Нормальные юзеры страдают.

Продаться в рабство

Кто-нибудь может сформулировать модный подход к логинам на сайте?

Аутентификация через учётку Google, Facebook или привязка к телефону.

Не продаваться в рабство

Нормальные юзеры страдают.

Вы правы. Из-за того что 95% пользователей, как известно, составляют интеллектуальное большинство, нормальные пользователи, которые хотят избежать использования шпионской учётки какой-нибудь крупной компании порой страдают.

Линковка внешних провайдеров аутентификации - вопрос для отдельной темы. Здесь хотелось бы обсудить насколько реально выпилить пароли в пользу мыла чтобы никто не пострадал.

Юзкейзы в студию

Все это наталкивает на мысль, что неплохо бы пароль совсем выпилить, и сделать логин по одноразовым ссылкам на мыло. Какие есть минусы у подобного подхода?

Минус подобного подхода в том, что он доставляет огромные неудобства нормальным пользователям — тем, которые ставят нормальный пароль, а не 12345, и при этом помнят его.

Лезть на почту надо каждый раз, это менее удобно. А так, хороший способ.

Ну не каждый раз же, а раз в месяц, как на гугле, или раз в год...

Я пользуюсь менеджером паролей, и я, напротив, предпочёл бы не вписывать мыло, а не пароли. А для пользования твоим сайтом мне придётся делать в два раза больше телодвижений, что вызовет только раздражение.

я, напротив, предпочёл бы не вписывать мыло, а не пароли.

Необходимость указывать и подтверждать мыло (помимо очевидной возможности восстановления пароля) зачастую делается специально для усложнения процесса регистрации. Если регистрация будет слишком лёгкой, то всякие спамеры и прочие вандалы будут тратить слишком мало усилий для перерегистрации после любого бана — меньше, чем тратит модератор на выписывание этого бана. Когда же используется почта, то приходится в таких случаях каждый раз заводить новый ящик, что довольно трудозатратно, а у честных пользователей какой-то ящик уже есть, поэтому они не особо страдают.

А так да, и я бы предпочёл. Да много кто. У меня на одном сайте так и было — без всякого мыла. Но там спасал синдром Неуловимого Джо.

Ты наверное про тех, кто использует менеджеры паролей (например меня), т.к. запомнить уникальный рандомный пароль для каждого сайта не реально.

То есть раз в месяц (или год) логин по ссылке из почты это настолько неудобно? Личто я бы юзал. Останавливают 2 момента:

- мало у кого подобное есть, а через восстановление пароля - гиморно
- если каждый день логиниться, тогда пожалуй не айс, но мне настолько параноидально не нужно.

Ты наверное про тех, кто использует менеджеры паролей (например меня), т.к. запомнить уникальный рандомный пароль для каждого сайта не реально.

Да, практически из тех (правда «менеджер» своеобразный, с генерацией по инфе и соли).

То есть раз в месяц (или год) логин по ссылке из почты это настолько неудобно?

Как пользователь стима могу сказать, что это люто бесит, хотя и необходимость это делать бывает реже, чем раз в месяц (но наверное чаще, чем раз в год).

мало у кого подобное есть, а через восстановление пароля - гиморно

Что за инфа на сайте? Просто на мой взгляд ответственность за надёжность пароля должна лежать на самом пользователе. Поставил он 12345 — значит ССЗБ, сам виноват, что «взломали». Можно при регистрации и смене пароля писать большими красными буквами, как делать хорошие пароли (не использовать одинаковый на разных сайтах, не делать слишком коротким, не делать простое слово в том числе не в той раскладке и т. д.), по-моему, этого должно быть достаточно. А если пользователь при этом забывает пароль — ну значит пусть ему будет «гиморно» — пару раз восстановит, на третий подумает, не воспользоваться ли менеджером паролей.

На oplata.info так сделано. Лично меня, как ещё одного пользователя менеджеров паролей - бесит.

Я тоже пользуюсь менеджером паролей. IMHO тут вопрос в частоте. Если по нескольку раз в день - конечно будет раздражать. А если раз в год - вроде и пофик, и не надо лишнего в менеджере хранить.

Как пользователь стима могу сказать, что это люто бесит, хотя и необходимость это делать бывает реже, чем раз в месяц (но наверное чаще, чем раз в год).

Окей, твой голос услышан и учтен, спасибо.

Что за инфа на сайте? Просто на мой взгляд ответственность за надёжность пароля должна лежать на самом пользователе. Поставил он 12345 — значит ССЗБ, сам виноват, что «взломали».

Там есть барахолка. Мне наплевать на проблемы баранов, но не наплевать если от имени баранов кидают нормальных людей.

В общем, надежность как в банке не требуется, но совсем положить на нее тоже не получится.

Бесит это, особенно кто на игле менеджера паролей.

От ботов есть каптча, а регистрация по почте бывалого спамера вряд ли сильно затруднит.

И все адекватные пользователи уйдут, потому что это неудобно. Просто смирись с тем, что тупым юзверям не помочь. Где гарантия, что у топого юзверя на почте пароль не 123456?

Понял. А если там «зайти через гугель будет», это решит проблему? Или юзеры пассворд менеджеров альтернативные провайдеры принципиально не юзают?

От ботов есть каптча, а регистрация по почте бывалого спамера вряд ли сильно затруднит.

Тут важно не столько чтобы «сильно», сколько чтобы «сильнее, чем модератора, который забанит очередной аккаунт». Ну и помимо бывалых спамеров бывает обычная шкодная школота, которые забавы ради или из какой-нибудь обиды в виду избытка свободного времени могут флудить какими-нибудь матершинными темами или ответами или чем-нибудь подобным.

А если там «зайти через гугель будет», это решит проблему?

У меня, например, аккаунта в гугле нет. Более того, гугл требует телефон для регистрации, что совсем ни в какие ворота.

Ну я для примера, есть фейсбук, вконтактик и т.п. И речь не лично о тебе, а о «пользователях пасвордменджеров».

Тут важно не столько чтобы «сильно», сколько чтобы «сильнее, чем модератора, который забанит очередной аккаунт».

В таком случа я бы сначала сделал кучу аккуантов, а уже потом начал спамить с них, даже школьник со свободным временем и десятком окон бразуера справится.

А решение проблемы для модерации - бан по ip или бан по спамлисту. Для этих двух способов даже регистрация не нужна.

Мне да, но у некоторого числа пользователей есть идеологические проблемы с Гугелем.

А он не «пользователь пассвордменежджеров»?

Нас уже двое :) . Понимаю, что есть исключения, но хочу пока в мейнстриме разобраться.

Если использовать мыло, то не надо делать ссылкой. Просто на сайте в форме авторизации сделать кнопку «отправить сеансовый пароль». Ну и сам пароль генерить и отправлять на почту (небольшой, символов 8). Ибо почта часто не на этом же браузере или устройстве, где смотришь сайт. Особенно для мобил.

Все это наталкивает на мысль, что неплохо бы пароль совсем выпилить, и сделать логин по одноразовым ссылкам на мыло. Какие есть минусы у подобного подхода?

Тогда сломают мыло, на котором будет тот же пароль - '1234' Альсо, у меня норм менеджер паролей и генерирует он их тоже автоматом. Не вижу смысла, особенно учитывая то, что аналог мыла в IRL - почтовая открытка, на которой любой может прочитать все что угодно.

Останется это мыло узнать. :-)

Ну я для примера, есть фейсбук, вконтактик и т.п.

Этого у меня тоже нет, и:

И речь не лично о тебе, а о «пользователях пасвордменджеров».

Дело в том, что я далкое не один такой. Многие пользователи не хотят регистрироваться там, где требуется телефон. ВКонтактик его тоже требует, и вообще днище, как и фейсбук. Сайты, где регистрация только таким образом, обычно сразу посылаются на три буквы. Если же у тебя там какой-то прямо действительно уникальный сервис, без которого никак не прожить, юзер, конечно, может матерясь и проклиная всех, кто это придумал, создать какой-нибудь фейк в фейсбуке, только вот он от него ещё скорее пароль забудет, чем от сайтика твоего, и проблема не решится, а усугубится. Ну и это ещё хуже, чем подтверждение логина по мейлу.

Вариант «нажмите ссылку либо введите этот код» уже обсуждали тут. Да, эту опцию надо предоставлять, но это не та проблема, которая требует мозгового штурма.

Просто надо предоставлять несколько вариантов.
Примеры:

1. Стандартный пользователь/пароль
2. Код и/или ссылку на мыло
3. OAuth
4. Гугл/соцсети.
5. SMS.
6. QR авторизация.

А решение проблемы для модерации - бан по ip

Tor спасает от бана по IP. Даже динамический IP спасает, если не банить подсетями.

Дело в том, что я далкое не один такой. Многие пользователи не хотят регистрироваться там, где требуется телефон.

Я честно не в курсе предпочтений «обычных юзеров», не линуксоидов. Иначе бы темы не создавал. Вот мне юзеры пасвордменеджеров дружно напомнили, что ломать их паттерны - плохо. Я запомнил. А там где не понятно, много ли таких юзаров - задаю дополнительные вопросы.

Если же у тебя там какой-то прямо действительно уникальный сервис,

Ну в принципе такой :) . Самый крупный русскоязычный сайт по радиуправляемым моделькам. Обходиться без него вполне можно, но не удобно. Альтернативно одаренных, которые назло маме морозят уши я не считаю.

Скажем так, у меня есть возможность подталкивать юзеров к определенным техническим решениям, но я не люблю ей пользоваться без веских причин.

Логин через google, facebook,... как секурно продаваться в рабство?

Всё есть, просто если валить в кучу, получится понос, в котором не реально отковырять полезную инфу.

Я думаю тебе в принципе не надо использовать эмайл.
Сделай так, информацию для входа высылай юзеру ввиде QR кода,
а он пускай хранит его как хочет, хочет как файл на флешке, хочет как распечатанный на принтере рисунок.
Когда юзеру надо зайти на сайт он либо уплодит тебе этот файл при логине обратно, либо инициализирует сессию видеосвязи и показывает тебе этот QR код через вебкамеру.
Понятно что у тебя на сайте кадр из сессии или закаченный фаил поступают на сканер QR кодов который декодирует нужную для логина информацию.

Скажем так, у меня есть возможность подталкивать юзеров к определенным техническим решениям, но я не люблю ей пользоваться без веских причин.

Ну, подталкивать пользователей регаться в соцсетях — зло. Лучше уж по мылу тогда. Геморно, но не настолько.

Но всё же наиболее разумным я нахожу не пытаться изобрести велосипед, а смириться с тем, что юзеры забывают пароли и запрашивают восстановление. По сути это не сильно отличается от постоянного подтверждения мыла, только страдают лишь те, кто сам виноват, что забыл пароль. Кто помнит, или пользуется менеджером паролей — не страдают. Заставлять всех испытывать неудобства из-за идиотов я считаю худшим из возможных вариантов, пусть сами идиоты и испытывают. Можно запретить слишком простые пароли. Хотя это тоже зло (например некоторые непримернно хотят спецсимвол, хотя пароль из 26 случайных букв разного регистра и цифр и без спецсимволов вполне надёжный), так что перегибать с этим не надо.

Регистрация эту проблему тоже не решает. Если нужно можно массу способов придумать, да и списки ip тора никто не прячет.

К примеру, если юзер оставил больше нескольких постов за последние 10 или 20 минут, то для отправки следующего поста ему выдаётся каптча, если несколько постов подряд в одной теме - каптча. Такие ограничения можно вводить как для тех, кто сидит из под тора, так и для всех остальных. И спамлисты никуда не делись, для особо надоевших, банить по ним не обязательно, можно просить ту же каптчу.

Я так делаю (например https://fastek.link/user/login/ ), единственная проблема - иногда письмо попадает в спам, в остальном - мне даже самому удобнее так аутенцифицироваться на сайте.

Ты не так ставишь вопрос. Не надо ставить раком одних ради других. Надо делать так чтобы хорошо было всем (по возможности).

https://dev.rcopen.com/auth/login - вот пример формы логина. Можно вводить пароль, а можно и не вводить :) .

Тему создал чтобы послушать, не предложат ли чего-нибудь получше.

Не надо ставить раком одних ради других. Надо делать так чтобы хорошо было всем (по возможности).

https://dev.rcopen.com/auth/login - вот пример формы логина. Можно вводить пароль, а можно и не вводить :) .

Ну вот так оптимально. И пусть юзер сам выбирает, как ему удобнее.

Но сейчас тоже поле для пароля приделываю. Еще пароль можно установить после аутентификации по ссылке.

- юзеры вводят 123456
- юзеры используют «восстановление пароля», и забывают до следующего логина

второе вытекает из желания бороться с первым, когда «пароль не менее 8 символов, буква в верхнем регистре, цифра и один из [].,;'/ символов обязательно», тогда возникает такая херня

если хочется бодаться с блондинками - простой словарик самых тупых паролей + проверка что он не равен логину и все, потому что Gi4ahp4v ничем не лучше KeyOtKabinetaLora - последний конечно из слов и его может даже быстрее подобрать, только вот после десятка попыток подбора надо показывать капчу, а за это время никто не успеет подобрать

Да, вот это желание обязательного спецсимвола напрягает. У меня пароли по 16+ символов из набора base64, но иногда выходит такое совпадение, что ни одной цифры нет. Раздражает, что не принимает. А если символ требует, приходится ещё и его присобачивать. А вообще лучшие пароли — из 6–7 обычных русских слов, которые легко запомнить. Желательно, конечно, только не какую-нибудь распространённую поговорку или строку из известной песни. Но и тут бывает засада — иногда ограничение на длину пароля бывает, в 32 символа например.

А вообще можно с делать два этапа — мягкий и жёсткий. Жёсткий первый — по простому словарику самых тупых и что не равен логину — вообще не давать зарегаться. Мягкий — проверять эти регистры и наличие цифр, но не разворачивать юзера, а показывать большое окошко, где написано «опасно, ваще совсем плохой пароль, его обязательно взломают, не надо так делать», и внизу совсем маленькая кнопка «я знаю, что делаю и понимаю все риски» для тех, кто хочет себе пароль «Сорок тысяч обезьян в жопу сунули банан!».

и его может даже быстрее подобрать,

Это если заранее знаешь что пароль из слов и без ошибок. А ошибки можно специально делать в пароле.

Пройдено, через месяц другой полностью забывается где и как стоит эта самая ошибка.

Тебя не туда занесло. zxcvbn я само собой использую. Но тут вопрос в глобальном подходе. Как избавиться от пароля в тех случаях, когда он не нужен. И как определить такие случаи вообще.

Логин - пароль. Мыло для восстановления указывать по желанию. Усе, ничего другого не надо. А то воспитали клинических идиотов. Кто не может запомнить пароль - ССЗБ. Кто не заполнил мыло и просрал пароль - ССЗБ.

Пара тройка попадалова и глядишь такой пользователь начнет внимательней относится к своим акам

Может у пользователя спросить, что значит для него регистриркемый аккаунт?
Может он его делает ради единственного поста?

Лишнее слово или два добавить в конец — будет даже надёжнее, чем делать какие-то ошибки, и при этом намного проще для запоминания.

И да, «печатать не в той раскладке» — это вообще всего лишь один бит. Все подбиральщики это учитывают. Совершенно бесполезный приём в этом плане. Правда полезно может быть в случае, если кириллица работать не хочет в качестве пароля (когда-то давно, когда были живы другие кодировки кроме юникода, бывало такое из-за несоответствия кодировок, сейчас уже наверное не встретить).