Зачем при аутентификации используют логин с паролем вместо единственного пароля?

Question

[Егор]

В какую систему не зайди - везде используют минимум связку логин + пароль.
Почему не используют только пароль? Ведь это проще. Все равно приходится помнить его где-то.
Или есть какие-то подводные камни?

Answer 1

[Алексей Уколов]

У нескольких пользователей могут быть одинаковые пароли.

Comments

[Егор]

Логин с паролем также могут быть одинаковыми

[Иван Шумов]

Егор, нет. Логин делают уникальным и не дают людям регистрироваться с уже существующим логином. А в случае с паролем то просто при вводе существующего пароля мы получаем доступ к чужой учётке.

[Сергей Карбивничий]

Егор, Подскажите, где вы такое видели?

[Егор]

Иван Шумов, Но при вводе существующего логина + пароля мы также получаем доступ к чужой учетке

[Алексей Уколов]

Да, но для этого нужно знать чужой логин и чужой пароль. Угадать это сочетание намного сложнее, чем двоим пользователям придумать один пароль.

[Егор]

Сергей Карбивничий, нигде. Но задумался: какой в этом смысл. Мне все равно нужно помнить пароль. Т.е. логин + пароль - это также набор каких букв+цифр+знаков. Так зачем на 2 разных поля их разделять? Надоело помнить какой логин на каком ресурсе.

[Алексей Уколов]

Итак, подводные камни вам перечислили и всё сводится к "надоело помнить"? Ну не пользуйтесь интернетом тогда...
Вы правда думаете, что разработчики всех этих систем хотят усложнить вам жизнь, имея в запасе более простое решение? Апелляция к авторитету, конечно - это не очень хороший аргумент в дискуссии, но в данном случае это скорее апелляция к здравому смыслу.

[Иван Шумов]

Егор, по статистике 90% пользователей имеют пароль в виде последовательности цифр до 8 знаков, зачастую одинаковых. Очень мало кто задумывается о безопасности. при попытке регистрации с тем же паролем человек это очень легко узнает и получит доступ. Что качается логина то он, в большинстве систем является почтой или номером телефона и подтверждается через соответствующий информационный канал что исключает проблему случайного попадания в чужую учетку

Answer 2

[Aleksey]

Во-первых логин уникальный. Как это будет работать в вашем случае? "Извините, пользователь с таким паролем уже существует, войдите если это вы"?

Во-вторых от пароля в БД хранится только хеш. И нет никакой возможности найти пользователя по хешу. Будете всю базу перебирать?

Comments

[Егор]

Ввожу один пароль вместо логин + пароль. В админке указываю путь восстановления через мэйл (или телефон). Пароль должен быть уникальным.

Идея "сырая". Но надоело везде вводить логин + пароль. Нельзя ли уже как-то в 21 веке зайти на сайт, сделать минимальное тело(-умо)движение и все?