パスワードから個々の文字を要求する最良の方法は何ですか？

私は実際にこの素晴らしい例を実際に見たので、答えに飛びつきました。ハーグリーブスランズダウンは英国の金融機関です。その方法は次のとおりです。

ユーザーにコンテキストを与えるという考えは、これを見るまでは思いもしませんでした。実際には、要求された文字が両端からどれだけ離れているかがわかると、パスワードを入力する方がはるかに速く簡単です。

サービスがパスワードのn番目の文字が何であるかを検証できる場合は、サービスが安全でない形式でパスワードを格納していることを意味します。どのサービスもあなたのパスワードが何であるかを知るべきではありません。彼らはあなたのパスワードが認証されるかどうかを言うことができるだけであるべきです。

したがって、パスワードのn番目の文字を要求してはならず、これが正しい文字であるかどうかを評価することはできません。

誰かを認証したい場合は、完全なパスワードを使用安全な方法で保存する必要があります。

HSBCは、ユーザー名、パスワード、およびセキュリティキーの組み合わせを使用します。

この実装では、最初にユーザー名を入力します。

次に、パスワードとセキュリティキーからランダムな3つの文字を入力するよう求められます。

^{download bmml source – Balsamiq Mockups で作成されたワイヤーフレーム}

このアプローチの利点は、パスワードを安全でない状態で保存する必要がないことです。また、インターフェースは、権限のない人にセキュリティキーの長さを伝えません。

要求されていない文字のインターフェイスに無効なテキストボックスを含めることにより、ユーザーはキーの個々の文字を内部で視覚化する必要なく、Wordをより簡単に「スペルアウト」して正しい文字を提供できます。

問題の実装では、ユーザーが単語を視覚化し、場所を数えて文字を取得する必要があるため、認知負荷がはるかに高くなります。

安全性が高いだけでなく、ユーザー全体のパスワード、特に任意の文字で構成されているパスワード、またはキーボード上の動きによって定義されたパスワードは、筋肉のメモリによってユーザーに要求されるためです。これにより、ユーザーが特定の位置にあるキャラクターを思い出すことが難しくなります。

ここではドロップダウンを使用します。通常のドロップダウンを使用しても、キーボード入力で正しい文字をすばやく選択できますが、タッチキーボードのユーザーやマウスの使用を好むユーザーにとっては簡単です。