Почему мы должны дважды запрашивать пароль во время регистрации?

Было бы проще запросить пароль пользователя только один раз во время регистрации.

Проблема: Пользователь может ошибиться при вводе пароля один раз из-за скрытия букв.

Решение: Пользователь может иметь кнопку переключения для отображения или скрытия пароля.

unmask password

Рабочий пример с переключением видимости пароля . Этот подход можно использовать на странице регистрации или регистрации.

Есть ли какие-либо преимущества в том, чтобы дважды просить пароль пользователя во время регистрации и просто не маскировать пароль ? Зачем вы спрашиваете дважды?

P.S. Якоб Нильсен о разоблачении пароля :

  
  • Пользователи делают больше ошибок, когда не видят, что они печатают, заполняя форму. Поэтому они чувствуют себя менее уверенно. Эта двойная деградация пользовательского опыта означает, что люди с большей вероятностью откажутся и никогда не войдут на ваш сайт вообще, что приведет к потере бизнеса. (Или, в случае интрасети, увеличенные вызовы поддержки.)
  •   
  • Чем более неуверенные пользователи чувствуют себя при вводе паролей, тем более вероятно, что они (а) используют чрезмерно простые пароли и /или (b) пароли для вставки папок из файла на своем компьютере. Оба поведения приводят к истинной потере безопасности.
  •   

Обновить . Я создал плагин WordPress, который размахивает поле пароля . Поэтому вы можете использовать его, если хотите.

unmask password

Обновление 2 : WordPress.com использует ту же технику, чтобы показывать и скрывать пароль .

Обновление 3 : В Internet Explorer 10 добавлен значок видимости пароля для переключения. . Это выглядит так:

IE 10 password

Обновление 4 : статья о разобрать пароль на smashingmagazine .

Обновление 5 . Пример с разоблачением пароля в фокусе .

138 голосов | спросил webvitaly 4 Maypm12 2012, 18:24:32

16 ответов


156

Мы не должны запрашивать пароль дважды - мы должны запросить его один раз и убедиться, что система забыл пароль работает без проблем и безупречно

ответил Roger Attrill 4 Maypm12 2012, 18:43:06
42

Как говорит Роджер, в идеале вы можете легко и безопасно сбросить свой пароль, но есть определенные моменты, когда это не вариант.

Если вы не проверяете адреса электронной почты , тем важнее, чтобы их учетные данные были правильными; если они потеряют свой пароль, это может быть игра, если они введут фальшивую электронную почту.

Предполагая, что у вас есть пароль и care , что это правильно, что, по-видимому, является основой вашего вопроса, у вас есть два варианта:

  1. Не маскируйте и спрашивайте только один раз. Это отлично работает на персональных компьютерах, поскольку маскировка имеет отрицательные эффекты , как вы указали. Поскольку ПК в основном личные, это может быть хорошо для многих применений, когда конфиденциальность не вызывает большой озабоченности.
  2. Маска, но используйте подтверждение. Это необходимо из-за возможности опечатки. Для безопасного входа в систему, накладные расходы одного поля легко перевесить, обратившись к крайним случаям чтения с надписью.

Доверие - это проблема, если вы не маскируете . При создании прототипа для курса HCI моя команда фактически использовала это одно поле пароля, без маскирующего подхода (без мышления, мы просто не знали, как маскировать пароли в программе). Два из наших пользователей (из 10) были обеспокоены тем, что их пароли не маскировались по мере их ввода. Просто действие вашего собственного, разоблаченного пароля может быть сотрясением; мы все привыкли видеть его как набор заполненных точек, в конце концов.

Маскировка паролей - это соглашение , и определенное количество людей будет волноваться, если они этого не видят, даже если преимущества безопасности не real , они предполагаются . Определенно сохраняют маскировку для любого защищенного сайта или когда проблема доверия. Мне нужны некоторые хорошие данные, прежде чем мне будет удобен подход без маскировки при любом подписании.

ответил Ben Brocka 4 Maypm12 2012, 19:09:37
28

Мне нравится, как Microsoft обрабатывает это в Windows 8. Существует одно поле пароля и кнопка, отображающая пароль, пока он удерживается. Таким образом, пользователь может проверить наличие опечаток. Если пользователь вводит свой пароль с большой уверенностью, тогда нет необходимости вводить его дважды или смотреть на него, но люди, которые хотят видеть, набрали ли они его правильно, могут и не должны вводить его дважды. Поскольку кнопка действует как физический нормально открытый коммутатор, он маскирует пароль при выпуске, помогает сохранить незамасленный пароль от посторонних глаз.

ответил Owen Johnson 9 Maypm12 2012, 19:18:06
20

Система двойного ввода паролей является стандартной и последовательной, поэтому я не верю, что существует значительный вред, связанный с удобством использования, и продолжая дважды запрашивать ее.

Целью является просто проверка, чтобы пользователь не делал больше ошибок, чем необходимо.

Маскировка и снятие маскировки не являются идеальными параметрами, так как бывают случаи, когда пользователь может регистрироваться в общественном месте или с людьми, наблюдающими их.

Как анекдотическая поддержка: у меня было много раз, когда я зарегистрировался для учетной записи по просьбе друга или для определенного класса. Гораздо безопаснее набирать мой пароль дважды, чтобы он скрывался, чем раскрывать hunter2 всем.

Альтернативой является проверка пароля как необязательная часть процесса регистрации. Первая запись достаточно хорошая, вторая - только как отказоустойчивая для удобства пользователей.

ответил zzzzBov 4 Maypm12 2012, 19:36:38
14

Размаскивание пароля не помогает некоторым пользователям. Если ваш пароль mydogsname, то обязательно, но что, если ваш пароль 0rt([email protected]$8?) Некоторые пользователи используют пароли на основе движения (их пальцы следуют шаблону) в в этом случае они не смогут легко заметить опечатку.

Кроме того, некоторые пользователи используют pass-фразы вместо паролей, а их длина еще раз затруднит обнаружение опечатки.

ответил Dean 5 Mayam12 2012, 00:52:32
11

Как сказал Бен , некоторые пользователи будут нарушены незамасленными паролями по уважительным причинам.

Вы можете предложить переключатель, но это действительно не поможет пользователям этого класса. Они будут знать, что вы предназначены для них, чтобы увидеть их пароль (а не ошибку), но это не дает уверенности.

Кроме того, если использование тумблера прерывает поток заполнения формы, вы ввели барьер вместо того, чтобы упростить его. (Введите пароль) - вкладка (тип пароля) проста и обычна; ваш поток так же прост?

Другой подход: я никогда не видел этого на настольной машине, но я заметил, что при вводе паролей на моем телефоне устройство отображает только символ current , маскируя предыдущие. Я предполагаю, что это связано с высокой частотой неточности на клавиатуре телефона по сравнению с физическими. Возможно, вы можете посмотреть, не изучил ли кто-нибудь этот интерфейс на настольной машине в качестве альтернативы двойной записи. (Но там все равно будет какое-то удивление от пользователя, в первый раз, когда я набрал первую букву пароля на своем телефоне, я был, конечно, удивлен.)

ответил Monica Cellio 4 Maypm12 2012, 19:59:51
5

Ошибки при вводе пароля - лучшая причина, по которой веб-сайты запрашивают у пользователя подтверждение своего пароля. В большинстве веб-сайтов /форм второй тип пароля подтверждает, что оба текста совпадают, и мигает ошибка, если они не совпадают.

Прочитайте ссылку, о которой вы упоминали, но все же переключив видимость пароля, по-прежнему является проблемой безопасности, и пользователям не следует предоставлять возможность.

ответил bschandramohan 4 Maypm12 2012, 18:31:27
3

У Windows Phone 7 есть интересное решение этой проблемы. Опечатки настолько распространены с экранными клавиатурами, что имеет большое значение, что они потратили дополнительное усилие здесь.

В течение 2 секунд вы увидите последний символ, который вы ввели в поле пароля, прежде чем он превратится в *. Я в значительной степени дублировал эту функциональность с помощью JavaScript только сейчас ... http://jsfiddle.net/SWortham/rQJaP/13/embedded/result/

Кто-то, смотрящий через ваше плечо, действительно должен будет прикрыть глаза к экрану, когда вы печатаете, чтобы расшифровать свой пароль. И все же, для тех, кто обращает внимание на экран по мере их ввода, это поможет предотвратить глупые ошибки, такие как включение CAPS LOCK, или просто нажатие на неправильный ключ.

(Есть некоторые ошибки с этим, когда дело доходит до выбора и удаления пароля. С немного больше времени эти вещи, вероятно, могут быть разработаны.)

ответил Steve Wortham 13 Maypm12 2012, 21:01:55
3

Преимущество запроса пароля дважды во время регистрации заключается в том, что если пользователь не использует диспетчер паролей или не записывает пароли, ему легче запомнить выбранный пароль.

На немецком языке есть такая поговорка, что это знание происходит из рук прямо в память.

Итак, если вы уже набрали пароль 2 раза во время регистрации и третий раз для первого входа в систему, шансы очень хорошие, что пользователь запомнит пароль.

ответил SpaceTrucker 20 Maypm15 2015, 12:05:36
2

Представьте себе такую ​​ситуацию.

Обычный пользователь, который использует одинаковый пароль для каждого веб-сайта (очень простой, например 1980 ), случайно нажимает кнопку show password . Его приятель видит это и входит в Facebook и отправляется под своим именем. Пользователь будет обвинять ваш сайт и сказал всем, что это глупый и бесполезный сайт. И как вы знаете, один неудовлетворенный клиент равен 20 удовлетворенным клиентам, но плохой способ.

ответил TIKSN 17 MarpmSun, 17 Mar 2013 20:39:45 +04002013-03-17T20:39:45+04:0008 2013, 20:39:45
2

Хорошо для мобильных UX

Другая причина, по которой вводить пароль дважды - хорошая вещь, когда люди подписываются с помощью мобильного устройства - это частота пользовательских опечаток. Вы когда-нибудь пытались ввести безопасный пароль (не слово /фразу) 10 раз подряд без ошибок на мобильном устройстве?

Ну конечно, мы с тобой можем это сделать, но МОСТ не может.

ответил bfritz 20 Maypm15 2015, 22:28:52
2

Из того, что я видел в нескольких исследованиях удобства использования, самыми большими проблемами являются то, что пользователи не уделяют слишком много внимания при регистрации. Более точным является адрес электронной почты. Если пользователи ошибочно используют свой адрес электронной почты, они не смогут восстановить свою учетную запись, независимо от того, насколько хорошо работает модуль восстановления пароля.

Вопрос дважды (или подтверждение имени /имени пользователя любым способом) гораздо важнее.

ответил Davide 29 Jpm1000000pmTue, 29 Jan 2013 18:13:32 +040013 2013, 18:13:32
1

Запрос пароля дважды может снизить коэффициент конверсии вашей формы. Пользователи в конечном итоге исправляют свой ввод больше и делают больше опечаток, потому что не могут видеть символы, которые они печатают.

В этой статье больше говорится об этом: Почему пароль подтверждения Поле должно умереть . Он предлагает использовать кнопку переключения «показать пароль».

ответил ownus 19 FebruaryEurope/MoscowbFri, 19 Feb 2016 09:43:36 +0300000000amFri, 19 Feb 2016 09:43:36 +030016 2016, 09:43:36
1

Как предоставить опцию пользователю? Предоставьте в форме пароль маскирования или параметр «Повторить пароль». Иногда пользователи создают регистрацию, и они не хотят использовать функцию unmask с кем-то поблизости.

ответил Carlos Martins 27 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowWed, 27 Sep 2017 12:15:38 +0300 2017, 12:15:38
0

вы не должны запрашивать пароль вообще: сгенерируйте его автоматически и отправьте приветственное письмо.

  1. его проще запускать
  2. более безопасный

UPD

Почему его проще начать.
Ниже приведено описание моего последнего приложения:

  1. Пользователь заходит на сайт и открывает регистрационную форму. Единственное, что мы просим, ​​- это адрес электронной почты.
  2. При вводе электронной почты мы отправляем автогенерированный пароль, например «fown7ucvd», по электронной почте и imideatly autologin пользователю в его учетную запись и помним его (истечение срока действия cookie) в течение 20 дней.

В результате:

  1. очень легко начать
  2. Пользователь вообще не должен знать, что «был автогенерированный пароль», он только начал изучать мое приложение.
  3. Пользователь не должен вводить какой-либо из его любимых паролей (ussualy один или два), и пользователь не должен вводить 12345 в поле пароля. Кстати, его самый популярный пароль - пользователи не дум, они просто хотели посмотреть на ваш сервис, не введя много личных данных.

Почему больше удовольствия: Вопрос о безопасности - это когда у вас есть один пароль для всех ресурсов, если пароль взломан, все данные находятся в опасности. Таким образом, в целом он более безопасен для автоматического генерации пароля.

ответил ADOConnection 11 Maypm12 2012, 13:50:00
0

Почему unmasking пароль может быть плохим

  • Нагрузка на плечо, кто-то может увидеть passowrd на экране как он набирается, если он разоблачен

  • Размаскивание иногда не помогает, если ваш пароль сложный, вы все еще может напечатать что-то, думая, что вы набрали что-то еще.

Почему повторение пароля хорошее

  • Вы никогда не ошибетесь, так как пароль проверяется для обоих записи
  • Ваш пароль защищен от посторонних глаз, поскольку он замаскирован.
ответил ThaSaleni 20 Maypm15 2015, 12:21:59

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132