LINUX.ORG.RU
ФорумTalks

что за новая мода - вводить логин отдельно, потом отдельно пароль?


1

1

сабж. с некоторых пор на особо упоротых сцайтах форма входа выглядит вот так:

логин: [поле ввода]
[войти]
потом (после ввода логина) страница перезагружается, но уже с полем для пароля.
это за что за новые веяния? интерфейс для умственно отсталых, которых наличие больше чем одного поля ввода вгоняет в ступор? или я недостаточно хипстор для таких модно-стильно-молодежных новых технологий?
впрочем, реально же есть люди, которые пишут логин, потом тянутся за мышью, тыкают в поле для пароля пишут пароль, опять тянутся за мышью и тыкают в кнопочку, вместо того чтобы нажать таб и энтер. ну ладно, про таб - это тайное знание, доступное только "тыжпогромистам", но "enter" как бы говорит само за себя...
так вот, это чтобы подобные личности не путали "ой, а куда вводить логин, а куда пароль?" (с учетом того, что оно прямо рядом подписано, часто по-русски)
иначе зачем гонять трафик и лишний раз нагружать эти ваши сервера?

Это новая security фишка. На некоторых особоупоротых сайтах логин это число-буквенная последовательность и на сайте есть защита от сохранятора логина.

Reset ★★★★★ ()

Возможно, на странице логина выдают какой-нибудь токен и таким образом замедляют брутфорс.

Или если в логине есть @специальныйДомен, они переправляют тебя на логин через oauth/что-там-ещё-модно.

x3al ★★★★★ ()

Защита от ботов?

О, кстати, а поняшке такую аву с пюпитром снесли.

chenbr0 ()
Ответ на: комментарий от bvn13

Точно! Вспомнил, еще при логине в Скайп такое есть.

urxvt ★★★★★ ()

Попробуй ввести имя несуществующего пользователя, наверное после этого станет понятно, зачем так делают.

vvn_black ★★★★★ ()
Ответ на: комментарий от x3al

Или если в логине есть @специальныйДомен, они переправляют тебя на логин через oauth/что-там-ещё-модно.

This. Чаще всего так делают именно для этого.

ilammy ★★★ ()

Авторизация может быть не только по логину/паролю, но и через мобильное приложение, email или SMS. Соответственно поле, которое нужно показать пользователю, будет зависеть от введённого логина/email/телефона.

NeOlip ★★ ()
Ответ на: комментарий от Lordwind

кокое-нибудь наверняка динОмическое переиспользование поля ввода, которое авторам кажецца очень продвинутым, а все остальные обоснуи — «поздние рационализации» :)

slackwarrior ★★★★★ ()
Ответ на: комментарий от Lordwind

Это можно и на той же странице делать. Если руки не из жопы.

Делай. Только чтобы в links тоже работало. Мы всё-таки на лоре, надо соблюдать традиции.

NeOlip ★★ ()

Это даёт интерфейс для более сложных и надёжных моделей аутентификации окромя пары логин/пароль. Приучают к горшку так сказать потихоньку, пока можно под себя какать, но это уже не так удобно как раньше. Например, можно вставить этап с n-факторной аутентификацией, или усиленную криптографию для передачи хэша пароля по сети, после предварительной аутентификации пользователя.

pon4ik ★★★★★ ()

про таб - это тайное знание, доступное только «тыжпогромистам»

Есть такое понятие, как default button. Tab нажимать не нужно. Но иногда смузишлёпы-формохлёбы забывают про этот элемент usability. И про tab они тоже забывают, и про существование десктопов.

Suigintou ★★★★ ()

Трафик не гоняется, ангуляр-реакт жеж. Про несуществующий логин только после ввода пароля узнаёшь поди

TooPar ()

Вариант защиты от брута, наверное.

targitaj ★★★★★ ()

Даже в гугле уже так. Тоже смысла не понимаю, но вот

enter как бы говорит само за себя…

на многих сайтах по энтеру, вместо перевода фокуса с поля логина на поле пароля, происходит логин с пустым паролем

d09 ()

Ну с «новой» модой ты явно запоздал.

Таки да, бесит. Что самое интересное - делается это ради веяний моды, а не ради сусурити. Потому что чтобы делать это ради сусурити - надо сначала проанализировать свои ЛОГИ, есть ли брутфорс, по какому принципу ведется, какой процент успешных или около того.

Ржач. Увидел такое на вротпрессовском сайте. Блох. Посещаемость судя по яндекс аналитике - 25 человек в день. Это фиаско, братаны.

windows10 ★★★ ()

Да, не первый раз вижу этот дебилизм. Раздражает страшно.

Miguel ★★★★★ ()
Ответ на: комментарий от d09

Даже в гугле уже так

Потому что логин в google apps может проходить не через сам гугл, а через аутентификацию по какому-то корпоративному ldap, да ещё и с кастомной корпоративной двухфакторкой. И гугл точно это все поддерживает, перенаправляя со своей страницы ввода логина на корпоративную страницу.

Pavval ★★★★★ ()

Модная концепция: если в логине недопустимые символы (ошибся, например), то юзеру не нужно вводить пароль, он получит сообщение об ошибке до заполнения второго поля. Забота.

level1 ★★ ()
Ответ на: комментарий от pon4ik

Например, можно вставить этап с n-факторной аутентификацией

Это намного большее решето, чем пароль. Номера телефонов угоняют. Пароль — очень надёжное средство если правильно использовать, точно надёжнее новомодных методов.

X512 ★★★★ ()
Ответ на: комментарий от voltmod

а авторизая через код в смс

У этого кода вероятность случайно попасть довольно высокая. И номера телефонов угоняют.

X512 ★★★★ ()

Большое количество полей пугает и запутывает 95% пользователей. Т.к. 0 полей не сделать, сделали 1 :)

Ну и еще сейчас много сервисов без логин-пароль, тупо номер + код из смс. Вот и лепят такой шаблон.

KillTheCat ★★★★★ ()
Ответ на: комментарий от X512

У этого кода вероятность случайно попасть довольно высокая. И номера телефонов угоняют.

Но это не их проблемы, так что наплевать. Зато пользователь не сможет логи-пароль забыть.

KillTheCat ★★★★★ ()
Ответ на: комментарий от deep-purple

а что лучше с т.з. безопасности? «неверный логин или пароль» или «неверный логин»?

«неверный логин или пароль»

А при восстановлении пароля всегда успешно завершать фразой: если такой логин/е-mail есть в нашей базе, то на него отправлено сообщение с дальнейшими инструкциями.

gag ★★★★★ ()
Ответ на: комментарий от X512

Ключевые слова тут:

если правильно использовать

Так-то согласен достать из головы правильно выбранный пароль хорошего размера сложнее чем взломать остальное. Другое дело - пользователей никак формально не заставить «использовать правильно», а в более других методах аутентификации у пользователя гораздо меньше возможностей сделать что-то не так.

IT профессионалам нужно понимать, что большинство сервисов в этом мире работают не для них а для рядовых пользователей. Это примерно как автослесарь не поедет на весте - ему страшно, он видит как она устроена. А обычные пользователи смотрят - о! вроде на солярис похожа, надо брать, ещё и дёшево. Только у слесаря есть выбор, а сервис шарит свой интерфейс между всеми пользователями.

pon4ik ★★★★★ ()
Ответ на: комментарий от deep-purple

Типа того, для слесарей есть открытый on-premise где неудобные моменты можно пропатчить и поддерживать в форке. А так же есть возможность(на самом деле нет без учёта пользователей и конкурентов) собрать всё включая детали, узлы и агрегаты с нуля.

Но, хотеть - не значит жениться, на практике несмотря на теоретическую возможность, в основном все ходоки по пути наименьшего сопротивления с пожиранием того, что предлагается пользователю.

pon4ik ★★★★★ ()
Ответ на: комментарий от pon4ik

И тут можно сделать вывод, что моду задают тупейшие, а как подтверждение - вот эти все с дуба рухнувшие кутюрье и вообще современное искусство.

deep-purple ★★★★★ ()
Ответ на: комментарий от deep-purple

Моду задают не всегда тупейшие, но сам модный тренд будучи подхваченным массами выходит обычно каким то извращённым, гипертрофированым и покалеченным представлением изначальной идеи почти в 100% случаев.

pon4ik ★★★★★ ()

Никогда не встречал такого.

навскидку альфобанк. где-то еще видел, сейчас не могу вспомнить.

Это новая security фишка. На некоторых особоупоротых сайтах логин это число-буквенная последовательность

в чем заключается сосурити? и где логин - не "число-буквенная последовательность"?

и на сайте есть защита от сохранятора логина

это кто такой?

Возможно, на странице логина выдают какой-нибудь токен и таким образом замедляют брутфорс

но тогда что мешает его спарсить, скачав страницу тем же курлом? и сохранив куки им же, если оно, например, в куках?

Или если в логине есть @специальныйДомен, они переправляют тебя на логин через oauth/что-там-ещё-модно

для такого рядом с обычной формой входа делают кнопки "войти через гугл/мугл/etc". раньше как-то работало ведь))

Попробуй ввести имя несуществующего пользователя, наверное после этого станет понятно, зачем так делают.

ну так и выдавай ошибку "неверный логин", что там в качестве пароля написано, в этом случае пофиг. опять же, джвадцать лет назад все придумано и до сих пор работает.

Авторизация может быть не только по логину/паролю, но и через мобильное приложение, email или SMS. Соответственно поле, которое нужно показать пользователю, будет зависеть от введённого логина/email/телефона.

да, вот это тянет на правдоподобную версию. про такое не подумал. с другой стороны, кто мешает оставить форму логин/пароль, а для любителей альтернативных способов прикрутить кнопки "войти через жопу телефон/etc"?

Есть такое понятие, как default button. Tab нажимать не нужно. Но иногда смузишлёпы-формохлёбы забывают про этот элемент usability. И про tab они тоже забывают, и про существование десктопов.

я имел в виду таб после ввода логина для перехода в поле "пароль". потом да, просто энтер, и вообще никакой буттон не нужон.

Трафик не гоняется, ангуляр-реакт жеж. Про несуществующий логин только после ввода пароля узнаёшь поди

там, где сталкивался, вполне себе гоняется, индикатор загрузки как бы намекает. по-моему, даже редиректит на новую страницу с чуть другим адресом.

на многих сайтах по энтеру, вместо перевода фокуса с поля логина на поле пароля, происходит логин с пустым паролем

такое не пробовал. а вообще, логично, потому как дефолтное действие для элемента <input> внутри формы - submit. чтобы это изменить, надо костылить, да еще так, чтобы везде работало. поэтому логин - таб - пароль - энтер. жопоскриптов не требует, работает всегда и везде))

Ну с «новой» модой ты явно запоздал.

да я только из криокамеры вылез, а тут такое!

Это намного большее решето, чем пароль. Номера телефонов угоняют. Пароль — очень надёжное средство если правильно использовать, точно надёжнее новомодных методов.

полностью согласен. но печалька в том, что в тех же говнобанках свой очень надежный пароль можно запросто "забыть" и "восстановить" доступ через телефон, т.е. по сравнению с просто телефоном безопасность никак не улучшается (к слову, у одного банка раньше было иначе - если авторизация по паролю, а ты его просрал, то либо дуй в банк, либо в банкомате можно получить временный, т.е. либо лично с паспортом, либо карта с пин-кодом). в таком варианте смысл пароля вообще теряется.

PerdunJamesBond ()

очередная псевдобезопасность. Сначала напозволяют юзерам входить как попало и не иметь пароли в минимум 20 символов, а потом выдумывают как это всё перебороть.

Правда в том, что если хочется, чтобы замок защищал - надо дом из толстенного железа и замок ещё толще. Но даже это можно сломать, если захочется.

ixrws ★★★ ()

Правда в том, что если хочется, чтобы замок защищал - надо дом из толстенного железа и замок ещё толще. Но даже это можно сломать, если захочется.

это если есть что защищать. у обычного человека нет таких тайн, ради которых стоит городить параноидальные системы безопасности. максимум - чтобы жена не увидела перепис(ь)ку с любовницей.

Сначала напозволяют юзерам входить как попало и не иметь пароли в минимум 20 символов, а потом выдумывают как это всё перебороть.

большинство приходит в интырнет котиков посмотреть. нахрена им пароли в 20 символов?
или взять тот же лор. тут весь контент априори публичный, лички нет, взламывать нечего, да что там - люди пароли просто так выкладывают)) давайте требовать пароль не менее 20 символов, и чтоб содержал китайские иероглифы и значки из матана? просто так, чтоб жизнь малиной не казалась)))

PerdunJamesBond ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)