Пароли, пароли, пароли...

Каждый день мы сталкиваемся с необходимостью вводить пароли на различные ресуры. Итак, ниже я приведу несколько соображений на тему того, какие моменты стоит учесть при тестировании web-приложений, чтобы никто не смог от вашего лица написать злобных комментариев на вашем любимом форуме.

1. Самое, на мой взгляд, очевидное. Ни в коем случае не передавать пароли методом GET. Тем более в открытом, незашифрованном виде. В таком случае, посоветуйте разработчикам обратить их внимание на метод POST.
2. Ограничить количество попыток ввода пароля за промежуток времени. Например, 2 раза за одну минуту. Это существенно усложнит работу брутфорсерам, но не может считаться полным решением проблем с брутфорсом. Если приложение уж очень секретное, то можно развить эту схему. Если происходит очень много попыток входа в систему за определенное время (допустим, полчаса кто-то два раза в минуту пытается полчить доступ к сайту, но у него этого не выходит), отправить письмо владельцу аккаунта с объяснением ситуации и рекомендацией сменить пароль.
3. Возможно введение captcha в случае, если пользователь трижды ввел неправильный пароль. Опять же, это лишь замедлит процесс подбора пароля, потому как существует очень много алгоритмов разпознавания таких картинок.
4. Хранить пароль в cookies тоже только в зашифрованном виде, ведь ваша подружка может подсмотреть пароль к сайту знакомств и оставить вас без ужина на недельку или вообще переехать к маме.
5. Не следует пренебрегать рекомендациями при создании пароля. Желательно, чтобы пароль был не короче 8-ми символов, при этом содержил цифры, спец. символы (в зависимости от ресурса), буквы в различном регистре. Для тестирования устойчивости пароля можно пользоваться утилитой корпорации Microsoft: https://www.microsoft.com/protect/yourself/password/checker.mspx
6. Также не стоит перенебрегать протоколом https при передаче секретных данных.