x
 
Илья Наринский
15 марта 2010

Здравствуйте, Артём!

Сейчас существуют два варианта ввода пароля в регистрационных формах — скрытый с повтором и открытый.

В первом варианте мы защищаемся звездочками от того, что кто-то может подглядеть наш пароль. А из-за возможных опечаток, которых не видно, необходимо подтверждать пароль.

Но сейчас, когда компьютеры стали полностью персональными, показывать пароль при регистрации можно (при авторизации, конечно, скрывать). Но вот многие люди испытывают дискомфорт, наблюдая свой пароль в виде символов, а не звездочек.

Хотелось бы услышать ваше мнение.



Впервые пароль мы открыли при регистрации на Вебораме. С тех пор коллеги из Аймобилки развили идею, чтобы учесть интересы бдительных граждан:

Уважаемые советчики, укажите известные вам сайты, где используется подобный подход. Это поможет защищать идею перед клиентами и распространять её дальше.

Бумеранг возвращается в советы примерно через два года.

Поделиться
Отправить

Комментарии

Саша Сергеев
15 марта 2010

Я продолжаю с этим соглашаться: кредитные карты намного важнее многих паролей. Тем не менее их номера никто звёздочками при вводе не прячет и повторять не просит.

Однако при попытке поменять форму регистрации на большом сайте (5000 регистраций в день), мы столкнулись с тем, что люди слишком торопятся и делают опечатки. Форма осталась прежней, с двумя стандартными паролями и двумя полями адреса.

Есть ещё мысль перенести перепроверки на другой этап жизни аккаунта. Поживём-увидим.

Алик Кириллович
15 марта 2010

Якоб Нильсен как раз прошлым летом призвал отказаться от маскировки паролей:

Jakob Nielsen, «Stop Password Masking» (http://www.useit.com/alertbox/passwords.html), June 23, 2009.

Андрей Ситник
15 марта 2010

Надо скрывать пароль, так как иначе браузер может его сохранить и предложить ввести ещё раз (хотя это исправляется) или пароль можно будет посмотреть, нажав кнопку «Назад».

Если у сайта есть удобное восстановление пароля, то повторное поле для пароля не нужно — не надо усложнять форму на 33% ради 5% ошибок.

На самом деле в 70% случаев поле «пароль» тоже не нужно — наиболее популярные владельцы почты (Google, Яндекс, Mail.ru) предлагают авторизацию по OpenID. Пользователю, конечно же, не нужно знать об OpenID,— просто когда он введёт «…@gmail.com», скрыть поле «пароль» и показать кнопку «Войти через Google».

Саша Гольмаков
15 марта 2010

Лучше всего вводить пароль как на айфоне: последний введённый символ открыт, а предыдущие за звёздами. Реализацию этого способа подсказывает Джо Кларк на АЛА — http://www.alistapart.com/articles/the-problem-with-passwords/

Никита Васильев
15 марта 2010

Я сделал UserScript (пользовательский скрипт?) и расширение для Гугл Хрома, которое показывает пароль, когда фокус находится на нём. Скрипт не мешает браузеру запоминать пароль — перед отправкой формы текстовое поле превращается обратно в поле для пароля.

Страница с примером: http://nv.github.com/show-password-on-focus.js/

Расширение для Хрома: https://chrome.google.com/extensions/detail/ogjaejebjmifpkiaafdnnpkkjnmopmhn

Скрипт для остальных браузеров: http://userscripts.org/scripts/show/68664

Олег Волчков
15 марта 2010

Мы в клиентской части своей биллинговой системы для интернет-провайдера сделали ввод пароля в открытом виде более двух лет назад, кроме того, мы ещё и убрали ограничения на количество и тип символов в логине и пароле. Результат отличный — количество обращений в клиентскую службу с просьбой «сбросить» пароль сократилось раз в пять. Причем я ни разу не слышал от клиентов претензий на тему «небезопасности» подобной схемы.

Виктор Никитин
15 марта 2010

Такой подход используется не только в вебе. Например, в Oktell.

Ким Александр
15 марта 2010

Странно, но я считал, что повтор пароля (в варианте со звездочками) нужен, чтобы не придумавали одноразовый пароль (беспорядочный набор символов) или чтобы не допустить опечатку. Эта проблема не решается и в случае с «открытым» полем ввода.

От этой беды, если она, конечно не надумана, может спасти повторный ввод пароля на последнем этапе регистрации или в конце формы.

Роман Афанасьев
15 марта 2010

Пароль при регистрации обязательно должны вводить два раза и он должен скрываться. Например, если вы сидите в интернет-кафе (легко можно повернуться назад и посмотреть чужой пароль). Или если вы ещё маленький (родители таким же образом могут посмотреть пароль). Никогда бы не поддержал открытый пароль.

Дима Плотников
15 марта 2010

Иншопу как на Айфоне сделал: http://inshop.ru/

Денис Братчук
15 марта 2010

> Но вот многие люди испытывают дискомфорт, наблюдая свой пароль в виде символов, а не звездочек.

Вот именно это и останавливает. Мы, например, запустили сайт меньше недели назад и вчера получили просьбу замаскировать пароль звёздами. То есть понятно, что так удобнее, но непривычность является (пока) более сильным аргументом против. С другой стороны, на сайтах с продвинутой аудиторией такой подход может быть оправданным.

И потом, пароли вводятся намного чаще данных кредитки, так что риск показать личную информацию примерно одинаков.

Александр Благочевский
16 марта 2010

Я вам расскажу как делал раньше и как делаю сейчас, чтобы просто посмотреть на проблему со стороны пользователя.

Раньше у меня везде был один и тот же пароль. И вбивал я этот один и тот же пароль сотни раз. Так что ошибка при вводе могла произойти только в очень редком случае (забыл сменить кодировку, пьяный, еще под чем-то).

Сейчас у меня для каждой регистрации свой пароль. Который я сначала генерирую в программе, которая все пароли хранит, а потом просто копирую его оттуда и два раза вставляю в форму регистрации.

Ни тогда, ни сейчас мне повтор пароля не был нужен. Я за одно поле. По поводу реализации уже здесь всё сказали: или кнопочка которая показывает/скрывает символы, или как на айфоне.

Виктор Глушенков
16 марта 2010

Вот тут тоже были варианты: http://groups.google.com/…/browse_thread/thread/7b219616716f6b8d/33c0c273d50fb60a

Мне возможность скрыть пароль (зелёный глаз у Артёма) кажется странной. Сделана она для параноиков, на экран которых через плечо смотрят коллеги. Если вдруг опасаешься, что пароль подсмотрят нечаянно, то закрывать его надо быстро, а в этот глаз пока мышью попадёшь. Значит, эта шутка для тех поклонников безопасности, которые никуда не спешат. Тогда уж быстрее ввести пароль и убрать эту форму с глаз долой. Наконец, если наш осторожный герой предусмотрителен, он заранее должен включить режим сокрытия, и вот это на Аймобилке ну совсем непонятно, пока не пощёлкаешь туда-сюда.

Хотя не спорю, решение вполне себе.

Алексей Рытов
18 марта 2010

При регистрации нужно вводить пароль дважды, т. к. велика вероятность опечатки. Если сделать это в открытом виде, то пользователи будут копировать пароль из первого поля через буфер, этим самым дублируя опечатку. Так что открытый пароль при регистрации — зло.

При авторизации уж точно не нужно скрывать одноразовый пароль, высылаемый на мобильник (довольно распространенная авторизация). На 3115.ru мы именно так и делаем.

Данные карты и открытые пароли нельзя запоминать в браузере. Есть свойство autocomplete, но оно не поддерживается Оперой. Можно решить этот вопрос более сложно, но более верно — делать рандомное имя поля или же делать скрытые поля в форме.

Насчёт ограничения длины паролей я недавно написал опус http://blog.ritov.ru/2009/12/make-me-comfortable-but-dont-make-me.html


18 марта 2010

Алексей!

Интерфейсы для людей должны допускать возможность человеческой ошибки. Пытаться предотвратить ошибку, усложняя жизнь человеку — это тупик. Давайте сделаем два поля — тогда будут копипейстить — давайте запретим копипейст. В итоге мы понижаем КПД собственной системы — благодаря вашим препятствиям меньше людей пройдут регистрацию (если она вообще нужна, это предмет отдельного разговора).

Что значит допускать возможность ошибки? Значит не позволять наступать концу света, если человек ошибся. Есть функция восстановления пароля. Чуть выше Олег Волчков написал, что упрощение регистрации наоборот _сократило_ количество обращений к этой функции в пять раз.

Зачастую люди следуют правилам только потому, что они сложились когда-то давно — но все уже забыли почему. Есть притча о женщине, которая возмутилась, что её муж не обрезал концы окорока, когда был у мясника. Когда муж спросил, зачем, та ответила, что так всегда делала её мама, а уж она знает толк. В тот же вечер тёща пришла в гости и на соответствующий вопрос ответила, что концы окорока обрезала её мама. Позвонили бабушке: «Дочка, у нас была маленькая духовка».

Алексей Рытов
18 марта 2010

Артём, вы меня убедили :-) Единственно, в качестве логина нужно использовать почту или телефон, иначе сложно будет восстанавливать пароль.

На днях встретил интересный способ авторизации в американском интернет-магазине. Фамилия + номер телефона. Оба этих поля обязательные при покупке, так что проблем нет. Пароля нет вообще!

Мне очень понравился такой принцип — просто платил, не регистрировался, ничего не получал на почту, но при этом имеешь аккаунт, в котором запомнен адрес доставки.

Рома Аверков
19 марта 2010

Странно, что «как на Айфоне» (последний открытый знак) для некоторых кажется решением в сторону поля с открытым паролем. Друзья, это всё те же звезды.

Известно, что так сделано на Айфоне только из-за отсутствия физической клавиатуры (с виртуальной случается больше ошибок). Это работает в сочетании с относительно низкой скоростью набора и тем, что «клавиатура» и набираемый текст находятся в едином поле зрения пользователя.

На «большом» компьютере показывать последний символ смысла нет совсем. Если вы владеете слепым методом набора текста, вы не будете успевать проверять буквы глазами. А если не владеете, вы всё равно будете смотреть на клавиатуру, а не на экран, в тот момент когда на нём будут мелькать буквы. (А есть ещё те, кто владеет, но из-за паролей за звёздами привык подглядывать на клавиатуру, чтобы не ошибаться).

Поэтому, либо показываем всё, либо не показываем ничего.

Михаил Мееров
19 марта 2010

Люди, которые боятся кражи пароля, боятся его кражи любым образом. Если человек действительно печётся о собственной безопасности, он придумывает сложный пароль вида gbljh@c, который при беглом взгляде запомнить весьма трудно. Считаю что надо делать одно поле и открытое. В любом случае паранойя возникает на стороне клиента и разработчику с ней почти невозможно бороться.

Необходимо оценивать ещё и важность самого аккаунта. Делать ввод при регистрации открытым в тех же Яндекс-деньгах нельзя, я считаю.

Александр Дебкалюк
30 марта 2010

На регистрации пароль нужно делать видимым во избежание ошибки, потому как для большинства пользователей восстановление пароля — это очень большой стресс.

Иван Пухкал
18 апреля 2010

В Windows Vista и 7 пароль для входа в сеть изначально не скрывается.

А те, кто по-настоящему боятся подглядывания должны, набирая пароль, ещё накрывать клавиатуру чёрным мешком.

Александр Дебкалюк
26 мая 2010

В этом англоязычном посте неплохо описаны преимущества и недостатки нескольких вариантов:
http://www.viget.com/advance/password-fields-are-annoying/

Иван Пухкал
5 июля 2011

Сайт магазина бытовой техники «Телемакс» показывает введённый пароль как при регистрации, так и при входе на сайт.

Павел Андреев
23 мая 2013

Пример сайта:
http://www.stoloto.ru/registration


Цель рубрики — обсуждение вопросов дизайна всех видов, текста в дизайне и взаимоотношений дизайнеров с клиентами.

Мы публикуем комментарии, которые добавляют к уже сказанному новые мысли и хорошие примеры. Мы ожидаем, что такие комментарии составят около 20% от общего числа.

Решение о публикации принимается один раз; мы не имеем возможности комментировать или пересматривать свое решение, хотя оно может быть ошибочно. Уже опубликованные комментарии могут быть удалены через некоторое время, если без них обсуждение не становится менее ценным или интересным.

Вот такой веб 2.0.

5 5 Если пользователь при авторизации на сайте трижды неправильно ввёл пароль, то на его электронную почту автоматически высылается письмо с ссылкой на восстановление 5 Зачем формы авторизации часто делают во всплывающих лайтбоксах 2




Недавно всплыло

1 6 Как вести себя с человеком, который Джима Кемпа не читал и вину не признаёт? 2 1