| Murchik пишет: |
| Что спасает, так это что такая логика часто кодится во фронтенде |
Честно говоря сомнительно, обычно всё-таки стандартные бекенд-модули авторизации за это ответственны.
Требования к сложному паролю на самом деле обычно абсурдны, чаще они снижают безопасность, а не повышают. Сложные пароли нужны только против атак, когда к злоумышленнику каким-то образом попадают зашифрованные пароли пользователей, и он уже у себя на машине их пытается расшифровать. Тогда можно проверять миллиарды вариантов, единственная защита – это по-настоящему сложный пароль. Но это редкая история. А когда надо подбирать пароль к сетевому сервису, это уже не работает. Невозможно сделать миллион попыток, никто не будет пытаться делать, обычно модули авторизации такое должны пресекать, банить адрес за большое количество попыток, вставлять капчи и т.п.
Я когда-то смотрел ssh-логи своих серверов, там были постоянные подключения от ботов, но ни разу не видел в логах, чтобы были настойчивые попытки подобрать пароль, хотя бы на несколько десятков вариантов.
С другой стороны, слишком сложный пароль сложно запомнить. Из-за этого велик соблазн везде использовать один пароль, его приходится записывать куда-то, где-то сохранять – в браузере, в файлах, просто на бумажке, и вот здесь как раз возможны атаки, я думаю, что чаще всего именно так доступ получают.
В общем в 99% случаев особо сложные пароли не нужны. Надо только пресекать слишком простые пароли. Во всём нужна мера.
