जब वेबसाइटों में पासवर्ड की बात आती है, तो बड़ी मात्रा में बेवकूफियां होती हैं।
- कुछ के विशुद्ध रूप से तकनीकी कारण हैं (मान्य या नहीं, यह एक और सवाल है, लेकिन उनमें से लगभग सभी नहीं हैं):
आपका पासवर्ड चार अक्षरों की लंबाई का होना चाहिए और केवल अंक होना चाहिए।
(पासवर्ड को 0001 .. 9999 सीमा तक सीमित करके, आप बस उन्हें डेटाबेस में एक नंबर, प्लेनटेक्स्ट के रूप में स्टोर कर सकते हैं)
- अन्य कुछ गलत विचारों द्वारा समझाया गया है कि वे पासवर्ड को अधिक सुरक्षित बनाएंगे :
आपका पासवर्ड एक बड़े अक्षर से शुरू होना चाहिए और एक अंक के साथ समाप्त होना चाहिए।
(ऐसा करने से डेवलपर, या प्रबंधक ने मान लिया कि यह वास्तव में उपयोगकर्ताओं को एक सुरक्षित पासवर्ड चुनने के लिए मजबूर करेगा, जबकि नियम के रूप में "आपके पासवर्ड में न्यूनतम 6 वर्ण होने चाहिए और कम से कम एक कैपिटल अक्षर, लोअरकेस अक्षर और एक होना चाहिए।" अंक "जादुई रूप से इसे करने में विफल रहेगा)
- अन्य, अंत में, इस तथ्य से समझाया जाता है कि पासवर्ड को प्लेनटेक्स्ट संग्रहीत किया जाता है , और इस बारे में कुछ अस्पष्टताएं हैं कि वे कैसे संग्रहीत, संसाधित या पुनर्प्राप्त किए जाते हैं, और यूनिट परीक्षण के लिए कोई समय नहीं है।
आपके पासवर्ड में एक अमान्य वर्ण है é ।
या,
आपका पासवर्ड y$₯46¥*A'xD<7&฿=ᴙcN&sF5_Ở!d में कुछ अमान्य वर्ण हैं। केवल लैटिन वर्णमाला और अंकों के वर्णों का उपयोग करें।
या,
आपके पासवर्ड में व्हॉट्सएप अक्षर नहीं हो सकते।
सभी तीन मामलों में, डेवलपर सिर्फ बीमा था कि इस तरह के पासवर्ड सही तरीके से संग्रहीत किए जाएंगे।
पहले मामले में, अगर भेजा éगया तो क्या होगा %C3%A9? या क्या होगा अगर डेटाबेस éगलत तरीके से स्टोर करेगा ?
दूसरे मामले में, क्या होगा यदि PHP (क्यों PHP?) यूनिकोड से निपट नहीं सकता है, और इस तरह से पासवर्ड प्राप्त करने पर कुछ भयानक होता है? क्या होगा अगर <चरित्र परेशानी का कारण बनता है? क्या होगा यदि &चरित्र को एक URL में विभाजक के रूप में व्याख्या की जाती है (यह मानते हुए कि किसी कारण से, पासवर्ड को POST के बजाय GET के माध्यम से भेजा जा रहा है)? क्या होगा अगर 'डेटाबेस द्वारा व्याख्या की जाती है, क्योंकि, लगता है कि, हमें पता नहीं है कि SQL इंजेक्शन क्या है और इससे कैसे बचा जाए? या अगर 'तब्दील हो जाए तो क्या होगा \'?
तीसरे मामले में, क्या होगा यदि PHP (फिर से?) कुछ मामलों में व्हाट्सएप को ट्रिम करता है और दूसरों में नहीं? क्या होगा अगर प्रशासक (जो स्पष्ट रूप से प्लेटेक्स्ट में उपयोगकर्ताओं के पासवर्ड तक पहुंच रखते हैं) खो गए हैं क्योंकि वे केवल एक व्हाट्सएप देखते हैं, जबकि उपयोगकर्ता ने लगातार तीन व्हाट्सएप सेट किए हैं ?
तीनों मामलों में, उन अस्पष्टताओं को परीक्षण के माध्यम से आसानी से हल किया जाता है , विशेष रूप से इकाई परीक्षण। लेकिन बड़ी मात्रा में परियोजनाओं में, कोई परीक्षण नहीं है , और परीक्षण करने का समय नहीं है (लेकिन बाद में डिबग करने के लिए अभी भी बहुत समय है)।
इसका मतलब यह है कि क्या डेवलपर रिक्त स्थान , या यूनिकोड वर्ण, या ASCII 48..57 48 65..90 48 97..122 के बाहर किसी भी चरित्र के संभावित परिणामों के बारे में सोचने की कोशिश करता है (अंक, निचला अक्षर, अपरकेस अक्षर) , सबसे आसान तरीका है, जब परीक्षण संभव नहीं है, बस उन्हें मना करने के लिए है ।
मेरी राय में, यह रिक्त स्थानों के लिए एकमात्र कारण है। यानिस रिजोस ने UX से संबंधित एक और कारण दिया। सिद्धांत रूप में एक प्रशंसनीय कारण होने के नाते, यह व्यवहार में बिल्कुल भी काम नहीं करता है: जो लोग वास्तव में यूएक्स के बारे में परवाह करते हैं, उनके द्वारा बनाई गई वेबसाइटें मूर्खतापूर्ण नियमों को ठीक नहीं करती हैं। इसके बजाय, वेबसाइटें जहां व्हाट्सएप वास्तव में निषिद्ध हैं, उन लोगों द्वारा किए गए अधिकांश भाग हैं जो यूएक्स के बारे में कभी नहीं सुनते हैं । यह विशेष रूप से सच है क्योंकि किसी भी चरित्र को मना करने से वास्तव में यूएक्स बिंदु से कष्टप्रद है, क्योंकि किसी भी पासवर्ड-संबंधित प्रतिबंध, उपयोगी लोगों सहित, न्यूनतम पात्रों के रूप में।