Раніше слово «пароль» використовували для визначення різного роду захисту, наприклад, для входу у місто та безпечного пересування по ньому. У наш час паролі виконують роль захисту фізичної інформації (документів в сейфах, грошей в банках, речей у багажі), а також цифрової інформації на жорсткому диску, девайсах і, що найбільш розповсюджено, веб-сайтах.
Паролі, їхнє тестування та використання
Пароль (Password) - умовне слово або набір знаків, призначений для підтвердження особистості або повноважень. Паролі використовуються на веб-сайтах для захисту інформації від несанкціонованого доступу.
На даний момент немає єдиного формату створення паролей, тому кожен інтернет-ресурс, який вимагає авторизацію, має свої вимоги до пароля. Деякі сайти не ставлять обмежень, навіть за мінімальною кількістю символів, а інші ж натомість - вимагають забагато. Нерідко серед вимог до пароля можна зустріти одночасну наявність рядкових і великих літер, спеціальні символи, числові значення тощо. Безсумнівно подібний пароль стане відмінним захистом, але не тільки від зломщиків, а й від самого користувача. Скоріше за все, він забуде придуману комбінацію вже через кілька годин. Вже давно існують спеціальні програми та розширення для браузерів (зазвичай вбудовані), що можуть автоматично генерувати надійні паролі та зберігати їх в зашифрованому вигляді. А ті, хто вважає за краще розраховувати на власну пам’ять, на просторах Інтернету можуть знайти чимало рекомендацій з запам’ятовування складних комбінацій - від використання рифм до візуалізації.
В ідеалі в полі пароля не повинно бути обмежень за видами символів, що вводяться. І, в цьому випадку, не зайвою буде підказка користувачеві, наскільки складний пароль той створив. Якщо дозволити вводити всі значення з клавіатури — від букв і цифр до спецсимволів і пробілів — то це ускладнить роботу зловмисників з підбору пароля для злому акаунта. На жаль, не всі користувачі відповідально ставляться до захисту своїх даних, та не використовують можливості, які їм надають розробники.
Існує перелік найпопулярніших паролів, які погано підходять для захисту персональних акаунтів та інших даних, але які, тим не менш є найпопулярнішими. Ось приблизний ТОП-10 таких паролів:
- 123456
- password
- 12345678
- qwerty
- 123456789
- letmein
- 1234567
- football
- iloveyou
- admin
Даний перелік зайвий раз підтверджує те, що найгіршими паролями є прості набори цифр та короткі загальні слова. У порівнянні з ними навіть комбінація qwerty12345678 служитиме надійним захистом. Щоб не стати жертвою зловмисників, важливо створювати складні паролі з буквами різного регістру та кількома видами інших символів. Для тих, кому складно створювати такі паролі, існують спеціальні генератори, як у вигляді окремих сайтів, так і функцій в браузерах. Наприклад, Google Chrome може запропонувати варіанти надійних паролів на реєстраційній сторінці сайту за допомогою позначки ключа в полі пароля. Ось тільки, окрім як за допомогою функції збереження пароля в браузері, запам’ятати їх для звичайної людини не є можливим. Однак, в Інтернеті можна знайти багато рекомендацій з запам’ятовування паролей - від використання рифм до візуалізації. Ми зачіпати цю тему в даній статті не будемо.
Тепер, маючи уявлення про суть пароля та проблеми, які найчастіше з ним пов’язані, розглянемо, що необхідно тестувати в полі для його введення. Окрім перевірок на відповідність стандартам графічного інтерфейсу, таких як форма, розташування та зовнішній вигляд поля, слід виділити наступні рекомендації з тестування:
1. Правила валідації.
Перед початком тестування необхідно звіритися із правилами валідації, які були описані в специфікації вимог. Як вже згадувалося, деякі продукти мають власне уявлення про правильність пароля, тому не варто створювати баг-репорт про те, що пароль із шести цифр не приймається, якщо це суперечить вимогам замовника.
2. Обов’язковість полів.
Необхідно переконатися, що поля «Пароль» і «Повторіть пароль» — обов’язкові до заповнення, та мають бути заповнені ідентичними значеннями.
3. Приховування символів.
Якщо в правій частині поля може знаходиться кнопка увімкнення/вимкнення відображення пароля, то дані в цьому полі за замовчуванням повинні екрануватися кружечками, крапками, зірочками або іншими умовними позначками за кількістю введених символів — на що вистачить фантазії замовника. Правильність роботи кнопки-перемикача також потрібно протестувати. Зазвичай вона відображена у вигляді ока.
4. Кросбраузерне тестування.
Не варто забувати тестувати пароль в різних браузерах. Наприклад, в Safari є кнопка для підлаштування пароля, і якщо розробники не врахували цей момент, то ця кнопка може накладатися на сусідню кнопку-перемикач.
5. Старі паролі.
Поле пароля на сайті є не тільки в формі реєстрації, але й на сторінці редагування особистих даних. Бажано, щоб старі паролі від одного акаунта зберігалися в базі даних, і система не дозволяла змінити пароль на той, який вже колись використовувався. Задля безпеки важливо, щоб кожний новий пароль користувача відрізнявся від попередніх та був унікальним в рамках одного облікового запису.
6. Відображення правил.
Правила, за якими користувачу потрібно заповнити поле пароля, повинні відображатися поряд із самим полем ще до того, як користувач відправить форму.
7. Валідації до та після відправки форми.
Тестувальник повинен знати, коли саме проводиться валідація полів. На більшості сучасних сайтів біля поля з’являється підказка з переліком помилок, які допустив юзер, ще до того, як він відправив форму.
8. Індикатор складності.
Зазвичай розробники додають його, щоб стимулювати користувача на створення більш складного пароля для кращого захисту акаунту. При тестуванні індикатора складності необхідно переконатися, що для визначення складності враховується не тільки кількість символів, а й різноманітність їх типів.
Ці перевірки допоможуть протестувати поля паролів та знайти основні помилки, які заважають продовжити взаємодію з продуктом та зайти далі форми реєстрації. Важливо пам’ятати, що користувач — це головний критик, і перше враження клієнта від програмного забезпечення відіграє найважливішу роль для будь-якого бізнесу.
