Размышления о паролях

Почти ежедневно я сталкиваюсь с необходимостью регистрации в разных сервисах. Некоторые из них хранят важные персональные данные, те же Госуслуги, клиент-банк или личный кабинет налогоплательщика. Но есть и такие, которые не знают обо мне ничего супер-важного. Максимум, собирают телефон и email, которые я итак не слишком-то скрываю. При этом, почти все сервисы просят невероятно сложный пароль:

  • Не менее 6-8 символов
  • Маленькие и заглавные буквы
  • Числа и специальные символы

Знакомо? Оставлю тут пару соображений с точки зрения пользователя.

Размышления о паролях

Не все сервисы одинаково важны

Одно дело встречать подобные требования к паролю на Госуслугах или в личном кабинете налогоплательщика. Совсем другое, когда меня заставляют изощряться там, где это не нужно. Например, когда я пытаюсь подключить бесплатную пробную подписку какого-то информационного или обучающего ресурса.

Как и большинство пользователей, я не собираюсь возвращаться на ресурс после окончания пробного периода (средняя конверсия из триала в платную подписку всего 35%).

Так зачем же заставлять пользователя сразу придумывать сложный пароль? Когда можно предусмотреть другой сценарий: предлагать пользователю усложнить пароль или подключить двухфакторную аутентификацию только тогда, когда в сервисе появляются персданные или данные об оплате.

А если сервис в целом не заточен на сбор и хранение таких данных, не стоит усложнять клиентский путь по привычке или потому что «все так делают, мы чем хуже». Всё должно быть обоснованным.

Кстати, с точки зрения безопасности, использование цифр и специальных символов (@#=?\) обосновано. Но мы всё дальше уходим от десктопа в сторону мобильных устройств. А вот набрать сложный пароль на телефоне – это уже ежедневная трата драгоценных секунд и минут. Просто представьте пользователя, который вынужден сидеть и переключать клавиатуру туда-сюда.

Чем сложнее, тем легче

Не секрет, что чем сложнее пароль, тем легче его забыть. Чтобы упростить себе жизнь, пользователь точно пойдёт одним из этих путей (других я просто не знаю):

1) Если не сильно бдит за безопасность – будет придумывать простые пароли.

2) Если бдит чуть сильнее – придумает надёжный пароль, но будет использовать его везде. Что, как известно, не сильно лучше первого варианта.

3) Если бдит хорошо – создаст систему генерации паролей для каждого ресурса. Пример такой системы неплохо описан в этой статье.

Получается следующая картина: я среднестатистический пользователь, не сильно бдящий за безопасность (а таких большинство). Чем больше с меня требуют сложные пароли, с цифрами и спецсимволами, тем чаще я буду упрощать их или использовать везде один и тот же.

Забавный парадокс.

33
1 комментарий

Самое главное не ставить один и тот же пароль на все,но это очень тяжело сделать