Простота использования пароля, не так ли? Попросите своих пользователей установить их пароль; затем попросите их ввести его всякий раз, когда им нужно войти в систему. Что тут не так? Ну, довольно много, на самом деле. Меня постоянно удивляет, сколько веб-сайтов и приложений стреляют себе в ногу, например, из-за плохо продуманного использования пароля:
- Извините, ваш пароль должен содержать не менее восьми символов.
- Извините, вы должны менять свой пароль каждые шесть месяцев.
- Извините, ваш пароль должен содержать комбинацию букв, цифр и специальных символов.
Когда вы помогаете пользователям устанавливать и вводить свои пароли с минимальными трудностями, стоит удивительно много думать, поэтому читайте дальше, чтобы узнать, как избежать наиболее распространенных проблем с удобством использования паролей.
Опасности установки пароля
Обычно вы просите своих пользователей установить свой пароль во время регистрации или после транзакции после совершения покупки (например, для создания учетной записи). Вот некоторые из наиболее распространенных опасностей, связанных с удобством использования пароля, когда дело доходит до установки пароля.
Не будь слишком строгим
Одно из золотых правил юзабилити паролей — избегать чрезмерных ограничений. По иронии судьбы, чрезмерно ограничивая (например, требуя длинный пароль с комбинацией букв, цифр, специальных символов и других случаев), вы часто можете сделать свой сайт менее безопасным, поскольку пользователи вынуждены записывать свои пароли, чтобы помни их. В следующий раз, когда вы окажетесь в офисе, посмотрите, сколько стикеров с паролями прикреплено к мониторам!
Конечно, ограничения пароля сводятся к тому, насколько безопасным должен быть сайт или приложение. Например, трехсимвольный пароль будет недостаточным, если сайт должен быть очень безопасным. Тем не менее, чем больше гибкости вы предоставляете своим пользователям, тем больше вероятность того, что они смогут установить пароль, который они на самом деле могут запомнить.
Пусть пользователи знают правила
Разве вам не нравится, когда вы пытаетесь установить пароль для сайта, и он возвращается как недействительный из-за правила, о котором вы не знали? Хуже того, он возвращается как не разрешенный, без указания того, почему это может быть! Не держите пользователей в неведении — дайте им знать, каковы правила пароля на входе. Укажите минимальную длину пароля и укажите, требуются ли какие-либо цифры или специальные символы. Важно отметить, что эта информация не должна быть скрыта на отдельной странице справки; скорее, включите его ниже или сбоку от поля ввода пароля, как показано в этом примере из MailChimp ниже.
Попросите пользователей повторно ввести свой пароль
Простой, но множество сайтов и приложений этого не делают. Когда пользователи просят установить свой пароль, важно попросить их сразу же набрать его заново. Это гарантирует, что они ввели пароль, который они думают, что они ввели. Повторная запись должна произойти сразу после первоначальной записи, как показано в примере регистрации Yahoo ниже.
Покажите надежность пароля
Вместо того, чтобы ограничивать политику паролей, поощряйте пользователей устанавливать безопасный пароль, передавая силу пароля, который они только что ввели. Например, длинный пароль с комбинацией букв, цифр и регистра может быть показан как надежный, в то время как короткий пароль с только буквами может указывать на слабый пароль. Пользователи инстинктивно будут пытаться использовать более надежный пароль, особенно если вы используете положительный отзыв (например, показывая немного смайлика или используйте красно-желто-зеленый цветовой код). Многие крупные сайты делают это сейчас, такие как Yahoo, eBay и Google; ниже приведен пример из процесса регистрации учетных записей Google.
Предоставить советы по выбору надежного пароля
Большинство людей знают, что использование их имени или улицы, на которой они живут, в качестве пароля — плохая идея, но не помешает дать некоторые советы и рекомендации по выбору хорошего пароля. Проверьте страницу помощи eBay для создания пароля для некоторых идей.
Опасности ввода пароля
Итак, ваши пользователи установили свой пароль, и теперь вы хотите, чтобы они вводили его каждый раз при входе на сайт. Звучит просто, но опять же есть некоторые неудобства юзабилити для вас, чтобы подумать.
Разрешить пользователям снимать маску со своего пароля
Подавляющее большинство сайтов маскируют пароли при входе, поэтому пароль никогда не отображается на экране. Конечно, это мешает занятому человеку, находящемуся рядом с вами, отследить ваш пароль, но что, если произойдет сбой входа в систему, и вы захотите проверить правильность введенного текста? Вот почему это может быть хорошей идеей, чтобы позволить пользователям разобрать свой пароль; MailChimp начал делать это, как показано в примере ниже.
Блогер SitePoint Джеймс Эдвардс опубликовал полезную статью о том, как это сделать: « Лучшие пароли № 2:« Показать пароль » . Конечно, пароль всегда должен быть замаскирован по умолчанию, чтобы пользователь мог определить, безопасно ли его раскрывать.
Предупредить пользователей, когда Caps Lock включен
Вы пытаетесь ввести свой пароль, но вам будет отказано, потому что клавиша Caps Lock включена — упс! Имеет смысл предупреждать пользователей, если они пытаются ввести свой пароль при включенной клавише Caps Lock , как, например, в этом примере из Microsoft Vista (см., Они делают некоторые вещи правильно!).
Подробнее о том, как это сделать на своих сайтах, читайте в статье Джеймса Эдвардса « Лучшие пароли № 3: Предупреждения с использованием Caps-Lock» .
Предупредить пользователей, если их учетная запись будет заблокирована
В рамках вашей политики безопасности вы можете заблокировать учетные записи после определенного количества неудачных попыток; цель здесь состоит в том, чтобы остановить другого человека, пытающегося использовать разные пароли для доступа к учетной записи, хотя это часто случается с пользователем этой учетной записи. Учитывая это, перед блокировкой учетной записи пользователя рекомендуется предупредить их, что следующая неудачная попытка входа приведет к этому. Таким образом, если вы заблокировали учетную запись после трех неудачных попыток входа в систему, вы должны предупредить пользователей после их второй попытки.
Опасности забытых паролей
Люди забудут свои пароли. Вы мало что можете с этим поделать, но всегда должен быть маршрут для тех пользователей, которые забыли свой пароль для его восстановления. Как лучше всего справиться с этой ситуацией?
Разрешить пользователям сбрасывать свои собственные пароли
Это хорошая идея, чтобы пользователи могли сами сбрасывать пароли. Таким образом, нет необходимости во вмешательстве с вашей стороны. Как правило, это делается путем отправки электронного письма для сброса пароля на зарегистрированную учетную запись электронной почты. Пользователь нажимает на ссылку в письме, направляется на ваш сайт и просит установить новый пароль.
Избегайте отправки паролей по электронной почте
Отправлять пользователям их пароли по электронной почте — плохая идея. Электронные письма, как правило, не очень безопасны; они могут быть перехвачены — и вы не хотите, чтобы какое-то недобросовестное существо, которому удалось получить доступ к электронной почте вашего пользователя, также получило доступ к своему паролю. Вместо того чтобы отправлять пароли по электронной почте, отправьте ссылку на страницу для установки нового пароля и убедитесь, что срок действия ссылки истекает через достаточно короткий промежуток времени.
Будьте осторожны, используя подсказки пароля
Часто может показаться хорошей идеей разрешить пользователям включать подсказку, чтобы помочь им вспомнить свой пароль. Тем не менее, это может быть немного опасно: пользователи могут просто ввести свой пароль (или его производную) в качестве подсказки или использовать подсказку, которая упрощает угадывание их пароля. Если вы хотите использовать подсказки для пароля, подумайте о том, чтобы попросить пользователей предоставить дополнительную информацию перед ее отображением, например, почтовый индекс или дату рождения.
Разрешить пользователям писать свой собственный контрольный вопрос
Если по какой-либо причине вы не можете отправить электронное письмо для сброса пароля, хорошей альтернативой может быть использование секретного вопроса. Если вы используете эту меру, дайте пользователям возможность написать свой вопрос. Ваш список потенциальных вопросов безопасности может быть неуместен для некоторых пользователей (например, не у всех есть часто летающий номер), и пользователи с большей вероятностью запомнят ответ на вопрос, который они создали сами. Приведите примеры хороших вопросов (например, «Как звали вашего первого питомца?») И игнорируйте случай, когда речь идет об ответах: вы не хотите, чтобы пользователь получал неправильный ответ, потому что он ввел «точечный», а не « Определять»!
Резюме
Помните об этих простых рекомендациях при разработке ваших систем аутентификации по паролю, и ваши пользователи будут вам благодарны!