パスワード強度メーターに関するユーザビリティ調査はありますか?
サインアップフォームにパスワード強度メーターを用意しましたが、全体的に非常にうまく機能します。 「ルール」(必要な文字数、文字と数字の組み合わせなど)をDBにフックし、その情報を使用して、ユーザーにパスワードの強さを知らせるライブメーターを表示します。メーターは5段階の色分けされたスケールを使用します。「弱い」(赤)、「低い」(オレンジ)、「中」(明るいオレンジ)、「強い」(黄色)、「非常に強い」(緑)。
私が興味を持っているのはこれです。何を入力しても、最小数の文字をまだ入力していないため、メーターはすぐに「弱い」(赤)を表示し始めます。これがコンバージョンに悪影響を及ぼす可能性はありますか?それは、無実であることが証明されるまでは、罪を犯しているようなものです。入力を完了する機会がなくなる前に、パスワードが不十分であることがすぐにわかります。
ユーザビリティ調査ではありませんが、とにかく提案:
少なくとも「n」文字が必要であることをユーザーに示すことができます(ただし、一般的にユーザーの前提条件の負荷をチャッキングするという考えには反対です)。ユーザーが少なくとも入力しない限り、実際にはパスワードの強度を計算/表示しません。その多くのキャラクター。
'n'が大きくない場合(12は大きすぎますが、6は最小長さとして問題ありません)、ほとんどのパスワードは通常 'n'に到達するかそれを超える場合、問題なく動作します-しかし、いつものように-実際のユーザーでテストしてください。
そうすれば、人々は、より高い強度に到達しようとして、8〜10の長さまでパスワードを取得するために、さらにいくつかの異なる数字または文字を追加する可能性があります。
編集:
以下はLulu.comの良い例です。ここでは、パスワード強度の最初のメッセージはパスワードの強度に関するものではなく、灰色で表示されていますが、「短すぎる」という前提条件を過ぎると、現在は短すぎることがわかります。 (この場合は6文字)-次に、強度を指定できます。必要な最小の長さが表示されます。
これらは、それ自体はユーザビリティの調査ではありませんが、人々が実際にパスワードを使用する方法と、ユーザーの認知的負荷への影響について説明しています。これらはすべて、Microsoft Researchの主任研究者であるCormac Herleyによって共同執筆されました。
「3ストライク」タイプのルールが適用されている限り、単一のアカウントに対するブルートフォース攻撃を非現実的にするには、比較的弱いパスワード(約20ビット程度)で十分であることがわかります。
この調査には、3か月間で50万人のユーザーが関与しました。
ユーザーのパスワードを判断するのが早すぎます。さらに、最小パスワード要件を満たさないパスワードは「弱い」ものではなく、無効であり、メッセージはこれを示しているはずです。脆弱なパスワードで問題がなく、フォームにパスワードが「弱い」が「無効」ではないことが表示された場合は、「OK」をクリックして続行してください。
無効なパスワードを「弱い」と呼ばないでください。最低限の強度になるまで「あと7文字」または「必要な8文字」の効果を表示してから、パスワード強度メッセージの表示を開始できます。
「無実と証明されるまでは罪悪感がある」限り、この状況にもかかわらず、ユーザーが入力しているパスワードを判断し続けることが最善です。パスワードフィールドの外をクリックした後でのみパスワードがチェックされると、どれほど不愉快になるか想像してみてください。手遅れになるまで、パスワードが適切かどうかはわかりませんでした。欲求不満!
パスワードには一般的にルールがあります。ユーザーはwhichルールがまだ満たされていないこと、およびパスワードが強力/弱いかどうかを知る必要があります。では、6つのパスワードルールのうち4つが満たされていることを表示し、まだ満たされていないものを表示してみてください。