Что такое безопасность пользователя сайта и почему это важно?
Пользователь, в первую очередь, это запись в базе данных, которая позволяет авторизоваться на сайте используя комбинацию логин и пароль. А во вторую, пользователь - это набор прав и ограничений внутри сайта, в том числе права на изменение данных на сайте и доступ к административной части.
Как защитить пользователя на сайте?
Первое, на что стоит обратить внимание - как раз комбинация логин и пароль пользователя и как следствие - авторизация пользователя на сайте. Чтобы вход на сайт стал безопаснее, следует придерживаться несколько несложных условий, таких как:
● Использовать безопасное SSL соединение,
● Использовать безопасную авторизацию,
● Усилить пароль пользователя.
Веб-сайтов с SSL соединением в современном мире стало гораздо больше, всё чаще администраторы заботятся о безопасном, зашифрованном соединении, браузеры диктуют свои правила, включая SSL-соединение в обязательные требования к сайту - таким образом и передача паролей в открытом виде уходит в историю.
SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений.*
Безопасная авторизация - штатный инструмент системы управления сайтом 1С-Битрикс "Безопасная авторизация" главного модуля системы, который позволяет обеспечить дополнительное шифрование передачи пароля используя хеширование по алгоритму SHA-512. Это не замена SSL, а незаменимый помощник.
Усиление пароля пользователя
Этот вопрос давайте разберем подробнее. Если речь идет об усилении пароля, значит бывают и слабые пароли? - Да, бывают...
Слабый пароль - пароль, который может быть легко угадан или подобран методом полного перебора.
По данным компании Hive Systems за 1 квартал 2025 года количество атак с прямым подбором паролей выросло в 3 раз, а скорость подбора и вовсе подскочила в 24 раза, и чем доступнее становятся вычислительные мощности, тем активнее их применяют для подбора зашифрованных паролей, а значит и нам стоит усилить пароль.
В 2024 году пароль из 10 символом подбирается за 1 день, а в 2025 году уже за 1 час.
Как усилить пароль? Следуем простым правилам!
1. Задайте требования к паролю
Система позволяет усложнить требования к паролю пользователя, установить минимальную длину пароля, добавить обязательную проверку строчных и заглавных символов, использования цифр и специальных символов.
2. Обеспечьте регулярную смену пароля, особенно для группы Администратор
Сложный пароль - хорошо, а регулярная смена сложного пароля еще лучше!
3. Будем проверять пароль по базе слабых паролей
В системе предусмотрен и функционал проверки слабых паролей по базе данных. Базу можно пополнять из открытых источников, а также загрузить свою.
База паролей хранится на сайте и может быть обновлена, допускается загрузка файлов в .txt формате.
Стоит отметить, что пароль в базе данных сайта хранится в зашифрованном виде с использованием хеш-отпечатка ключа часть которого формируется от пароля, а другая часть - динамическая, по этому утечка хеш-пароля из базы данных не даст явного приемущества злоумышленнику для подбора пароля с использованием словарей.
Как только пароль будет скомпрометирован, он сразу попадет в базы данных известных паролей и в словари для подбора, а значит следует для разных сайтов использовать разные пароли.
Подведем итоги:
Как мы уже упоминали, основа безопасности пользователей — это надежный пароль. Он должен быть сложным и регулярно меняться. Это особенно важно сегодня, когда технологии и мощности злоумышленников растут, а значит, и наши пароли должны становиться только крепче.
Меняйте пароли регулярно, делайте пароль сложнее и не используйте одинаковые пароли для разных сайтов. А для хранения пароля можно использовать различные сервисы и решения.