Top.Mail.Ru

Что такое безопасность пользователя сайта и почему это важно?

Пользователь, в первую очередь, это запись в базе данных, которая позволяет авторизоваться на сайте используя комбинацию логин и пароль. А во вторую, пользователь - это набор прав и ограничений внутри сайта, в том числе права на изменение данных на сайте и доступ к административной части.
IMG_2796.PNG

Как защитить пользователя на сайте?

Первое, на что стоит обратить внимание - как раз комбинация логин и пароль пользователя и как следствие - авторизация пользователя на сайте. Чтобы вход на сайт стал безопаснее, следует придерживаться несколько несложных условий, таких как:

  • Использовать безопасное SSL соединение,
  • Использовать безопасную авторизацию,
  • Усилить пароль пользователя.

Веб-сайтов с SSL соединением в современном мире стало гораздо больше, всё чаще администраторы заботятся о безопасном, зашифрованном соединении, браузеры диктуют свои правила, включая SSL-соединение в обязательные требования к сайту - таким образом и передача паролей в открытом виде уходит в историю.

SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений.*
*Цитата из курса 1С-Битрикс: Администратор. Базовый.

Безопасная авторизация - штатный инструмент системы управления сайтом 1С-Битрикс "Безопасная авторизация" главного модуля системы, который позволяет обеспечить дополнительное шифрование передачи пароля используя хеширование по алгоритму SHA-512. Это не замена SSL, а незаменимый помощник.

Рис_1_Безопасная авторизация.png
Рис. 1- Безопасная авторизация 

Усиление пароля пользователя

Этот вопрос давайте разберем подробнее. Если речь идет об усилении пароля, значит бывают и слабые пароли? - Да, бывают...

Слабый пароль - пароль, который может быть легко угадан или подобран методом полного перебора.


По данным компании Hive Systems за 1 квартал 2025 года количество атак с прямым подбором паролей выросло в 3 раз, а скорость подбора и вовсе подскочила в 24 раза, и чем доступнее становятся вычислительные мощности, тем активнее их применяют для подбора зашифрованных паролей, а значит и нам стоит усилить пароль.


В 2024 году пароль из 10 символом подбирается за 1 день, а в 2025 году уже за 1 час.*

* По данным Hive Systems.

Как усилить пароль? Следуем простым правилам!

1. Задайте требования к паролю
Система позволяет усложнить требования к паролю пользователя, установить минимальную длину пароля, добавить обязательную проверку строчных и заглавных символов, использования цифр и специальных символов.
Рис_2_Требования к паролю.png
Рис. 2 - Требования к паролю

2. Обеспечьте регулярную смену пароля, особенно для группы Администратор
Сложный пароль - хорошо, а регулярная смена сложного пароля еще лучше!
Рис_3_Смена пароля.png
Рис.3 - Смена пароля 

3. Будем проверять пароль по базе слабых паролей
В системе предусмотрен и функционал проверки слабых паролей по базе данных. Базу можно пополнять из открытых источников, а также загрузить свою.
Рис_4_Проверка слабых паролей.png
Рис. 4 - Проверка слабых паролей 

База паролей хранится на сайте и может быть обновлена, допускается загрузка файлов в .txt формате.

Рис_5_База слабых паролей.png
Рис. 5 - База слабых паролей 

Стоит отметить, что пароль в базе данных сайта хранится в зашифрованном виде с использованием хеш-отпечатка ключа часть которого формируется от пароля, а другая часть - динамическая, по этому утечка хеш-пароля из базы данных не даст явного преимущества злоумышленнику для подбора пароля с использованием словарей.


Как только пароль будет скомпрометирован, он сразу попадет в базы данных известных паролей и в словари для подбора, а значит следует для разных сайтов использовать разные пароли.


Подведем итоги:

Как мы уже упоминали, основа безопасности пользователей — это надежный пароль. Он должен быть сложным и регулярно меняться. Это особенно важно сегодня, когда технологии и мощности злоумышленников растут, а значит, и наши пароли должны становиться только крепче.


Меняйте пароли регулярно, делайте пароль сложнее и не используйте одинаковые пароли для разных сайтов. А для хранения пароля можно использовать различные сервисы и решения.