За 20 лет, опыт создания паролей не особо изменился. Подумайте, насколько это значительный фактор, наравне с тем, как развились технологии. Представьте мобильный телефон, образца 1995 года, вспомните его вес, антенну и маленький темный экран. А теперь взгляните на свой смартфон, с его большим тач-скрином, HD камерой, и облачным хранилищем. Совершенно другой опыт. И тем не менее, опыт создания, и запоминания паролей остался таким же, каким он был в 1995 году.
Все мы проходили через следующие три ситуации. Предугадывая сложности, которые они несут, и создавая соответствующие формы, мы можем предотвратить связанный с ними негативный опыт еще до его появления.
Покажите правила
Представьте, что вы хотите купить туфли на сайте, где еще ни разу не совершали покупок. Вас просят придумать пароль, и ввести его в красивый белый прямоугольник, подписанный «Создайте пароль».
Вы вводите свой старый, заранее готовый пароль — hectorthecat, нажимаете дальше, и получаете ошибку: «Пароль должен содержать как минимум один символ верхнего регистра». Вы начинаете заново:
Hectorthecat
Ошибка: «Пароль должен содержать как минимум одну цифру»
Hectorthecat1
Ошибка: «Пароль должен содержать как минимум один специальный символ»
Hectorthecat1%!
Ошибка: «Пробелы, % или ~ < >; — недопустимые символы»
Hectorthecat123!!!
Ошибка: «Пароль не должен содержать восходящую или нисходящую последовательность цифр или букв» (Такое сообщение действительно существует, и присутствует, например, на сайте mint.com).
Вы сдаетесь, закрываете вкладку, и покупаете туфли в другом месте.
Если система заранее не отображает требования, то по сути, она просит пользователя сыграть в игру, список правил которой от него скрыт. Это будет нечестная, и неинтересная игра.
Решение: Покажите требования к паролю, и убедитесь, что пользователь видит эту информацию. Недостаточно просто дать на нее ссылку; она должна быть заметна непосредственно во время создания пароля.
Отображайте ввод
Если требуется создание сложного пароля, то пользователи придумывают их налету, добавляя специальные символы и т.п., и к этому моменту, такой ввод становится не столько пользовательским паролем, сколько случайной последовательностью символов, удовлетворяющих требованиям системы. Что еще хуже, эта последовательность скрыта от взгляда пользователя за звездочками.
Еще один недостаток маскировки ввода заключается в том, что он скрывает опечатки. Это особенно важно, учитывая тот факт, что множество пользователей создают пароли на мобильных устройствах.
Решение: покажите пользователям вводимый ими пароль. Такой подход улучшит запоминание, и позволит пользователю проверить ввод. На десктопах, по умолчанию, скрывайте пароль, а рядом с ним, разместите чекбокс, подписанный «Показать пароль». На мобильных устройствах, по умолчанию, показывайте пароль, а чекбокс подпишите «Скрыть пароль».
Покажите, что надежность имеет значение
Такие подробные требования к составлению паролей заставляют пользователей изобретать случайные последовательности. Они подчиняются, потому, что система их заставляет, но в итоге, они все равно, часто, создают легко подбираемые пароли и фразы. Удовлетворение требованиям не обязательно ведет к созданию безопасных паролей, особенно в случаях, когда пользователь придумывает их только для того, чтобы пройти экран регистрации.
Решение: мотивируйте создание лучших паролей, показывая степень их безопасности.
Исследования показали, что индикатор надежности мотивирует пользователей создавать более надежные пароли. Визуальное отображение надежности пароля, говорящее о том, что ее можно улучшить, меняет мотивацию. Система дает пользователю понять, что преимущество здесь заключается в создании безопасного пароля, а не в выполнении ее требований. Эта небольшая корректировка оказывает значительное влияние на безопасность.
Заключение
Три рекомендации, представленные выше, упрощают процесс создания паролей, и улучшают пользовательский опыт. Их можно реализовать без особых технических усилий. Но кроме того, я призываю сторонников юзабилити упростить требования к паролям. Обычно, люди, занимающиеся юзабилити внутри компаний, получают строгие требования по безопасности из других отделов, и обычно, с этим ничего нельзя поделать. Но дело не в этом.
- Покажите команде, занимающейся безопасностью, исследования, которые ясно дают понять, что стандартные рекомендации по сложности паролей более уязвимы, чем другие их виды. Например, исследование, проведенное в университете Карнеги Меллон показало, что «Определенные комбинации требований (для длинных паролей), оказались и надежней, и удобней, чем их традиционные варианты». И повторите, что пользователи, создающие сложные пароли, часто хранят их в небезопасных местах.
- Команде, занимающейся продажами, покажите, как легко можно отпугнуть пользователя стеной логинов, и сложными требованиями, которые приводят к снижению конверсий. Когда создание аккаунта — важнейшая задача, процесс регистрации должен быть настолько простым, насколько это возможно.
Перевод статьи Кэти Шервин