Ви, напевно, пам’ятаєте з казок, що секретні слова здатні рухати гори і відкривати печери з коштовностями. Слова «Сім-Сім, відкрийся» з казки про Алі-Бабу і сорок розбійників працюють за схожим принципом, що й сучасні паролі на сайтах. Однак, забезпечення ідеальної роботи паролів — це складне мистецтво. Крім того, це одна із запорук безпеки сайтів. На щастя, Drupal дає вам багато можливостей для цього — як завдяки своєму вбудованому функціоналу, а також величезній кількості контрибних модулів.
Паролі: якими вони повинні бути?
На перший погляд здається, що тим складніші вимоги до паролів ви встановите, тим кращим буде результат в плані безпеки. Однак, іноді це може спрацювати й протилежним чином.
Наприклад, якщо ви змусите користувачів створювати паролі зі строго визначеною кількістю букв та цифр — ймовірно, що вони не зможуть їх запам’ятати і будуть їх десь зберігати. А якщо вимагатимете регулярну зміну паролів в цілях безпеки — є шанс, що вони не захочуть ламати собі голову і почнуть придумувати надто слабкі варіанти.
Крім того, не варто забувати, що для початку потрібно взагалі переконати користувачів реєструватися, тоді як ніхто не хоче робити «зайвих рухів».
Отже, вам потрібне гарне поєднання строгості та юзабіліті. Ця пропорція великою мірою залежить від того, які «коштовності» зберігаються в конкретній «печері» — наприклад, якщо сайт передбачає процес оплати, він заслуговує на більш складний «фейс-контроль». Крім того, є інші засоби підвищити безпеку паролів, які нічого не вимагають від користувачів.
Давайте подивимось, як модулі Drupal дозволять вам врахувати всі ці та багато інших тонкощів, щоб ви могли обрати саме те, що потрібно вашому сайту. Це буде суміш модулів для Drupal 7 та Drupal 8, одні з яких уже доступні для обох версій, а інші — в активній розробці.
Деякі корисні модулі Drupal для роботи з паролями
Цей модуль дозволить вам встановити ряд вимог до паролів користувачів. Вони включають: розмір, цифри, регістр, пунктуацію та багато іншого. Ви можете визначити, які саме символи та у яких кількостях повинні вживатися в паролі. Модуль також дає можливість обмеження терміну дії паролю. У версії для Drupal 7 є функціонал «чорного списку», куди ви можете додати найбільш вживані слова зі словника, аби їх не можна було використати і пароль не вийшов надто слабким.
Якщо ваш сайт цього потребує, додайте ще один «замок на двері», впровадивши контрольні питання під час процедури логінації та зміни паролю. Модуль допоможе вам зробити це в дуже гнучкий спосіб, з використанням різноманітних налаштувань.
Two-factor Authentication (TFA)
А ось не просто замок, а подвійний замок. Модуль TFA додає ще один крок до процедури аутентифікації. Це може включати в себе одноразові паролі, коди, надіслані через СМС, попередньо згенеровані коди, а також інтеграцію зі сторонніми сервісами (Authy, Duo і т.д.). Модуль шифрує конфіденційні дати, використовуючи бібліотеку mcrypt для PHP.
Не потрібні особливі замки? Якщо ви справедливо вважаєте, що в цьому немає необхідності на вашому сайті (і якщо ви подумали двічі), можете вимкнути перевірку надійності паролів і дозволити користувачам почуватися вільно під час реєстрації. В цьому випадку юзабіліті грає першу скрипку.
Люди цінують зручність єдиного логіну. Ось модуль, який дозволить їм реєструватися та авторизуватися на сайті, використовуючи акаунти в соціальних мережах. Список включає в себе Facebook, LinkedIn, Twitter, Amazon, Disqus, Pinterest, Instagram, Foursquare та інші — загалом 30+.
Якщо користувач допустить помилку під час внесення своєї електронної адреси в форму реєстрації, це може бути сумно, адже він не отримуватиме підтвердження реєстрації та інших важливих листів. На щастя, є модуль, який перевіряє, чи адреса дійсно існує — спочатку на рівні домену, а потім — на рівні власне логіну.
Додайте захисту завдяки силі HTTPS. Якщо сайт доступний через HTTP та HTTPS, модуль Secure Login подбає про те, щоб форми логінації (або інші сторінки на ваш вибір) пересилался саме через HTTPS, тож паролі будуть сховані від зайвих очей.
Обмежте кількість спроб логінації з використанням зручного адміністративного інтерфейсу, який вам подарує модуль Flood control.
Підсильте ефект обмеження спроб логінації, забезпечивши блокування джерел підозрілих запитів. Модуль, який пропонує автоматичний інструмент файрволу, готовий вам допомогти.
Username Enumeration Prevention
Коли хакери знають логіни користувачів на сайті, вони можуть пробувати атаки так званим методом грубої сили. Модуль Username Enumeration Prevention ускладнює для них можливість дізнатися ці логіни.
Це лише деякі чудові модулі для роботи з паролями в Drupal. Удачі вам у використанні їх для вашого сайту!
А ми можемо підсилити вашу удачу, або ж трансформувати її в 100% позитивний результат — вам лише потрібно зв’язатися з нашими крутими друпалістами, які готові допомогти в будь-якому питанні оптимізації сайтів.