登録時にパスワードを2回尋ねる必要があるのはなぜですか?
登録時に1回だけユーザーのパスワードを要求する方が簡単です。
問題:ユーザーは、文字を非表示にしているため、パスワードの入力中に1回間違える可能性があります。
解決策:ユーザーは、パスワードを表示または非表示にするためのトグルボタンを持つことができます。
パスワードの表示設定の切り替え の使用例。このアプローチは、登録ページまたはログインページで使用できます。
登録中にユーザーのパスワードを2回要求することには利点がありますか対パスワードをマスクしないだけ?なぜ二度尋ねるのですか?
追伸 パスワードのマスク解除に関するJakob Nielsen :
- ユーザーは、フォームに入力しているときに入力内容を確認できないと、さらにエラーが発生します。したがって、彼らは自信を失っています。ユーザーエクスペリエンスのこの二重の低下は、人々がサイトをあきらめ、まったくログインしない可能性が高く、ビジネスの損失につながることを意味します。 (または、イントラネットの場合、サポートコールの増加。)
- ユーザーがパスワードの入力について不確実性を感じるほど、(a)過度に単純なパスワードを使用したり、(b)コンピューター上のファイルからパスワードをコピーして貼り付けたりする可能性が高くなります。どちらの動作も、セキュリティの真の喪失につながります。
更新:パスワードフィールドのマスクを解除するWordPressプラグイン。したがって、必要に応じて使用できます。
更新2:WordPress.comは同じテクニックを使用してパスワードの表示と非表示を切り替えます。
更新3:Internet Explorer 10には、パスワード切り替え表示アイコンが追加されました。次のようになります。
Update 4: nmash password on smashingmagazine に関する記事。
更新5: フォーカスのパスワードのマスク解除 の例。
パスワードを2回要求するべきではありません-1回尋ねて、 'forgot password'システムがシームレスかつ完璧に機能することを確認してください
ロジャーが言うように、理想的には簡単かつ安全にパスワードをリセットできますが、オプションがない場合もあります。
メールアドレスを検証していない場合は、ログイン資格情報が正しいことがより重要です。パスワードを紛失した場合、偽のメール情報を入力するとゲームオーバーになる可能性があります。
あなたがパスワードを持っているとあなたがそれを正しいと気にかけてあなたの質問の基礎であると思われる、あなたが持っていると仮定すると、 2つのオプション:
- マスクしないで、一度だけ尋ねてください。ご指摘のとおり、これはパーソナルPCでは マスキングには悪影響があります として機能します。 PCの大部分は個人用であるため、プライバシーをあまり気にしない多くの用途にはこれで問題ありません。
- マスクしますが、確認を使用します。タイプミスの可能性があるため、これが必要になります。安全なログインのために、肩越しに読むというエッジケースの状況に対処することで、1つのフィールドのオーバーヘッドを簡単に上回ります。
マスキングしていない場合、信頼が問題になります。 HCIコースのプロトタイプを作成する際、私のチームは実際にこの1つのパスワードフィールドを使用し、マスキングアプローチはありませんでした(考えずに、プログラムでパスワードをマスキングする方法を知りませんでした)。私たちの2人のユーザー(10人中)は、パスワードを入力してもマスクされないことを懸念していました。自分のマスクされていないパスワードを見るという行為は、一種の不快なものになる可能性があります。結局のところ、それを一組の塗りつぶされたドットとして見ることに慣れています。
パスワードのマスキングは慣例であり、セキュリティ上の利点がなくても、特定の数の人々は、それを認識しないとびくびくするでしょう。 実数、仮定。 間違いなくあらゆる種類の安全なサイトや信頼が問題となる場合はマスキングを継続してください。サインアップ時にマスキングなしのアプローチに慣れる前に、いくつかの優れたハードデータが必要になります。
MicrosoftがWindows 8でこれを処理する方法が気に入っています。単一のパスワードフィールドと、それが押されている間パスワードを表示するボタンがあります。このようにして、ユーザーはタイプミスをチェックできます。ユーザーが自信を持ってパスワードを入力すれば、パスワードを2回入力したり、見たりする必要はありませんが、正しく入力したかどうかを確認したい人なら、2回入力する必要はありません。ボタンは物理的に通常開いているスイッチのように機能するため、リリース時にパスワードをマスクし、マスクされていないパスワードを盗用しないようにします。
パスワードの二重入力システムは標準的で一貫性があるので、2回要求し続けることでユーザビリティに大きな影響を与えるとは思いません。
目的は、ユーザーが必要以上に間違いを犯さないようにするための検証です。
ユーザーが公共の場所で登録したり、観察している人と一緒に登録したりする場合があるため、マスキングとマスキング解除は理想的なオプションではありません。
事例サポートとして:友人のリクエストでアカウントにサインアップしたり、特定のクラスにサインアップしたりしたことが何度もありました。パスワードを非表示にして2回入力する方が、公開するよりもはるかに安全です hunter2 全員に。
代わりの方法は、パスワード検証をサインアッププロセスのオプションの一部にすることです。最初のエントリは十分ですが、2番目のエントリは、ユーザーの利便性のためのフェイルセーフとしてのみ存在します。
パスワードのマスクを解除しても、一部のユーザーには役立ちません。あなたのパスワードがmydogsnameであれば、確かに、パスワードが0rt(CH8Gd!@$8?一部のユーザーは、モーションベースのパスワード(指はパターンに従う)を使用しています。この場合、タイプミスに簡単に気付くことができません。
また、一部のユーザーはパスワードの代わりにパスフレーズを使用します。また、これらの長さのため、タイプミスを特定するのが困難になります。
Ben said のように、正当な理由により、一部のユーザーはマスクされていないパスワードに煩わされます。
トグルを提供することもできますが、それでもこのクラスのユーザーには役立ちません。彼らはあなたが彼らのパスワードを見ることを意図していたことを知っていますが(バグではありません)、それは安心を提供しません。
さらに、トグルコントロールを使用すると、フォームへの入力のフローが中断される場合、バリアを単純化する代わりに導入しました。 (タイプパスワード)-タブ-(タイプパスワード)は簡単で一般的です。あなたの流れはそんなに簡単ですか?
別のアプローチ:デスクトップマシンではこれを見たことがありませんが、電話でパスワードを入力すると、デバイスにcurrent記号しか表示されないことに気づきました、以前のものをマスクします。これは、物理的なキーボードと比較して電話のキーボードの不正確さが高いためだと思います。たぶん、ダブルエントリーの代わりにデスクトップマシンでその種のインターフェースを調べた人がいるかどうかを確認するかもしれません。 (しかし、そこにはまだユーザーの驚異があるでしょう。初めて電話にパスワードの最初の文字を入力したときは、確かに驚きました。)
パスワードの入力ミスは、ウェブサイトがユーザーにパスワードの確認を求める最大の理由です。ほとんどのWebサイト/フォームでは、2番目のパスワードタイプは両方のテキストが一致することを検証し、一致しない場合はエラーを表示します。
あなたが言及したリンクを読んでも、パスワードの可視性を切り替えることは依然としてセキュリティの問題であり、ユーザーにオプションを与えるべきではありません。
Windows Phone 7には、この問題に対する興味深い解決策があります。入力ミスはスクリーンキーボードで一般的であるため、ここで余分な労力を費やしたことは非常に理にかなっています。
パスワードフィールドに最後に入力した文字が2秒間表示されてから、*になります。私は今、この機能をいくつかのJavaScriptでかなり複製しました... http://jsfiddle.net/SWortham/rQJaP/13/embedded/result/
パスワードを解読するために入力しているときに、誰かが肩越しに見ていると、画面に目が釘付けになります。それでも、入力時に画面に注意を払う人にとっては、CAPS LOCKをオンにしたり、単に間違ったキーを押すなどの愚かな間違いを防ぐのに役立ちます。
(パスワードの選択と削除に関しては、これにいくつかのバグがあります。もう少し時間があれば、これらのことはおそらくうまくいくでしょう。)
登録時にパスワードを2回要求する利点は、ユーザーがパスワードマネージャーを使用しないか、パスワードを書き留めておくと、選択したパスワードを覚えやすくなることです。
ドイツ語では、その知識は直接手から記憶に移るような言い回しがあります。
そのため、登録時にパスワードを2回入力し、最初のログインで3回入力した場合、ユーザーがパスワードを覚えている可能性はかなり高くなります。
このような状況を想像してみてください。
各ウェブサイトに同じパスワードを使用する通常のユーザー(198のような非常に単純なもの)が誤ってshow passwordボタンをクリックします。彼の友人はそれを見て、Facebookにログインし、彼の名前で投稿しました。ユーザーはあなたのウェブサイトを非難し、それが愚かで役に立たないウェブサイトであることを皆に伝えます。そして、あなたが知っているように、1人の満足していない顧客は20人の満足した顧客に等しいですが、悪い意味で。
モバイルUXに適しています
ユーザーがモバイルデバイスを使用してサインアップするとき、パスワードを2回入力することが良いことであるもう1つの理由は、ユーザーのタイプミスによる頻度です。モバイルデバイスで、安全なパスワード(単語/フレーズ以外)をエラーなしで10回続けて入力したことがありますか?
確かに、あなたと私はおそらくそれを行うことができますが、ほとんどはできません。
私が複数のユーザビリティ調査を通して見たものから、最大の問題は、ユーザーがサインアップするときにあまり注意を払わないことです。エラーのより多くのポイントは、メールアドレスです。ユーザーがメールアドレスを間違って入力した場合、パスワード回復モジュールがどのように機能しても、アカウントを回復することはできません。
2回尋ねること(または、何らかの方法で電子メール/ユーザー名を検証すること)は、はるかに重要です。
ユーザーにオプションを与えるのはどうですか?マスク解除パスワードまたは「パスワードの再入力」オプションのフォームで提供します。ユーザーが登録を作成していて、近くの人とのマスク解除機能を使用したくない場合があります。
パスワードを2回要求すると、フォームの変換率が低下する可能性があります。ユーザーは、入力している文字が見えないため、入力をさらに修正し、タイプミスを増やすことになります。
この記事では、それについて詳しく説明します: パスワードの確認フィールドに入力する必要がある理由 。 「パスワードを表示」トグルボタンを使用することをお勧めします。
パスワードのマスクを解除することが悪い理由
ショルダーサーフィンの危険。マスクされていない場合、入力中にパスワードが画面に表示されることがあります。
パスワードが複雑な場合、マスクを解除しても効果がない場合があります。何か他のものを入力したと思っても、何かを入力する可能性があります
パスワードを繰り返すのが良い理由
- 両方のエントリのパスワードが検証されるため、間違いを犯すことはありません
- パスワードはマスクされているので、のぞき見から安全です
パスワードを要求しないでください。自動的に生成して、ウェルカムメールで送信します。
- ユーザーが簡単に始められる
- そのより安全な
[〜#〜]更新[〜#〜]
なぜ開始しやすいのか
これが私の最新アプリのワーフローです:
- ユーザーがサイトにアクセスし、登録フォームを開きます。私たちが尋ねる唯一のものはメールアドレスです。
- 電子メールが入力されると、「fown7ucvd」のような自動生成されたパスワードが電子メールで送信され、イミド化してユーザーが自分のアカウントに自動ログインし、20日間彼を記憶します(Cookieのスライドによる有効期限)。
その結果:
- 開始が非常に簡単
- ユーザーは「自動生成されたパスワードがあった」ことをまったく知る必要はありません。彼はちょうど私のアプリを探索し始めます。
- ユーザーはお気に入りのパスワード(通常は1つまたは2つ)を入力する必要はありません。また、パスワードフィールドに12345を入力する必要もありません。ところで、これが最も一般的なパスワードである理由です。ユーザーはダムではなく、多くの個人データを入力せずにサービスを確認したいだけです。
なぜ成功するのか:セキュリティに関するポイントは、すべてのリソースに対して1つのパスワードがある場合です。パスワードが危険にさらされると、すべてのデータが危険にさらされます。したがって、一般に、パスワードを自動生成する方が安全です。