パスワードを忘れた-サインアップ時に覚えやすいパスワードのヒントを要求することには本当にメリットがありますか?
いくつかのサインアップフォームに、「覚えやすいパスワードの質問を選択してください」などのフィールドが表示されます。これは今日、本当に有益なものですか?パスワードを忘れた場合のより安全な方法は、パスワードをリセットするための安全なリンクをメールで送信するサービスを構築することです。また、フォームに入力するように要求された瞬間に思い出に残る情報を思い出せない場合はどうなりますか?確かに、サインアップフォームに必要なフィールドが少ないほど、より優れています。
覚えやすいパスワードの質問が役立つと思うのは、実際のメールアカウントにサインアップするときだけです。なぜなら、その人が実際にメールにアクセスできない場合、パスワードのリマインダーを送信したり、アドレスにリセットしたりすることはできないからです。
これは時代遅れの概念ですか、それとも私が現在考えられない本物のユーザーの利点を提供しますか? (ユーザーにセキュリティの外観を与えるなど、実際には巧妙なセキュリティを提供していなくても、ユーザーに安全を感じさせる)。
(本当にUXの質問ではありません、imo)。
しかし、これが Bruce Schneier秘密の質問 について言わなければならないことです(これは、ヒントが悪いのと同じ理由で悪いです)。言っ途切れる。
人のメールアドレスを知っているサービスにこれを使用する正当な理由はありません。誰かが自分のメールアドレスへのアクセスを失った場合(仕事の変更など)に使用されることもありますが、それでも私は選択肢に疑問を投げかけます。
多くのプログラムでは、パスワードがより安全であるという誤解(3xzA @ |\eなど)の下でパスワードを覚えるのが複雑になるため、多くの場合、パスワードを忘れてしまいます。これは通常、そもそも個人のメールアドレスがない場合に行われます(通常はメールアカウントの場合)。これにより多くのサポートコールが発生し、それらのコールを減らすために、企業はそれらをバイパスする方法を追加しました。
しかし、なぜ安全なパスワードを最初にless安全な質問?確かに、より良いオプションは、誰かがパスワードの代わりにパスフレーズを使用してシステムを最初から保護できるようにすることです。
私はこの漫画を [〜#〜] xkcd [〜#〜] と呼んでいます。 
パスワードの使いやすさに関する優れたリソースがいくつかあります。
Sitepoint には、パスワードシステムを検討する際のポイントの優れたリストがあります。最も重要な点は次のとおりです。
多くの場合、ユーザーがパスワードを思い出すのに役立つヒントを含めることができるようにすることは、良い考えのように思えるかもしれません。ただし、これは少し危険な場合があります。ユーザーは単にヒントとしてパスワード(またはその派生物)を入力するか、パスワードの推測を非常に簡単にするヒントを使用する場合があります。パスワードのヒントを使用する場合は、表示する前に、郵便番号や生年月日などの追加情報をユーザーに要求することを検討してください。
ヒントとセキュリティの質問は、あまりにも明白すぎることがよくあります(パスワード:赤ちゃんのヒント:赤ちゃん)。設定されたセキュリティの質問がある場合、ユーザーは持っていない可能性があります良い答え、または答えはあまりにも明白かもしれません。母の旧姓を聞いて?私を知っている誰もが私の答えを知っています!ブルックリンのお気に入りのピザ店に質問しますか?ええと...私はその答えのためにもう一度何を選びましたか?
Sitepointはパスワードのリセットについても次のように述べています。
ユーザーが自分でパスワードをリセットできるようにすることをお勧めします。そうすれば、ユーザーの介入は必要ありません。通常、これは登録済みのメールアカウントにパスワードリセットメールを送信することで行われます。ユーザーはメールのリンクをクリックすると、サイトにリダイレクトされ、新しいパスワードを設定するよう求められます。
リンクをクリックしてパスワードをリセットするよりも快適なエクスペリエンスを得るのは難しいです。覚えたり、推測したりする必要はありません。必要なのはメールへのアクセスだけです。これにより、電子メールでパスワードを送信することも回避されます(Sitepointはこれを推奨しません)。これは、ユーザーがそのパスワードを変更しない場合、または誰かが電子メールを傍受した場合に問題となる可能性があります。
おそらくあなたの範囲を超えていますが、多くの人々は、一般的なアカウントのパスワードリセットのシステム全体を悪い体験だと考えています。 Jonathan Duhig は、「パスワード」の問題を完全に取り除く方法を説明する素晴らしいブログ投稿を持っています。 OpenID。 Facebookコネクトのようなものは、ユーザーがパスワードやユーザー名やヒントなどを決して忘れないことを意味します-セキュリティが簡素化され、番号を解体しました起動するためのサインアップに関する障壁の数。これは、ユーザーがOpenIDをサイトに接続する意思がある場合に理想的なエクスペリエンスです。
パスワードのヒントやセキュリティの質問を求めることは、サインアップの追加ステップであることにも注意することが重要です。メールパスワードのリセットは、パスワードを必要とするユーザーにのみ影響しますリセットし、サインアップフォームで質問すると、それらすべてに影響します。
それらを気にしないでください。受信トレイを確認してもらうことはそれほど多くありません。
パスワードを忘れた場合のメールアドレス送信フィールドがあり、システムでアドレスが見つかった場合にそのアドレスに電子メールを送信し、リセットの指示を含むリンクを送信します。メールがシステムになかった場合はフォームにフィードバックしない-ハッカー/ボットが特定のメールアドレスがシステム上にあるかどうかを判断できるようにします。
かなり標準。人を怒らせたり、システムや顧客のアカウントをハッキングに対してより脆弱なままにしないでください。
人々がパスワードを思い出せない場合、それがあなたの問題ではないのではないかと心配して、パスワードを設定します。クレイジーな最低限のパスワード要件を持たないでください-それは何よりも人々を怒らせる-それをかなり開いたままにします(例:銀行でない限り5文字以上)。このようにして、覚えていないその場で何かを作る必要がなく、思い出に残るものを選ぶ可能性が高くなります。彼らが「パスワード」を使用してハッキングされた場合-再び、彼ら自身の責任です。
製品で実行できる場合は、次のように使用してください。 http://code.google.com/apis/identitytoolkit/v1/learnmore.html
一般的なログインAPIを使用して問題全体をさらに簡素化
パスワードの質問がUXに役立つシナリオが1つあります。特定のユーザーを対象とするサービス拒否攻撃を行うのはそれほど簡単ではありません。 「秘密」なしでパスワードをリセットできる場合、ボットが毎秒パスワードをリセットする可能性があります。ログインする機会はありません。
ただし、ほとんどのアプリケーションでは、機密性と整合性は可用性よりもはるかに重要です。