Как угробить безопасность аккаунта и заставить всех себя ненавидеть, или почему контрольные вопросы - злейшее зло?

Как и всякий журналист, я достаточно часто куда-то летаю. Конференции, выставки, прочее. Обычно стараюсь брать билеты так, чтобы авиакомпания входила в альянс SkyTeam (за мили удобно покупать билеты Аэрофлота, а он летает много куда), но это получается не всегда. Так что, у меня есть карточки и других альянсов. В том числе, мили Star Alliance я держу в United. Не спрашивайте меня, почему, так исторически сложилось. 

С юзабилити сайта  у ребят всегда был полный швах — в частности, меня больше всего бесило то, что залогиниться через е-мейл нельзя никак, только с помощью номера участника. Номер в каждом письме не присылают (в отличие от того же Аэрофлота — он везде его ставит), а наизусть я его не запоминаю, потому как летаю «старзами» редко. 

И вот, приходит мне на почту письмо — мол, мы меняем алгоритм логина, теперь все будет хорошо, можно будет даже с помощью e-mail войти в личный кабинет. «Ура!» — думаю я, и тыкаю по ссылке. И, сначала все понятно, а потом передо мной предстает вот такая картина. 

Чтобы пройти дальше, нужно дать ответ на пять, ПЯТЬ вопросов. И вот здесь я вынужден признаться.

Я ненавижу вопросы для восстановления паролей. Во-первых, потому что они небезопасны (например, «девичья фамилия матери» — это же можно узнать). А во-вторых, потому что ответы на некоторые вопросы через несколько лет могут поменяться. Например, «ваше любимое блюдо» — и пойди, через 5-10 лет вспомни, какое у тебя было любимое блюдо ТОГДА. 

Более-менее все хорошо, когда вопросы можно вписывать.  У меня есть несколько вопросов, ответы на которые реально знаю только я, и которые никогда-никогда не забуду. Как видите, здесь вопросы надо выбирать. Не тот случай. Список тоже не то чтобы очень богат. 

 

Вопросики еще такие подобрали, что на них не всегда можно дать однозначный ответ. Но дальше больше. Оказывается, специалисты по безопасности United жестко запрограммировали не только вопросы, но и...
Ответы.


Любишь какой-нибудь экзотический инструмент? Фиг тебе, а не контрольный вопрос.  Нечего тут выпендриваться и показывать свои никчемные знания, всем наплевать, что ты любишь звук Кифары или тебе по душе турецкий Саз. 


Нравится тебе в теплую погоду ходить и любоваться звездами (предположим, что ты это хорошо запоминаешь). Нет, уж будь добры выбирать, бейсбол, музыкальные фестивали, или там бег.  Зато с породами собак ребята не поскупились, вгрузили туда весь справочник на несколько экранов. 


В общем, если я когда-нибудь буду писать  книгу про то «как всех удивить и сделать самый ужасный интерфейс в истории», этот пример по праву займет лучшее место.
Об авторе
Отвечаю за техническую часть блогов ixbt.com
Пишите в личку или на e-mail mp на ixbt.com
+5 0 9006 16
Автор mpanius Рейтинг +74.95 Сила 185.39
Блог Моя техническая жизнь 43 138 RSS

16 комментариев

vesely_pupok
Сложно придумать более извращенный способ отпугнуть от себя клиентов. Наверное, делать логику восстановления пароля попросили программиста. 
approcher
В  жизни  всё  больше  бреда. Непонятна наша   дальнейшая  перспектива.  
100000738534323@facebook
Как раз тут все по логике и безопасно.
Вам все равно придется входить в аккаунт, как раньше — без номера телефона.

Т.е. безопасность аккаунта осталась на том уровне, который был вчера и Вас удовлетворял, раз ПейПел Вы пользовались. А новый пункт безопасности Вы получите лишь после того, как сможете залогиниться по старым правилам.  
bagamax
Пин по смс защищает от компрометации пароля. Если телефон можно поменять без авторизации то вся схема теряет смысл и ни от чего более не защищает.
100000738534323@facebook
Специально проверил правила входа в аккаунт ПейПел. Зашел так, якобы потерял данные. Никаких проблем указанных Вами не обнаружил.

Возможно у Вас аккаунт позволяющий получать переводы денег и логин в него происходит по другому, не как у меня: аккаунт только для покупок в интернете и никакой телефон ему не нужен.
100000738534323@facebook
В каком месте Вы нашли прореху — не понимаю? Как Вы заходите в ПейПел, можете написать пошагово?
100000738534323@facebook
Теперь понял.  
Но, как сделать так, чтобы получать СМС с кодом для входа в мой аккаунт ПейПел — не нашел. ))
bagamax
Неприсоединение есть единственный действенный способ борьбы с мудаками, но практиковать его все сложнее — они окружают и водят хороводы.
100000738534323@facebook
А примеры? ))
Мой пример — работа с закладками в Опере. Особенно, если Вы пользуетесь панелью закладок — полоской с закладками под адресной строкой. 
dioxin
Совсем не обязательно честно отвечать на вопросы, можно вбить длинный код и спокойно забыть, все равно этим никогда пользоваться не придется.
Последний раз редактировалось
mpanius
Не вбить!!! Выбрать!!!
dioxin
Ой, я по диагонали прочел) И правда бред. Надо требовать внести список девичих фамилий всех матерей, что бы каждый на земле мог честно указать))

Добавить комментарий