「Caps Lockがオンです」という警告メッセージを表示することは適切ですか？

標準についても聞いたことがありませんが、Mac OS Xでの標準的な方法がとても気に入っています。非常に明確です。

Windowsでは、警告のテキストメッセージがあります。これは理解しやすいかもしれませんが、より邪魔になります。

Caps-Lockがオンのときに警告を表示する代わりに、最初のパスワードが最初のチェックに失敗した場合に文字を切り替えることができますpASSWORD1234 その後 Password1234ユーザーが正しいパスワードを入力したときにログインすることを許可しますが、誤ってロックイン修飾子を使用します。

この回答に対するPatrick McElhaneyの編集が明らかにしたように、私はパスワードで大文字と小文字を区別しないようにするべきだとはまったく提案していません。 pASSWORD1234は機能しますが、PASSword1234およびPassworD1234はしません。

これが本当に安全ではない理由は、最初は単純に両方をハッシュするためですpASSWORD1234およびPassword1234そして、それらがデータベース内のソルト化された暗号強度のハッシュされたパスワードと一致するかどうかを確認します。

基本的に、ユーザーは1入力につき2回の推測を行いますが、100回の試行後に誰かのパスワードを推測する可能性は非常に小さいため、このアプローチがブルートフォースに対して脆弱であることを意味しません。大量の推測を行った後は、通常、ユーザーをいずれかの方法でロックアウトします。

これを実行することもできますが、ユーザーが自分のパスワードをすでに間違っていると推測した場合に限ります。これが、Windowsの通常のログインが機能する方法、または少なくともある時点で機能した方法だと思います。このようにして、Caps Lockキーを使用してパスワードを（意図的に）入力するユーザーを、さまよっている目から保護することができます。

それは本当に私の意見ではユーザーに依存します。多くのユーザーがログインページに複数のビューを持っている場合、またはシステムで可能である場合、検証エラーメッセージページが予想よりも多く、ログインできないようになっている可能性があります。キャップがロックするか、それ以外の可能性があります。

私はあなたの統計を見て、何かを実装するかどうかを決定します。 Caps Lockアプローチを採用する場合は、実装してから1か月ほど統計を再度確認し、ページのヒット数が減少して固有の訪問数に近づいているかどうかを確認します。それが増加または変更されていない場合（この変更では減少すると思います）、Caps Lockソリューションは役に立たず、別の変更が必要になります。

私が言っているのは、Web標準であるかどうかにかかわらず、この増分変更を行う場合は、まず統計をベンチマークしてから確認することです。