it-swarm-eu.dev

Je na přihlašovací stránce nutné pole „opakovat heslo“?

Možný duplikát:
Proč bychom se měli během registrace zeptat na heslo dvakrát?

Při navrhování nové a zjednodušené přihlašovací stránky jsem se dostal do sporu s kolegou o nutnosti pole „opakovat heslo“.

Proces registrace jsme navrhli tak, aby se uživatel po dokončení procesu ověření e-mailem přihlásil automaticky. Takže alespoň zpočátku nebude nutné, aby uživatel zadával své heslo. Uživatel tedy heslo „ověřuje“ pouze při druhém přihlášení, pokud vynecháme pole „opakovat heslo“.

Máme možnost „obnovit heslo“, takže v nejhorším případě by uživatel mohl tímto procesem projít v případě, že při registraci nesprávně zadal heslo. Ale pak, jak často špatně zadáváte své heslo?

Zdá se, že ani velcí hráči nesouhlasí, který způsob je nejlepší ...

Není třeba znovu psát heslo:

  • Cvrlikání
  • Facebook (ačkoli vyžadují přepsání e-mailu)
  • Dropbox

Je třeba znovu zadat heslo:

  • Yahoo
  • Reddit

Je to nutné?

96
Franz

Nejsem odborník na uživatelské rozhraní, ale myslím si, že v mnoha případech to není nutné. Podle mých zkušeností je pro mě vzácné zadat nesprávně heslo. Lepším řešením je mít vůbec žádné heslo. Použijte jeden z rostoucího počtu poskytovatelů ověřování (např. OpenId, Google, Facebook, Twitter atd.). Proč uživatel potřebuje jiné heslo pro vaši aplikaci nebo web?

Techničtí uživatelé vaší aplikace budou používat generátor hesel nebo mechanismus úložiště. Netechničtí uživatelé budou používat jedno z oblíbených hesel, které používají pro mnoho různých webů/aplikací. Je lepší integrovat se s autentizačním systémem, který již používají. Pokud používáte autorizaci Google, může nastat i další výhoda pro vaši aplikaci, jako je integrace do Google Apps.

Pokud se rozhodnete požadovat, aby uživatel poskytl nové heslo pro vaši aplikaci, pak alespoň nevymažte pole hesla při chybě při zadávání formuláře. Nic není rozzlobenější, než nechat vyčistit pole s heslem, protože uděláte chybu v jiné části formuláře. Opravu znovu odešlete a poté dojde k chybě znovu, protože chybí heslo. To mě pohání ořechy. Pokud máte obavy z opakování hesla uživatele zpět do HTML, ne. Existuje mnoho dalších možností. Zašifrujte jej do formuláře, zapamatujte si jej ve stavu relace, použijte dumby heslo v HTML. Každopádně, prostě nenutí uživatele, aby jej zadal znovu!

76
orj

Microsoft má docela šikovný způsob, jak to vyřešit: zaškrtávací políčko odmaskovat heslo (připojit se k WiFi ve Windows 7 a Vista myslím). Opravdu si myslím, že je to nejlepší z obou světů.

Osobně nemám lidi, kteří by se dívali přes rameno 24/7; a ani většina uživatelů. Dále můžete zadat heslo a jednoduše odmaskovat/masku, abyste je mohli krátce zkontrolovat.

28

Není to požadavek, zvláště pokud máte způsob, jak jej resetovat. Vsadil bych se, že mnoho lidí na tom stejně používá řez a vložení. Mám sklon myslet na to, že registrace na cokoli by měla být co nejjednodušší. JMHO.

26
ThatSteveGuy

Otázka se scvrkává na „jaké jsou náklady na chybně zadané heslo“. U některých systémů jsou náklady vysoké, a proto vás žádají o přepsání. Pokud například nastavujete účet u (bezplatného) poskytovatele internetových služeb, pak nebude možné získat přístup k vašemu účtu, pravděpodobně bude nutné absolvovat celou řadu identifikačních kroků s technickou podporou.

U mnoha bezplatných online systémů jsou náklady na chybný typ hesla nízké. Pokud jste omylem zadali heslo pro Twitter, nejhorší se může stát, že si budete muset vytvořit účet podruhé. Stejně tak, pokud jej omylem zadáte na Facebooku a obdrží váš e-mail, můžete požádat o obnovení hesla, proto požádají dvakrát o váš e-mail, nikoli o vaše heslo.

Protože většina systémů se stává druhým typem, a ne prvním, opakování hesla se stane vzácnějším.

23
DJClayworth

Ano, někdy. Proč? Protože někdy při registraci neověřujete údaje o uživateli, což znamená, že pokud zapomenou na své heslo, je obtížnější jim znovu povolit přístup.

Reddit a Yahoo neověřuje e-mailové adresy (vůbec), takže je důležitější, aby uživatel nezapomněl na své heslo. Z tohoto důvodu mají dvě políčka s hesly.

Twitter a Facebook nedávají uživatelům plný přístup, pokud neověřili svou e-mailovou adresu. Protože chtějí, aby jejich uživatelé byli ověřeni, v ideálním případě je důležitější opravit správné kontaktní údaje než jejich heslo.

Doufám, že odpověď na vaši otázku!

10
Django Reinhardt

vytvořili jste někdy archivní soubor chráněný heslem.

alt text

alt text

při vytváření archivního souboru chráněného heslem pomocí winrar existuje jedna možnost „zobrazit heslo“. Pokud tuto možnost zaškrtnete, nemusíte znovu zadávat heslo. Protože když heslo není viditelné, je vysoká pravděpodobnost, že uživatel udělá chybu. a skončí se špatným heslem.

většina uživatelů nejsou softwaroví inženýři.

9
Vivart

Odcházel jsem od maskovaných polí hesel. Pokud uživatel uvidí, co píše, je lépe si ho pamatovat (vizuální vynucení), může vidět, jestli existují překlepy, není třeba ho přepisovat a můj osobní názor je, že je méně stresující uživatel.

4
Susan R

Účelem požadavku, aby uživatel dvakrát zadal heslo, je zajistit, aby v hesle nebyly žádné náhodné pravopisné chyby. Pokud tento krok přeskočíte a vyhláskujete něco špatně, museli by projít celým procesem obnovení hesla/změny hesla, což může chvíli trvat v závislosti na bezpečnostních požadavcích/uživatelských schopnostech.

Osobně mám pocit, že pouze jeden uživatel musí projít obnovením hesla kvůli zvláštnímu znaku/chybějícímu znaku/atd. Je příliš mnoho. Obzvláště při přepisování hesla je takový snadný krok. Někteří lidé samozřejmě zkopírují a vloží první do druhé, ale to je jejich chyba. Snažil jsem se, abych uživateli pomohl tomuto problému zabránit.

2
LoganGoesPlaces

Je to do značné míry subjektivní a velmi záleží na tom, jak je váš registrační proces navržen. Pokud je e-mail potvrzen a máte solidní proces „obnovení hesla“, doporučuji pravděpodobně ne.

Pokud máte celkovou kontrolu nad uživatelským rozhraním (tj. Nikoli web), měli byste také zvážit povolení uživatele, aby viděl, co píše (á la toto )

2
chrismilleruk

Takže si myslím, že téměř vždy je odpověď: záleží.

Jak již uvedli ostatní: Pokud nechcete posílat heslo zpět uživateli nebo je obnovení velmi snadné, může být dvojí heslo účinným způsobem, jak se vyhnout chybám uživatele (konkrétně překlepy). Několikrát jsem padl na překlepy; Myslím, že s požadavky na velká písmena stoupá počet překlepů, ale nemám nic jiného než vlastní důkaz, který to dokazuje.

Nemyslím si, že byste měli učinit toto rozhodnutí na základě zjištěných nákladů: Pokud musím vytvořit nový účet, už nedostanu své preferované jméno/uživatelské jméno a skončí s nějakým podivným číselným dodatkem, který sám o sobě je obtížně zapamatovatelný. Také vnímané náklady pro kohokoli z nás budou pravděpodobně nižší než průměrný uživatel.

Moc se mi líbí metoda iPhone, která mi ukazuje poslední znak, který jsem zadal. Dělá docela dobrou práci tím, že lidem, kteří pravděpodobně zadávají hesla na veřejných místech, poskytuje obsfuskaci a informace ve správném množství.

Stále používám dvojité heslo, raději bych se zmýlil na straně omezující chyby uživatele; není to tak špatné jako dvojitý e-mail.

1
John Fairley

Zpočátku jsem si myslel, „pokud vaši uživatelé nejsou moc důvtipní, opakované pole hesla jim pomůže vyhnout se chybám“. Na druhou stranu však uživatelé, kteří nejsou počítačově zdatní, mohou být druhým polem hrozně zmateni. Koneckonců, v reálném světě neexistuje nic jako opakovaná pole.

Myslím, že nejhezčí možností, ale těžší implementací, je opakování, ale zahrnutí políčka „nemaskovat své heslo“.

1
user745

Pracoval jsem na projektu, kde uživatelé nemuseli opakovat heslo. Jednoho dne jsme dostali rozzlobený e-mail od uživatele, který tvrdil, že jsme v pravém horním rohu zobrazili jeho heslo - prostým textem.

Ukázalo se, že když se přihlásil, zadal své heslo a pak, aniž by vzhlédl, přidal se na další pole a zopakoval své heslo. Kromě toho pole bylo „Jméno“.

Nebyl hloupý, ani nevěnoval pozornost. Zobrazoval něco, o co bychom se my návrháři měli snažit: Habituation . Je to jako přepínač turbo v hlavě uživatele, kromě toho, že nemůžete věci vždy ovládat vysokou rychlostí.

Jsou zde alespoň dvě zlomené věci

  1. Nejprve je třeba vytvořit účet (použijte openid, google atd.)
  2. Použití hesel pro autentizaci (zatím žádné skutečné řešení)
1
Morten J

Dobrá otázka! Přemýšlel jsem o dvou myšlenkách:

  1. Začněte skrývat heslo. Dej chlápkovi přepínací tlačítko, které odhalí/znovu nacvičí heslo, jakmile ho dosud zadal.

  2. Může se objevit skrytý časový limit: poskytněte tlačítko, které na zhruba půl sekundy odhalí heslo, a poté je znovu zakryte.

V obou těchto zadá uživatel heslo jednou. A vidí zprávu (ne nutně výzvu, ale možná by to mělo být) odhalit a zkontrolovat heslo před odesláním. Jako záloha je vždy (myslím) chlapův e-mail pro resetování hesla.

- pete

0
pete142

Ne to není nutné.

Záleží na tom, jak důležitá je bezpečnost webu, jaký dojem máte na zabezpečení pro uživatele a jak přísné jsou vaše požadavky na heslo.

U webových stránek, které vyžadují, aby hesla obsahovala určité vzory/čísla/písmena, je nejlepší, aby uživatel opakoval heslo, protože podle mého názoru jsou autory nové heslo. Takže to, co si myslí , které zadali, nemusí být to, co zadali.

Je pro webové stránky volného času bezpečnost skutečně importem? Pravděpodobně ne, a možná budete jednat s registrací uživatele hit and run. Snížení námahy a času tedy pomáhá zlepšit vaše registrační čísla konverzí.

U webů nabízejících placené služby pak uživatel již učinil/dokončil rozhodnutí o nákupu. Registrace je pouze proces, který potřebují k přístupu ke službě. Dvojitá výzva pomáhá budovat důvěru v to, že budou mít přístup ke službě, za kterou zaplatili, později. Nikdo nechce resetovat své heslo pro něco, za co zaplatil $.

0
Reactgular