Политика паролей
Определение: Политика паролей — это набор правил для создания и использования паролей в системе: какой должна быть длина, что запрещено, как часто можно менять пароль и что делать при подозрительных попытках входа.
Зачем это нужно
- Снижает риск взлома аккаунтов через подбор паролей (brute force) и утечки старых паролей.
- Уменьшает количество «слабых» паролей вроде 123456 и qwerty у сотрудников и админов.
- Помогает стандартизировать безопасность: всем понятно, какие требования обязательны.
- Упрощает реагирование на инциденты: есть правила блокировок, восстановления и смены пароля.
- Повышает защищённость админки сайта и внутренних сервисов без сложных доработок.
Пример
Пример кода:
# Пример политики паролей для админки
MIN_LENGTH=12
REQUIRE_UPPER=true
REQUIRE_LOWER=true
REQUIRE_DIGIT=true
REQUIRE_SPECIAL=true
DENY_COMMON_PASSWORDS=true
PASSWORD_REUSE_BLOCK=10
LOCKOUT_AFTER_FAILS=5
LOCKOUT_MINUTES=15
Смысл: пароль должен быть достаточно длинным и не «популярным», повторение старых паролей ограничено, а при серии неудачных входов включается временная блокировка.
Скриншот
Подпись к скриншоту: настройки безопасности в админке/панели управления, где видно требования к паролю и правила блокировок при неудачных попытках входа.
Частые ошибки
- Делать требования слишком жёсткими без смысла: пользователи начинают записывать пароль на бумажке или повторно использовать один и тот же.
- Не блокировать популярные пароли и не ограничивать число попыток входа.
- Требовать смену пароля «по расписанию» без причины, но не включать 2FA для админов.
- Не иметь процесса восстановления доступа и ответственности: кто сбрасывает пароль и как это контролируется.
Связанные термины
- 2FA
- Brute force
- CAPTCHA
- Rate limit
- Менеджер паролей
- Секреты
Наши услуги
- Техническая поддержка сайтов — настроим безопасный вход, блокировки, роли и контроль попыток авторизации.
- Доработка сайтов — внедрим требования к паролям и 2FA, усилим личный кабинет и админку.
- Создание корпоративных сайтов — запустим проект с базовыми правилами безопасности и правильной архитектурой доступов.