PoliciesПолитика паролей

Политика паролей

Наш подход к безопасности паролей и лучшим практикам

В Appbox мы серьезно относимся к password security и внедряем несколько уровней защиты ваших credentials. Эта policy объясняет, как мы обрабатываем passwords, и дает рекомендации, которые помогут вам создавать strong, secure passwords для сервисов Appbox.

Password Storage в Appbox

Appbox использует industry-standard security platforms, чтобы обеспечить seamless user experience. Следующие разделы подробно описывают, как мы управляем passwords в разных системах.

Client Area (WHMCS)

Appbox Client Area, работающая на WHMCS, обрабатывает account management, service provisioning, communications и payments. Ваш password в этой системе безопасно хешируется с использованием Bcrypt, современного cryptographic algorithm, специально созданного для password security.

Appbox Control Panel

Наша Control Panel предоставляет centralized interface для управления вашими Appbox services, installed applications и account settings. Она построена на secure frameworks с modern authentication standards.

Control Panel Login Password

Password, который вы используете для доступа к Appbox Control Panel, защищен с помощью bcrypt, adaptive hash function на основе симметричного блочного шифра Blowfish. Наша реализация использует Phalcon security component, который применяет PHP-функцию password_hash с strong work factors для оптимальной безопасности. Это означает:

  1. Каждый password hash включает unique salt для предотвращения rainbow table attacks
  2. Hashing algorithm намеренно медленный, чтобы снижать риск brute force attempts
  3. Work factor (cost) установлен так, чтобы сделать атаки computationally expensive
  4. Наша система может перейти на новые algorithms, например Argon2i, когда это понадобится для enhanced security

Этот industry-standard approach предотвращает раскрытие passwords даже в случае database compromise.

Application Passwords

Passwords для приложений, установленных через нашу Control Panel, хранятся в plaintext и доступны как вам, так и support team Appbox. Эта доступность необходима, чтобы предоставлять technical support, когда вы запрашиваете помощь. Наша support team будет получать доступ к вашим приложениям только если вы явно запросите помощь через наши официальные support channels. Мы рекомендуем устанавливать temporary passwords, если вам нужна поддержка по конкретному приложению.

Third-Party Application Passwords

Некоторые приложения могут хранить authentication credentials и sensitive information в plaintext как часть своей стандартной функциональности. Это поведение находится вне контроля Appbox и определяется разработчиками приложений. Ваше Appbox environment защищено так, что только вы можете получить доступ к собственным данным, обеспечивая изоляцию между пользователями несмотря на любые application-level password storage limitations.

Рекомендации по password security

Вы можете усилить security аккаунта, следуя этим password best practices:

Используйте уникальные passwords

  • Никогда не используйте один и тот же password на разных websites или services
  • Использование одного password для нескольких accounts создает серьезные security risks: если один service будет скомпрометирован, все ваши accounts становятся уязвимыми
  • Создавайте отдельный password для каждого из ваших Appbox services

Создавайте strong, memorable passwords

  • Стремитесь к passwords длиной не менее 12 символов
  • Рассмотрите использование:
    • Запоминающейся цитаты из фильма или книги
    • Уникальной фразы или выражения
    • Комбинации unrelated words со special characters
  • Избегайте:
    • Personal information (даты рождения, имена, инициалы)
    • Common words или phrases
    • Simple keyboard patterns (qwerty, 12345)
    • Reversed words или простых substitutions

Включите Two-Factor Authentication

Мы настоятельно рекомендуем включить two-factor authentication (2FA) для вашего аккаунта Appbox:

  • 2FA добавляет essential second layer of security поверх password
  • Даже если password будет скомпрометирован, атакующим понадобится second factor для доступа к аккаунту
  • Вы можете включить 2FA на вашей account security page
  • Appbox поддерживает time-based tokens из authentication apps, включая:
    • Google Authenticator
    • Authy
    • Microsoft Authenticator
    • Duo Mobile
    • И большинство других standard TOTP-compatible applications

Рассмотрите использование password manager

Если вам сложно создавать и помнить unique passwords для всех accounts, рассмотрите использование надежного password manager. Эти инструменты могут генерировать strong passwords и безопасно хранить их для вас. Надежные варианты включают:

Weak Password Policy Statement

Хотя Appbox поощряет использование strong passwords, в конечном счете security ваших account credentials — ваша ответственность. Appbox не может нести ответственность, если ваш аккаунт будет скомпрометирован из-за weak passwords или password reuse на нескольких сайтах. Атакующие часто используют brute force или dictionary attacks для компрометации accounts со weak passwords. Мы настоятельно рекомендуем следовать security guidelines выше, чтобы защитить ваш аккаунт и данные.