Авторизация, ввод пароля, капча

Discussion / Работа «Плантариума» / Forum

Когда измените способ авторизации?! Задолбался по двадцать раз вводить еле различимую капчу! Тыщу раз уже указывал на этот баг, а воз всё ещё поныне там же. Мне что, такой же ресурс создать, чтобы, блин, вы там начали беспокоиться об юзерах?! А?! Юзабилити!!! На самый крайний крайняк после неправильного ввода капчи пускай в форме сохраняется пароль, а то ещё и его перебивать надо.

Засем лугаеся, насяльника? Плантариум денег своему создателю не приносит, а дареному коню, как известно, в зубы не смотрят. Если Вы, Кирилл, можете создать подобный ресурс в сжатые сроки - это характеризует Вас как очень хорошего web-разработчика и как человека, у которого очень много свободного времени. Думаю, что Дмитрий не расстроится: человек он независтливый :) Теперь по поводу юзабилити. У Димы, так сказать, свой взгляд на юзабилити. Мы часто на эту тему спорили. Я говорил, что лучше всего проектировать интерфейс таким образом, чтобы человек, попавший на сайт случайно, смог мгновенно сориентироваться. У Димы принципиально иной подход. Он считает, что сайт Плантариума надо читать, как книгу: внимательно и с расстановкой ("а те посетители, которые не умеют читать, пользы проекту не принесут"). Можно, конечно, с этим не соглашаться, но на это у Дмитрия есть еще один убойный аргумент: "я не юзабилист и не дизайнер, делаю так, как считаю удобным для себя, за свои деньги нанимать хорошего дизайнера и юзабилиста я не буду, поэтому пока все останется так, как есть". Теперь по сути Вашего вопроса. Я сам неоднократно предлагал Диме отказаться от капчи при аутентификации, но он отказывается, приводя в качестве аргумента предотвращение перебора паролей роботами. Если у Вас есть конструктивные предложения, как можно предотвратить эту опасность другими способами, пожалуйста, высказывайте. Если Вам непонятно, что написано на капче, можно щелкнуть на картинке: картинка поменяется, но число сохранится. Если со второго раза еще бывает непонятно, то на третий раз сомнений уже, как правило, нет. Возвращаясь к юзабилити: такую капчу я видел только на Плантариуме, на других сайтах число каждый раз меняется, и щелкать на картинку можно до второго пришествия. Повторного ввода пароля после неудачной аутентификации требуют даже те сервисы, у которых есть возможность привлекать наемный труд и разработчиков, и дизайнеров, и юзабилистов, и уборщиц. Не знаю, с чем это связано. Лучше проконсультироваться со специалистом по безопасности.

Я видел сервисы, где после неудачного ввода капчи, пасс больше вводить не надо. Соббсна, в каком-то смысле, это гугль со своим openid. Если по колхозному - есть два поля для авторизации - пасс и капча, каждый проверяется на верность, если что-то не валидно, обратно отправляется только неверное поле для повторной авторизации. С психологией Димы знаком =) с этим можно только смириться, к сожалению. А насчёт капчи вообще... ну какой в ней смысл.... пять раз пассворд ввёл неправильно, кури пять минут. И никакого брутфорса.

Только давайте будем называть это не психологией, а скажем, принципами построения интерфейса. Да, такой подход приходит в голову. Но неизвестно, что лучше. С одной стороны, мало ли у кого СФЗЫ ДЩСЛ включен, и пока человек разберется, его уже заблокирует, с другой - робота можно через прокси запустить, или ботнет, в конце концов.

Ну десять срабатываний поставить, а чего прокся? Счётчику по барабану с какого адреса идёт аутентификация

А, десять раз на каждое имя пользователя? Тогда да, может сработать. Только это опять же дополнительная разработка.

Кирилл, это же просто графика. Увеличьте её средствами браузера. У Вас браузер не запоминает пароль? Попробуете использовать Firefox - он запоминает.

Запоминать пароль хорошо, когда никто больше компом не пользуется. :) А то как-то паранойя беспокоит - вдруг кто под твоим именем войдет, почту прочтёт, или каких гадостей напишет...

Когда входите в систему на работе - используйте пароль, а потом уже можно не бояться. Большинство людей не хакеры и не влезут к Вам с своего эккаунта - система не даст.

Я имела в виду автоматический вход при посещении сайта. Почему-то некоторые люди используют эту штуку. По-моему, не стоит.

Я, даже со своей лёгкой близорукостью (уже упоминавшейся при разборе вопроса о связи размера и качества снимков) и без очков вполне в состоянии различить ключ страницы на картинке. Если кто-то не читает то, что написано рядом с "капчей" - это его личные проблемы. Если кто-то не может различить цифры в оригинальном размере, то вполне может увеличить размер страницы средствами браузера. "Капча" - оптимальный по соотношению цены и качества способ защиты системы авторизации от атак ботов, и я не вижу смысла от него отказываться. Я авторизуюсь на сайте раза два в день на протяжении почти трёх лет, и меня система авторизации нисколько не радражает.

Ну конечно на каждого, неужель на всех? Дим, а что, вообще никаких тормозов нет на брутфорс? То есть я могу спокойно прикрутить распознаватель капчи и подбирать пароль? Ломаем каптчу Яндекса / Хабрахабр

Можно совсем уж по-детски, увеличить умолчально масштаб капчи: было так а стало так:

Так я сейчас и буду рассказывать на весь Интернет :lol: Не уверен, но думаю, это облегчит программное распознавание картинки - при увеличении размеров шум будет сильнее отличаться от смысловых элементов. А вообще, тему пора закрывать - авторизация работает, и хорошо. Всё равно я в ближайший год-пять переделывать здесь ничего не буду - у меня и так по горло дел с разработкой новой функциональности...

А вот такой вопрос: можно как-то удалить пароль из памяти? Сдуру отметила галочкой, да ещё на рабочем компьютере... На молбиоле есть такая кнопочка - "удалить все кукисы". Помогает в подобных случаях. А куда в IE лезть для удаления пароля - даже не представляю...

Ты имеешь в виду пароль, который браузер сам подставляет в поле "пароль" после ввода логина?

Ага.

Если да, то в IE 8 так: Свойства обозревателя / Содержание / Автозаполнение / Удаление истории автозаполнения / включить опцию "Пароли" / Удалить

Спасибо. Правда, там наверняка более старый IE, но попробую на сл. неделе.