na strankach co som robil sa kontroluje podobnost loginu a hesla - ak je viac ako 80%, tak take heslo nezoberie... rovnako ani heslo, ktore uz maju nastavene 10ti uzivatelia... takze hesla ako "heslo", "k***t", "12345" sa minu relativne skoro a dalsi useri si musia vymysliet dovtipnejsie heslo :)
Obavam se ze odmitnuti hesla z duvodu "uz ho pouziva docela dost uzivatelu" je dost velka bezpecnostni dira (i v pripade ze system explicitne ten duvod nerekne - pokud nedejboze ano, tak to neni dira, ale vrata od stodoly).
registracny formular nepise, ze heslo pouziva uz 10 uzivatelov, ale ze heslo je prilis jednoduche (co najskor bude, ked napadlo 10 userov)
navyse je tam niekolko tisic uctov - 5 zlych prihlaseni po sebe a 1 den zablokovane prihlasenie, s tym ze cez na mail sa zasle link na odblokovanie pre daneho usera.
su v citatelnej podobe - inak by sa nedala prevadzkovat challenge-response authentifikacia... zoberme modelovy priklad - niekto hackne masinu, dostane sa do DB a ma vsetky udaje o uzivateloch, okrem ich hesiel, ktore aj-tak nepotrebuje, kedze k udajom sa dostane priamo v databaze
hesla uzivatelom zasadne neposielam - mzoe si nechat vygenerovat nove heslo, ktore mu bude dorucene na mail zadany pri registracii a az po prvom pouziti sa v systeme nastavi... takze nikto nikomu nezmeni heslo len na zaklade znalosti emailu a loginu, a nikto sa nedostane k povodnemu heslu, cim by hrozilo, ze povodny majitel sa nedozvie a zmene hesla