Open uira opened 7 years ago
ghost
commented
6 years ago @jacsonp @guilhermednt podem ajudar nesta issue? 🙏🏼 🍕 🍫 Estamos aplicando o login em cidades do interior de Minas Gerais e está sendo um fator de desestimulo para as pessoas se cadastrarem 😭
guilhermednt
commented
6 years ago Resumindo (e novas infos) a conversa de ontem no Telegram:
Existem dados embasando esse sentimento? No RS temos mais de 280.000 usuários, centenas de atendimentos todos os meses e, até onde eu sei, 0 reclamações em relação a senha. Pode ser que a baixa adoção seja por outro motivo que ainda não conhecemos. Certa vez estimamos que ~60% dos usuários estavam desistindo de um serviço porque esse serviço faz uma validação adicional dos dados fornecidos e solicita dados adicionais, mas o suspeito, pra variar, foi o Login Cidadão, até mostrarmos que os usuários estavam fazendo todas etapas do LC com quase nenhuma dificuldade... hehehe
Hoje a única diferença entre o Login Cidadão e o Google, por exemplo, é que no LC pedimos que tenha no mínimo 1 número e 1 letra na senha. A seguir temos uma tabela comparando alguns serviços grandes:
| Serviço | Tamanho mínimo | Regra Extra | Exemplo Aceito | Exemplo Não Aceito |
|---|---|---|---|---|
| 8 chars | Algumas exigências não documentadas. Combinações muito simples não são aceitas. | ahbgcfde | abcdefgh | |
| 6 chars | Algumas exigências não documentadas | ahbgcfde | abcdefgh | |
| 6 chars | Similar ao Facebook | ahbgcfde | abcdefgh | |
| Outlook | 8 chars | No mínimo duas maiúsculas, minúsculas, números ou especiais | aaaaaaAA | aaaaaaaa |
No Login Cidadão, o Bundle que foi usado para implementar isso não é muito configurável, se alguém quiser mandar um PR ou sugerir outro Bundle seria excelente, mas eu particularmente não tenho como priorizar essa demanda pela PROCERGS sem evidências de que isso está sendo um problema (de preferência no RS) e por fora da PROCERGS estou com muito pouco tempo.
As configurações de senha são definidas aqui. O ideal é que fosse possível configurar no config.yml que possamos parametrizar via parameters.yml.
Uma solução excelente que foi dada por Alberto Souza é apenas avisar o usuário que a senha não está boa e deixar que a pessoa decida se quer continuar mesmo assim. Claro que ainda será necessário validar um tamanho mínimo para mitigar brute force mas os outros requisitos eu acredito que deveriam ser configuráveis por cada instância.
_Obs.: A única vez que tivemos problemas foi quando tentamos usar Pathwell Topologies, mas isso é configurável (check_pathwell_topologies)_
A senha não precisa ser com letras números e acentos.