем сайте


Как сделать логин пароль на моем сайте

Как сделать логин пароль на моем сайте

Как сделать логин пароль на моем сайте



Быстрая навигация по этой странице:

Сегодня утром регистрировался в очередном сервисе и задумался о том, как создать логин и пароль таким образом, чтобы они отличались от моих основных логинов и паролей, но при этом были безопасными с одной стороны и удобными с другой. К чему меня привели размышления — читайте далее.

как создать логин и пароль

Как корабль назывешь, так он и поплывет, или выбираем имя

Выбор логина — субъективная вещь, которая зависит в первую очередь от личных предпочтений. Я бы здесь отметил лишь два основных момента:

Анонимность против узнаваемости

Выбирая себе логин, подумайте над тем, чего бы вы хотели бы добиться — полной уникальность и узнаваемости, или, напротив, анонимности?

В первом случае нужно брать логин, который более нигде не повторяется — если Вы будете присутствовать под этим именем на разных площадках (блоги, форумы и т.д.), то вас можно будет идентифицировать.

Если же у вас прямо противоположные цели, то нужно, наоборот, брать самые распространенные имена и никнеймы.

Безопасность

В основном, этот пункт актуален, если вы выбираете себе логин для админ-панели на своем сайте или на каком-нибудь блоге/форуме/сервисе, где всем пользователям показывается одно имя (например, Маша Петрова), а логинитесь вы при этом как masha_petrova.

Известно, что многие блоги вордпресс и других CMS регулярно пытаются взломать через перебор пароля. К сожалению, и у меня такое пару раз было — стоял легкий пароль из пяти цифр. В результате злоумышленник зашел в админку и залил на сайт вирус.

Этого не случилось бы, если бы я задумался о безопасности при выборе логина. А именно, у меня стоял логин admin, и именно на него рассчитано большинство скриптов, занимающихся брутфорсом — перебором паролей.

Достаточно было бы выбрать другой логин — и перебор паролей уже был бы не страшен.

В этой связи, для админок нельзя выбирать такие имена, как admin, administrator или имена, совпадающие с названием либо доменом сайта.

Также не стоит лишний раз светить свой почтовый ящик, особенно если в него входит логин — по этой причине я не особо рекомендую использовать на страницах сайта.

Выбираем пароль

Как известно, пароли пользователей в базах данных хранятся в зашифрованном виде (обычно используется алгоритм MD5 и его модификации). Это значит, что если кто-то получит доступ к базе данных, то у него не будет вашего пароля, а будет последовательность символов — что-то наподобие 1a1dc91c907325c69271ddf0c944bc72 (приведенный пример — md-5 хэш от слова «pass»).

Из этой последовательности символов злоумышленник не сможет восстановить ваш пароль (алгоритм не позволяет), однако он сможет с помощью софта (который существует в большом количестве в открытом доступе) запустить перебор паролей — программа будет создавать их md5 хэш и сравнивать с имеющимся хэшем до тех пор, пока не найдет верный вариант.

Таким образом, например, можно подобрать пароль к админке большинства блогов wordpress (имея хэш и если в самом блоге не использовано дополнительных методов защиты, чего практически никогда не бывает).

Перебор пароля — это вопрос времени и мощности компьютера. Потому чем длиннее пароль, тем больше нужно времени для того, чтобы подобрать его. Для этой же цели в пароль добавляются прописные и заглавные буквы, цифры, а также спец. символы — тогда количество комбинаций символов, которые придется перебирать программе, увеличивается в миллиарды раз, и перебор пароля становится возможным только в теории, а на практике — нереальным, так как на него могут уйти годы.

Вывод, который следует из этого — пароль должен быть как можно длиннее и включать в себя все возможные варианты символов. Как правило, рекомендуемая длина — от 12 символов, но здесь четкого правила не существует — никто не запрещает взять 11 символов или 20 символов — нужно соотносить значимость пароля, количество раз, которое вам придется набирать его в день, вероятность попытки его взлома.

Если Вы хотели бы иметь при этом еще и запоминаемый пароль, то в нем не рекомендуется использовать напрямую связки слов, лучше разбавлять их спецсимволами, цифрами и т.д.

Нет секретным вопросам

Секретные вопросы — это одна из уязвимостей, которую часто используют злоумышленники при взломе аккаунтов. Бывает, что человек выбрал сложный логин, еще более сложный пароль, но в качестве ответа на секретный вопрос указал реальную девичью фамилию матери, которая часто к тому же входит в топ-20 самых популярных фамилий России. Результат — аккаунт взломан.

Чтобы избежать таких ситуаций, я стараюсь никогда не указывать ответы на секретные вопросы в почтовых и иных сервисах, которые могут быть раскрыты методом перебора или, тем более, которые могут быть легко стать известны третьим лицам.

Если Вы нашли для себя что-то полезное на этой странице, пожалуйста, нажмите на одну из этих кнопок:


Источник: http://www.runcms.org/posts/kak-vybrat-login-i-parol.html


Как сделать логин пароль на моем сайте

Как сделать логин пароль на моем сайте

Как сделать логин пароль на моем сайте

Как сделать логин пароль на моем сайте

Как сделать логин пароль на моем сайте

Как сделать логин пароль на моем сайте

Как сделать логин пароль на моем сайте

Как сделать логин пароль на моем сайте

Читать далее: