Безопасность VS Комфорт

Хотелось бы поговорить с вами на эту тему. Все мы знаем что безопасность приложения при выше всего. Но, чем больше наращивается безопасность - тем менее удобным становится приложение. Следующие факторы удобства многопользовательского веб-сайта я отмечу:

1. OpenID авторизация, социальная авторизация
Большинство из нас так или иначе имеет свой OpenID аккаунт где угодно, так же у многих есть аккаунты социальных сетей. Использовать кроссервисные авторизации удобно, но лучше правда не использовать js-реализации для этого, так как в многих браузерах (в т.ч. мобильных Opera Mini и тд) будут глюки или вовсе авторизация не пройдёт. Раздражает когда сайт после авторизации OpenID/Social требует дополнить информацию о себе (такую как email например, или пароль). Делать этого не стоит (кинопоиску конечно похуй, его админы не понимают смысл OpenID) - не стоит использовать OpenID как источник заполнения профильной информации для упрощения регистрации. Совмещать OpenID с формальными аккаунтами проблемно и не этично. На формальном аккаунте может быть привязка OpenID (как в VBulletIn 4), для упрощения авторизации. В таком случае будет смотрется еще как-то, но уж лучше тогда сделать чисто OpenID систему авторизаций, чтобы не совмещать OpenID ключи и не делать регистраций. 1 OpenID = 1 аккаунт, без email, без пароля, всё остальное на усмотрение пользователя. Такую реализацию многопользовательского приложения я считаю очень успешной, так как и спам боты не пройдут и от юзера не потребуется мучительная регистрация…

2. Постоянная авторизация (не слетает годами)
Иногда для более успешной безопасности мы ставим разные пароли на разные сайты. И так как мы нигде их не храним (если вы храните то вам повезло) то часто забываем свой пароль к тому или иному ресурсу (я держу в голове порядка 10 паролей, но всё же часто пользуюсь системами восстановления доступа). В такие моменты слетевшая авторизация кажется адом. Иногда она может разозлить даже если вы помните свой пароль, но вам тупо лень его вводить. Поэтому я считаю нужно делать постоянную авторизацию всегда, и продлевать куки если их срок подходит к концу. Конечно это удар по безопасности для многих, но чем бы дитя не тешилась лишь бы не вешалась…

3. Пароль устанавливаемый сайтом/Манипуляции с паролем пользователя/Просьба сменить пароль/Поставить пароль сложнее
Когда то на ящике у меня стоял пароль 1111, и меня не ебало сложный он или нет, я сам его поставил и я отлично его помнил. Никто меня не взламывал - всем на меня и мой ящик было похуй. Я считаю не стоит нагружать пользователя своими парольными законами. Если уж ставить пароль то пускай пользователь сам выбирает его. Одна моя подруга например все время ставила везде пароль 02, незнаю как сейчас но, тогда ей было пофигу, думаю что и сейчас пофигу…
Дико раздражает когда сайт просит поменять пароль по истечению некоторого времени "для безопасности". В частности phpbb3 обладает таким функционалом. Не советую включать данную функцию даже если вы безумно любите безопасность. Лучше пользуйтесь презервативами.

Я считаю что превыше всего не безопасность а комфорт, а ещё лучше когда и безопасность и комфорт совмещены.