И снова поднимаю тему паролей, потому что в прошлой моей теме, вопрос о том как проверять пароли при регистрации пользователя, так и не был раскрыт в полной мере. Толи все секретничают, толи жадничают, но не одного кода, кто как в своих скриптах это реализует я так и не увидел.
Мы выяснили, что не нужно ограничивать пользователя, в плане символов из которых состоит пароль!
Хорошо, супер отлично!
У меня такие вопросы!
1) Я понял что также не стоит ограничивать длину пароля, но вот вопрос, а минимальный размер, всеже нужно ограничивать?
2) Нужно ли делать проверку на сложность пароля, и если нужно, то она должна быть принудительной или просто уведомительной? То есть, например сам скрипт пропускает любые пароли, а например джава скрипт уже в самой форме, будет просто предупреждать пользователя о том что пароль не надежный и т.д!?
3) Пробелы в паролях, ограничивать ли пробелы внутри паролей, удалять ли пробелы по краям паролей.
Например я сегодня снова баловался с Твиттером, меняю пароль, что то вроде ' привет я пароль ' обратите внимание, то что внутри пароля пробелы, ну это я так понял нужно разрешать, но вот пробелы по краям пароля!? Твиттер их так и записал в базу, то есть когда я попытался авторизоваться с паролем без пробелов по краям 'привет я пароль' то он выдал ошибку авторизации! Так какже быть все таки, удалять по краям пробелы или нет? И удалять ли их и при регистрации и при авторизации, или не удалять только при регистрации, но удалять при авторизации, или вообще нигде не удалять?
Полная Версия: И снова пароли! + Твиттер я был удивлен!
Не буду дублировать.
Единственное что хочу подметить, сложность пароля все же стоит сделать.
Буквы + цифры в обязаловку.
А в остальном, на выбор.
Единственное что хочу подметить, сложность пароля все же стоит сделать.
Буквы + цифры в обязаловку.
А в остальном, на выбор.
lastdays
| Цитата |
| 1) А почему длину пароля не нужно регулировать? |
Ну когда я создавал предыдущую свою тему, о проверке паролей, то все говорили зачем ты ограничиваешь длину пароля, мол не нужно. Вот я и пришел к выводу что не нужно, ну мол какой идиот будет 500 символов пароль делать!? Да и все равно пароль потом хешируется! По этому в принципе пофигу, но вопрос все еще открыт.
| Цитата |
| И вопрос, после авторизации пользователя, как дальше то работать собрались с ним, без записи в куки пароля? |
Ну это уже конечно к теме не относиться ) как и все с помощью сессий!
lastdays
| Цитата |
| Оно нужно будет, если какой - то простите за выражение идиот создаст пароль больше 500 символов. В принципе, зачем пароль такой большой длины? |
Вот снова провел небольшой тест с Твиттером
Попробовал набрать довольно большой пароль, более 100 символов 
Вот такой вот пароль
| Цитата |
| интересненько какже у вас тут с длиной паролей обстоят дела? Я просто пытаюсь проверить длину допустимого пароля так что вот как-то так хе-хе |
И все отлично сработало, он пропустил такой пароль
Все очень просто. Пароль нельзя хранить в открытом виде, только хэш. А хэш имеет небольшое количество символов (MD5 к примеру 32, даже если пароль написать из 100 тысяч символов). Так что накладывать какие-либо ограничения нет никакого смысла. Что по длине, что по испорльзованию символов. Я может быть такой пароль хочу: ᐁᐂᐅᐊᐉᐋᐆ
Это же и пробелов касаемо. Что юзер в поле ввел - то и пароль.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Это же и пробелов касаемо. Что юзер в поле ввел - то и пароль.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
| Цитата (twin @ 23.09.2012 - 08:49) |
| Все очень просто. Пароль нельзя хранить в открытом виде, только хэш. А хэш имеет небольшое количество символов (MD5 к примеру 32, даже если пароль написать из 100 тысяч символов). Так что накладывать какие-либо ограничения нет никакого смысла. Что по длине, что по испорльзованию символов. Я может быть такой пароль хочу: ᐁᐂᐅᐊᐉᐋᐆ Это же и пробелов касаемо. Что юзер в поле ввел - то и пароль. |
Выж вроде читали мою предыдущую тему? И видели что я и так говорил о том что пароль будет хешироваться я изначально об этом говорил. По этому говорить о том что я и так отлично понимаю, думаю лишнее.
Но в любом случае спасибо
Просто думал, может вдруг еще есть причины ограничивать длину, может я чего-то не знаю или не учел По поводу длины думаю вопрос закрыт никаких ограничений на длину пароля! Остальные вопросы все еще открыты
Когда поработаешь на реальном сайте, то узнаешь, что пробелы ставятся случайным образом. Обычно при копировании из другого файла, который в конце дописывает пробел (в том числе из почты), при этом при регистрации пробел убирается.
Смотри, мы регистрируем ' а ' - в базу попадает: 'а' . Правильно?
Теперь вводим авторизацию, пишем: ' а ' - кажется, что и там и там использовали пробелы, а на самом деле сравниваем с базой, где пароль у нас без пробелов, и тут так же! Поэтому md5('а') = md5('а').
Трим для удаления по краям. И всё!
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Смотри, мы регистрируем ' а ' - в базу попадает: 'а' . Правильно?
Теперь вводим авторизацию, пишем: ' а ' - кажется, что и там и там использовали пробелы, а на самом деле сравниваем с базой, где пароль у нас без пробелов, и тут так же! Поэтому md5('а') = md5('а').
Трим для удаления по краям. И всё!
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Ой, ой... Ты чего?
| Цитата |
| а на самом деле сравниваем с базой, где пароль у нас без пробелов, и тут так же! |
Какой пароль в базе? окстись! В базе только хэш и ничего другого там быть не должно. И ни кто не в праве диктовать мне, ставить пробелы по краям или не ставить. Быть может это как раз фишка такая, которой ни в одной радужной таблице нет.
| Цитата |
| Трим для удаления по краям. И всё! |
Ни в коем случае.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
twin
Это обязательно. Я объяснил выше почему. Или ты сам за каждым из десятков тысяч клиентов бегаешь и уточняешь, что они на конце пробел случайным образом влепили?
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Это обязательно. Я объяснил выше почему. Или ты сам за каждым из десятков тысяч клиентов бегаешь и уточняешь, что они на конце пробел случайным образом влепили?
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Я им не нянька. Влепил - сам виноват, чай не дети. А как ты объяснишь мне, что я не могу пароль с пробелом написать? Что ты таким образом сопли подтираешь?
Еще раз говорю - пароль, это собственность юзера. Ни кто не в праве ему что-либо указывать в этом плане. Что он ввел в поле, то и пароль. Хоть из одного пробела. Порекомендовать да, можно. Мол пароль слаб, советуем то-сё. Но не запрещать и уж тем более не делать ничего за юзера.
Вот ты говоришь, что пробел попадет случайно и он потом не сможет зайти. А если я его туда специально поставил? И ведь тоже не смогу. Потому что ты решил, что своим тримом вправе корректировать мой пароль. Причем совершенно меня не ставя в известность.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Еще раз говорю - пароль, это собственность юзера. Ни кто не в праве ему что-либо указывать в этом плане. Что он ввел в поле, то и пароль. Хоть из одного пробела. Порекомендовать да, можно. Мол пароль слаб, советуем то-сё. Но не запрещать и уж тем более не делать ничего за юзера.
Вот ты говоришь, что пробел попадет случайно и он потом не сможет зайти. А если я его туда специально поставил? И ведь тоже не смогу. Потому что ты решил, что своим тримом вправе корректировать мой пароль. Причем совершенно меня не ставя в известность.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Ты не прав и нет смысла тебе что-то объяснять, потому что ты не хочешь слушать.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
| Цитата |
| Это обязательно. Я объяснил выше почему. |
Не понял я, почему. Ну тоесть у тебя там нет аргументов. Ты ошибся два раза в этом объяснении, а моих доводов так и не понял))) И после этого говоришь, что я не хочу слушать))
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Да потому что я сталкивался с таким уже. Регистрировали пароль и в конце ставили пробел. А потом не могли зайти на следующий день. И это не 1, 2, 3 человека... это десятки и сотни, кто страдает лишними пробелами на конце.
И да, ты администратор портала и ты должен будешь на каждого абонента реагировать и каждому отвечать, почему его пароль не подходит. Клиент тебе платит деньги не за лишнюю головную боль с десятками обычных юзеров, ему надо так, чтобы всё было хорошо.
Как выше писали, лучше поставить фильтр на качество пароля и исходя из этого проверять надежность или нет конкретного пароля. Так делают все толковые интернет-порталы, на которые надо ровняться.
Возьмем тот же mail.ru , он допускает внутри пароля пробелы, но запрещает пробелы на конце. И это огромный опыт крупной компании, который сделал выводы, что запрещать пробелы на конце необходимо!
Теперь гугл. Создаю пароль 'test_123 ' , далее пытаюсь авторизироваться: 'test_123' - авторизация прошла успешно! Гугл использует обрезание пробелов на конце, mail.ru запрещает пробелы. Я доверяю профессионалам и своему опыту.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
И да, ты администратор портала и ты должен будешь на каждого абонента реагировать и каждому отвечать, почему его пароль не подходит. Клиент тебе платит деньги не за лишнюю головную боль с десятками обычных юзеров, ему надо так, чтобы всё было хорошо.
Как выше писали, лучше поставить фильтр на качество пароля и исходя из этого проверять надежность или нет конкретного пароля. Так делают все толковые интернет-порталы, на которые надо ровняться.
Возьмем тот же mail.ru , он допускает внутри пароля пробелы, но запрещает пробелы на конце. И это огромный опыт крупной компании, который сделал выводы, что запрещать пробелы на конце необходимо!
Теперь гугл. Создаю пароль 'test_123 ' , далее пытаюсь авторизироваться: 'test_123' - авторизация прошла успешно! Гугл использует обрезание пробелов на конце, mail.ru запрещает пробелы. Я доверяю профессионалам и своему опыту.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Ага. То есть Твиттер делают нубы. Раз они учитывают пробелы.
| Цитата |
| И да, ты администратор портала и ты должен будешь на каждого абонента реагировать и каждому отвечать, почему его пароль не подходит. |
Как администратор портала я при всем моем желании не смогу рассказать человеку, почему его пароль не подошел. По одной простой причине - я не знаю и не имею права знать его пароль. Я могу только обеспечить аварийный доступ к аккаунту через систему восстановления.
Что и как делает Гугл - понятия не имею. Поговаривают, что они собирают базу данных на все человечество)))
Ну если тебе твой опыт показывает, что ты можешь рассказать человеку, где он ошибся в наборе пароля, я не хотел бы регистрироваться на твоем портале. Ибо секрет, известный более чем одному человеку, перестает быть секретом.
Все твои доводы про обрезание пробелов в поле varchar с треском разлетаются об этот постулат. После хеширования никаких пробелов там нет и в помине.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
twin
Человек пишет, что мой пароль: "ааа", я таким регистрировал и не входит.
Я открываю форму авторизации и проверяю. "ааа" не подошел, написал: "ааа " - подошел.
Это делается так, а не выдумки, что мне известно что-то более, чем должно.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Человек пишет, что мой пароль: "ааа", я таким регистрировал и не входит.
Я открываю форму авторизации и проверяю. "ааа" не подошел, написал: "ааа " - подошел.
Это делается так, а не выдумки, что мне известно что-то более, чем должно.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Здесь расположена полная версия этой страницы.