Зайдите под своим паролем

Добрый день, дорогой посетитель. В этой статье поднимается тема Зайдите под своим паролем. Все вопросы можете сразу писать консультанту. Надеемся, что мы сможем помочь

Что делать, если это не помогло.

Собственно, это и есть подход.
Не пишите ничего о минимальной или максимальной длине пароля и его составе. Расскажите пользователю, как ему составить надежный и запоминающийся пароль с учетом спущенных вам требований. Сделайте это ненавязчиво, разговаривая с пользователем о понятных ему вещах.

Например, так:

Безотносительный вариант.
Мы заботимся о вашей безопасности, потому вам нужно установить сложный пароль. Выберите любимое слово и добавьте к нему пару цифр. Например, кольцо123. Или представьте, что вы выполняете сложение или любую другую операцию с вашим словом. Например, вареник+12. Такой пароль будет весьма надежен и его легко запомнить. Только, пожалуйста, не повторяйте приведенный пример, придумайте свой собственный.

Если вы заставляете своих пользователей менять пароль раз в месяц, доработайте текст таким образом:

Тематический вариант
Чтобы легко запоминать новый пароль каждый месяц, выберите любимую книгу или фильм. Используйте имена персонажей в качестве вашего слова в пароле. Подставляйте имя нового персонажа при каждой смене. Тогда процесс вспоминания пароля будет выглядеть примерно так: «Так, кто у нас в этом месяце? Точно, Ватсон!».

Я не имею ввиду, что нужно предлагать пользователю именно эти паттерны, нужно придумать свой собственный — короткий или длинный, с учетом увлечений аудитории или без. Главное предложите понятный способ вместо набора ограничений.

Подход к общению с пользователями на тему информационной безопасности

Службы информационной безопасности (ИБ) в банках и просто менеджеры сервисов придумывают политику ИБ и, в частности, выкатывают требования к паролю пользователя.

Давайте на несколько минут забудем о том, что современные системы противостоят брутфорсу и что подобрать пароль часто сложнее, чем украсть его. Забудем о том, что некоторые системы с критичной информацией вообще выставляют время ожидания между попытками.То есть забудем о том, что сложность пароля не так важна, как раньше.

Проблема в том, что некоторые до сих пор загибают пальцы, каким сложным должен быть пароль. Есть наверное какое-то оправдание тому, чтобы загибать пальцы, но все делают это неправильно.

Типичный случай выглядит так: «Пароль должен состоять не менее чем из 8 символов. Он должен содержать буквы, цифры и не менее одного спецсимвола». Это ещё не сложные условия и они доступно изложены.

Эрогенность спецсимволов

Их употребление, повышая надежность, понижает безошибочность ввода. Это происходит потому, что некоторые спецсимволы имеют модальность ввода. Например, в русской раскладке вместо точки (на цифровой части клавиатуры) вводится запятая. В английской раскладке запятая и точка вводятся клавишами с буквами Б и Ю, а в русской — крайней правой клавишей этого ряда, с шифтом и без шифта.
Если в этом случае пользователь довольно быстро поймет, в чём дело, и исправится, то следующий случай реально поставит его в тупик.

Я встречал и менее тривиальный вариант: раскладки Английская (США) и Английская (Великобритания) имеют разное расположение спецсимволов на клавишах с цифрами. Например, Shift + 2 дает не собаку, а кавычки штрихи, а Shift + 4 даёт знак фунта стерлинга вместо знака доллара.

Применительно к Альфа-Банку: если бы спецсимволы не были бы запрещены, то их клиент, находясь в Британии, испытал бы трудности со входом в интернет-банк. Важно, что такую проблему сложно распознать, ведь язык ввода не изменился. Взгляд на то, какая сейчас включена раскладка, не даст ответа на вопрос, почему не проходит пароль. В итоге это может привести и к блокировке доступа.

Правда, идея с ограничением на сложность пароля в данном случае реализована не идеально. Система сообщает, что «пароль состоит из запрещенных символов». То есть не пишет, какой именно символ нельзя использовать.

Предел жестокости

Интернет-банк УРАЛСИБ, филиал в г. Екатеринбург.

Требования гораздо жестче. Пользователю предлагают представить себе конструкцию, которая должна соответствовать одновременно шести условиям.

Самое сложное — первое: Пароль не должен состоять из тех же самых символов, что и имя пользователя.

Во-первых, аккаунт определяется двумя полями — ID организации и Именем пользователя, из которых оба подходят под термин «имя пользователя», это вызывает путаницу.

Во-вторых, у всех пользователей имя «01». Получается, что будет забракован любой пароль, в котором встречаются ноль и единица, вне зависимости от того, сколько там всего символов.

+ Пароль не должен повторять предыдущие восемь паролей
+ Пароль должен содержать минимум 4 различных символа.
+ Пароль должен содержать хотя бы один спецсимвол из перечисленных.

Подразумевается что пользователь должен представить себе сочетание всех перечисленных условий.

Вас зовут 901511381, запомните или запишите

Людям понятно и приятно, когда их зовут по имени, а не дают им клички. Не следует выдавать им серийные номера только потому, что так проще разработчикам.

Всегда позволяйте пользователю самостоятельно выбрать имя в вашей системе. Попросить пользователя ввести e-mail в качестве логина — тоже хороший способ. Это тоже считается «сам придумал».

Твитнуть

Поделиться

Поделиться

Отправить

Запинить

Популярное

Не все такие злые

Альфа-Клик

А вот это хороший случай. Требования не выкатываются вообще, пользователь может придумать какой угодно пароль. На самом деле нет: если я введу спецсимвол, то система скажет, что они запрещены. В этом есть здравое зерно.

Что делать, если ваш администратор ИБ требует адовых ограничений на пароль пользователя в сторону его усложнения

Объясните ему, что требование может быть только одно — не менее 6ти символов. Дальнейшее наращивание надежности ничего не дает. Если пароль будет украден, то совершенно без разницы, насколько он надежен.

Другая форма авторитаризма

Безупречный в других отношениях хостинг-провайдер NetAngels исповедует подход, не виданный мной раньше.

В панели управления хостингом, на страницах настроек доступа к разным частям сервиса, стоят ссылки «Сменить пароль» для этих частей. При нажатии на нее, система генерирует бессмысленный пароль вида комбинация букв + цифра + комбинация букв, пишет его тут же на странице и сообщает, что отправила его на  почту. Получается что-то такое: konip9zagel.

Такой пароль пользователь никогда не запомнит, учитывая особенности его использования. При необходимости получить доступ, пользователь будет вынужден идти в почту — подсматривать, либо сохранять пароль в браузере.

Пользователя не допускают к созданию пароля. Какой установим, таким и будете пользоваться. Это тоже свинство.

Спасибо за ответ, но дело в том, что я пароль не забывала, а сразу вводила. Проблема реальная вот в чем:

у меня на 7-й винде было четыре раскладки клавиатуры (рус, англ, бел, поль-я), а в 10-й винде только 2 (англ и рус), и когда я вводила пароль в локальную учетную запись 10-ки, не обратила внимания (т.к. думала, что 2 раскладки) ввела ее случайно в белорусской раскладке. Я в этом уверена, т.к. когда писала секретный вопрос(подсказку) там была белорусская «i».

При самом же входе (т.е. когда я теперь набираю парольк) бел.раскладки нет.

Так что это однозначно глюк не мой, моя вина, что не обратила на это внимания когда писала эту подсказку.

Был ли этот ответ полезным?

К сожалению, это не помогло.

Отлично! Благодарим за отзыв.

Насколько Вы удовлетворены этим ответом?

Благодарим за отзыв, он поможет улучшить наш сайт.

Насколько Вы удовлетворены этим ответом?

Благодарим за отзыв.

Безопасный режим

Если же на учётной записи главного админа стоит пароль, то в этом случае приступаем ко второму способу. Для этого загружаем компьютер в «безопасном режиме» (для этого при самом включении нужно нажать F8) и заходим в учётную запись Администратора. После этого выполняем описанные в первом пункте действия. В том случае, если этот способ оказался безрезультатным, то прибегнем к более радикальным мерам.
к меню ↑

BIOS и загрузочный диск

Отключаем компьютер от питания сети, разбираем корпус системного блока и находим на материнской плате маленькую батарейку, которая отвечает за системную память bios’а.

Вытаскиваем её и кладём в сторону на десять – пятнадцать минут, после этого вставляем обратно. При последующем запуске системы, жмём и удерживаем delete, заходим в bios и клавишей F10 сохраняем все настройки.

К последним варианту стоит прибегать, если учётная запись скрытого админа была изначально защищена паролем.

Для её взлома в Интернете можно найти большое количество специальных программ, которые нужно будет записать на обыкновенный гибкий диск (обычная болванка).
При включении компьютера диск загрузится и запустит эту хитрую программку. Программа удалит все пароли с учётных записей, после чего вы беспрепятственно зайдёте в любую учётную запись.

Эксперт: Сергей

Деактивации пароля входа в Windows

Начнём с простейшего способа деактивации пароля входа в систему , который срабатывает лишь в том случае, если учётная запись администратора не защищена паролем (который был выставлен при установке операционной системы).

Когда перед вами будет открыто окно смены пользователя, нажмите несколько раз подряд известную сумму клавиш «CTRl+Alt+Delete». Это действие откроет окно, в котором можно вручную сменить имя юзера и пароль. Итак, нам нужно выйти на учётную запись «скрытого» администратора.

Для этого вводим в поле Name (или Имя) в поле Administrator (или Администратор) в поле «пароль» ничего не вписываем и оставляем его пустым.

В случае, если вход успешно произведён, заходим в «учётные записи пользователей» через панель управления и удаляем пароль нужного нам пользователя (кстати, никакого пароля для этого вводить никуда не нужно).

Завершаем сеанс администратора и совершаем вход уже под нужным нам пользователем без необходимости ввода пароля.
к меню ↑

Понравилась статья? Поделиться с друзьями: