maksi
Если пароль никому не давать(кроме модсостава ЕТП) и адрес почты держать на gmail(соответственно от него пароль тож не давать), ну или адрес несуществующий поставить в профиле - тогда и так никто не взломает и без этих дополнительных способов защиты

Income
В форме авторизации максимальная длинна пароля доступна на 16 символов. Можно использовать практически любые символы, в т.ч. русские в разном регистре.

Согласна, если пароль хороший и хорошо защищен - атаке может подвергнуться только почта админа. К сожалению, джмайл уже часто взлымывать стали, яндекс и майл ру еще чаще. Рамблер вообще поразил меня.  в плане своей "безопасности".
Вот яху неплох в этом плане, но если там не убрать одну галку - почта "торчит наружу" и начинает приходить спам.
Вообщем, не панацея почта с правильным паролем и прочим. Если только она у админа не на своем личном хостинге, со спец. защитой и фаерволлом и мало кому известна.
Можно тем более доп защиту админки сделать опциональной - по желанию админа.
Да и я на самом деле не настаиваю на своем предложении. Просто предложила идею. 

Сделать два поля логин и ник в форме регистрации. Логин будет служить только для входа и в профиле нигде не будет показыватьс

Loki30
Если вы не заметили, в теме чуть больше 200 сообщений. К кому вы обращаетесь? Кому адресуете свой вопрос? Ваш стиль последних сообщений напоминает флуд.

Что то за 10 тел изменилось, было рассмотрено?

Сейчас очень много встречается двухфакторной аутентификации, привязка к телефону или на спец. ключах,
но как то это очень сложно скорее всего для подобных ресурсов.

Самое лучшее наверно что было и остаётся, это разделение прав, т.е. по возможности использовать
только для крайних случаев учётную запись "Супер администратора" и все работы производить
от "обычного администратор" и конечно надеяться на то, что со стороны хранилища ваших файлов
производится грамотное резервное копирование, куда так же доступ ограничен из вне.

И не забывать просить пользователя сменить пароль при первом входе (пусть они даже не меняют
его с виду, оставляют такой же, но т.к. многие новые генераторы могут как минимум использовать
время для создания хеш, то он уже может быть другой).

И спрятать Глав. админа, убрать из статистики, в ином случае абсолютно нет разницы под каким аккаунтом что-то делаешь - под Глав. админом или обычным админом, так как это легко отсеивается по статистике: https://forum.mybb.ru/statistic.php#administration - кто раньше всех зарегистрирован, тот и является Главным администратором.. И это тоже не панацея, потому что на всех форумах профиль Глав админа с ИД 2.. Так что лучше берегите свои ящики...

Отредактировано kolobdur74 (Вс, 9 Сен 2018 19:53:17)