Comments 60
Чисто моё имхо: всё-таки, одна соцсеть — мало. Пример: у меня есть контакт, и через него я предпочитаю логиниться на большинстве сайтов. Но англоязычные сайты его предоставляют крайне редко (на этот случай у меня есть аккаунт в FB, авторизация через который есть везде). Но я бы хотел, чтобы у меня был выбор, потому что мне удобно, когда все аккаунты привязаны к основной соц. сети, а не к акку FB, которым я пользуюсь крайне редко.
Так что сценарий с соцсетью я предлагаю к доработке: во-первых, можно прямо спросить пользователя «Уже авторизовались здесь, но не помните, через какую соцсеть? Попробуйте несколько, а мы скажем вам, на которую есть учётка». А те соцсети, что он перепробует, потом привязать к успешно найденной оригинальной — и не забыть сказать об этом пользователю, мол, в следующий раз авторизуйтесь через любую.
А вот с логином и паролем схема мне нравится.
Так что сценарий с соцсетью я предлагаю к доработке: во-первых, можно прямо спросить пользователя «Уже авторизовались здесь, но не помните, через какую соцсеть? Попробуйте несколько, а мы скажем вам, на которую есть учётка». А те соцсети, что он перепробует, потом привязать к успешно найденной оригинальной — и не забыть сказать об этом пользователю, мол, в следующий раз авторизуйтесь через любую.
А вот с логином и паролем схема мне нравится.
Если бы я вводил пароль каждый раз руками, это было бы удобно. Но если использовать 1Password или другое хранилище паролей, то нужно будет совершить больше действий, чтобы войти — это минус.
А проблема разных учетных записей из под разных соц.сетей вполне решается в коде, за счет сравнивания e-mail'ов при регистрации. Тут главное, чтобы выбранные соц.сети отдавали эти e-mail'ы.
А проблема разных учетных записей из под разных соц.сетей вполне решается в коде, за счет сравнивания e-mail'ов при регистрации. Тут главное, чтобы выбранные соц.сети отдавали эти e-mail'ы.
Вот в этом и проблема — вконтакт и твиттер, например, почту не отдают принципиально (пи****ы!). Те, кто отдают, отдают тоже не сразу — нужно не забыть запросить соответствующее разрешение. Ну и самое весёлое: mail.ru и google будут отдавать именно свою почту. Т.е. у пользователя НЕ БУДЕТ одинаковой почты во всех соцсетях.
Если в базе находится пользователь с такой эл. почтой, просим ввести пароль
Утечка информации, без перехода ко второму шагу позволяет узнать, зарегистрировался ли определённый человек уже или нет.
По нормальному в современных браузерах есть менеджеры паролей, так что вход сокращается до одного единстевеного клика.
Такая «утечка» итак есть почти на всех сервисах, взять тот же хабр: yadi.sk/i/x8aYR6YrjXYbo
Именно с этой точки зрения предложенный подход не лучше и не хуже.
Именно с этой точки зрения предложенный подход не лучше и не хуже.
А не проще ли традиционную связку имя-пароль разместить и не заморачиваться? Если пользователь ввёл имя и/или пароль неправильно, код проверки подлинности просто сообщит что-то наподобие.
И никакие данные не утекут. Единственное, может быть использована форма регистрации для проверки, зарегистрирована ли уже почта, но как-то можно снизить эту угрозу, думаю, с помощью капчи, например.
Вы ввели неправильное имя пользователя или пароль.
И никакие данные не утекут. Единственное, может быть использована форма регистрации для проверки, зарегистрирована ли уже почта, но как-то можно снизить эту угрозу, думаю, с помощью капчи, например.
Меня пошаговые формы больше отпугивают.
1. Какой объем информации мне предстоит заполнить?
2. По привычке пользуюсь табом (не все под него будут затачивать шаги)
На вашем примере
3. Как вернуться на предыдущий шаг?
4. Подсказка вне формы. Большая часть клиентов не будет обращать внимание
5. >>> Если в базе находится пользователь с такой эл. почтой, просим ввести пароль
Название «Пожалуйста, вспомните пароль» никак не навеивает на мысль, что у меня уже есть аккаунт на этом сайте
6. Где сравнение с кол-вом отказов классического подхода и пошаговой упрощенной формой? (А/Б тесты?)
1. Какой объем информации мне предстоит заполнить?
2. По привычке пользуюсь табом (не все под него будут затачивать шаги)
На вашем примере
3. Как вернуться на предыдущий шаг?
4. Подсказка вне формы. Большая часть клиентов не будет обращать внимание
5. >>> Если в базе находится пользователь с такой эл. почтой, просим ввести пароль
Название «Пожалуйста, вспомните пароль» никак не навеивает на мысль, что у меня уже есть аккаунт на этом сайте
6. Где сравнение с кол-вом отказов классического подхода и пошаговой упрощенной формой? (А/Б тесты?)
У меня еще была идея — когда в форме логина юзер вводит email, которого нет в системе, не говорить ему об этом, а тут же регистрировать его и сообщать об этом.
И когда пользователь попробует 5 разных адресов в попытках вспомнить, какой именно он использовал на этом сайте, в качестве бонуса будут 4 новых аккаунта, а то и все 5.
Надеюсь в этой схеме, при регистрации, пароль не отправляется plain-текстом на почту…
Можно вообще упразднить пароль, отправлять каждый раз одноразовую ссылку для входа в письме.
спорное решение… вместо того что бы заполнить два поля и нажать кнопку войти, пользователю нужно будет еще открывать другое приложение (сайт/вкладку), искать там письмо (возможно в спаме, а если используется сборщик писем с ящика на которое должна прийти ссылка то дождаться письма), открыть авторизационную ссылку и только потом начать пользоваться сервисом.
Вообще считаю подтверждающие письма не должны блокировать доступ к использованию сайта до подтверждения (сайты которые не дают пользователю войти после регистрации пока тот не перейдет по подтверждающей ссылке из письма), а вы предлагаете на каждый вход — такую ссылку.
Вообще считаю подтверждающие письма не должны блокировать доступ к использованию сайта до подтверждения (сайты которые не дают пользователю войти после регистрации пока тот не перейдет по подтверждающей ссылке из письма), а вы предлагаете на каждый вход — такую ссылку.
Зачем при авторизации через соц. сети вводить email?
Если есть email, то можно авторизовать через ВК или через ФБ.
Если есть email, то можно авторизовать через ВК или через ФБ.
Чтобы слать вам «Интересное предложение». Плюс это техническое ограничение некоторых CMS где из коробки не может быть пользователя без email.
Я не про это.
Допустим делаем так:
1) получаем email из соц сети, которую выбрал пользователь.
2) находим в БД пользователя с этим email
3) предоставляем доступ.
Т.е. если пользователь сначала зашел через ВК, то потом может зайти в тот же аккаунт через ФБ или ОК.
Допустим делаем так:
1) получаем email из соц сети, которую выбрал пользователь.
2) находим в БД пользователя с этим email
3) предоставляем доступ.
Т.е. если пользователь сначала зашел через ВК, то потом может зайти в тот же аккаунт через ФБ или ОК.
Логично, но может быть кейс когда одна соцсеть регнута на мыло, а другая на сотовый.
Обычно так и делают. Тогда выбор из нескольких соцсетей не мешает жить.
В нормальном варианте ещё добавляется возможность слияния аккаунтов (например, если email'ы различаются): пользователь явно логинится через login+passwd и аккаунт соцсети. Или подключает дополнительные аккаунты в настройках.
В нормальном варианте ещё добавляется возможность слияния аккаунтов (например, если email'ы различаются): пользователь явно логинится через login+passwd и аккаунт соцсети. Или подключает дополнительные аккаунты в настройках.
Много много разных менеджеров паролей существует. Но у всех у них большая беда с двухшаговыми формами авторизации, т.к. эвристика определения формы входа часто строится на предположении что «есть два инпута, на одном текст открытый, на другом пароль закрытый».
как мне кажется, отсутствие кнопки «регистрация» будет ставить уже привыкших к ее наличию пользователей в тупик. Попробуйте сами А/В тестированием :)
Одному мне кажется, что это неприятно, когда просто по вводу электропочты можно идентифицировать — пользуется ли пользователь данным ресурсом или нет? Ещё, кажется, вполне возможно паразитировать на подобных сайтах, натравляя робота и перебирая почту — выдалась форма с приглашением вспомнить пароль — почту в копилку спамера.
Этим моментом предложенный подход не отличается от существующих. Взять тот же хабр: yadi.sk/i/x8aYR6YrjXYbo
Если вы дергаете из соц.сети почту, то после ввода разве нельзя понять через что зареган юзер и вывести ему только одну кнопку? А в обычном режиме не показывать соц.сеть вовсе? Ну это так, размышления…
Что бы дёрнуть данные соцсети, нужно сначала, спросить разрешения на это у сети, для чего пользователь будет туда редиректнут, где он должен авторизироваться (если куки протухли), после чего вас вернут назад, где вы уже окажетесь авторизированным или не авторизированным. Дальше к следующей… и так далее, пока не достигните нужной сети. Да за такое…
Зачем спрашивать каждый раз соц.сеть, если можно себе 1 раз в базу положить через какую соц.сеть регнулся юзер?
Наша форма авторизации выглядит так
Мы даже провели небольшое исследование — аккаунт Google есть практически у всех, путаницы не возникает. Никакой регистрации нет.
Мы даже провели небольшое исследование — аккаунт Google есть практически у всех, путаницы не возникает. Никакой регистрации нет.
У меня нет.
Обычно если у человека нет Google аккаунта это значит
1. Он не сидит на ютубе.
2. Он не использует гугл почту.
3. У него нет Android устройства
4. Скорее всего у него нет хрома
5. Скорее всего у него вообще нет аккаунтов соц сетей исходя их пунтов выше.
6. Исходя их всего что выше — он вообще врядли будет пользоваться нашим сервисом. Хотя есть случаи, когда для людей наш сервис идет как переломный момент в создании гугл аккаунта.
1. Он не сидит на ютубе.
2. Он не использует гугл почту.
3. У него нет Android устройства
4. Скорее всего у него нет хрома
5. Скорее всего у него вообще нет аккаунтов соц сетей исходя их пунтов выше.
6. Исходя их всего что выше — он вообще врядли будет пользоваться нашим сервисом. Хотя есть случаи, когда для людей наш сервис идет как переломный момент в создании гугл аккаунта.
Проверил, сам не ожидал, но оказывается есть, извиняюсь )
У меня нет андроид-устройства, я не пользуюсь хромом и почти никакими соцсетями (где я есть, связки с гуглом нету). Но вот гуглопочта у меня есть, хотя при всём, сказанном выше, она могла бы быть на маил.ру или яндексе, например. Тогда такая авторизация была бы для меня фейлом.
Обычно для меня фейл, когда надо авторизоваться через фейсбук.
Обычно для меня фейл, когда надо авторизоваться через фейсбук.
Вот видите. У вас нет соц сетей, но есть гугл почта. Если бы её у вас не было, что лучше сделать универсальный гугл аккаунт или не универсальный аккаунт на очередном сайте?
Скажем так, этим мы ещё больше поддерживаем идеологию универсальности нашего сервиса.
Скажем так, этим мы ещё больше поддерживаем идеологию универсальности нашего сервиса.
UFO just landed and posted this here
А вы не сравнивали в режиме А/Б-теста с вариантом, когда кроме этой кнопки есть еще и регистрация через почту? Или у вас на этой форме итак 0% отказов?
У нас конверсия была 80% по ссылке подписки на канал. Т.е. люди, которым целенаправлено нужны уведомления просто жмут вход.
У нас вообще сложно понять, что значит отказ. У нас пользователи заходят. подписываются на канал и их может вообще больше не быть на сайте. Они скачают клиент и будут получать уведомления. На сайте они находятся меньше 1 минуты.
У нас все завязано на гугл акк, аватарки, ссылки на гугл+, гугл авторизация в приложении. Мы не можем просто так сделать АБ тестирование с регистрацией на почту, но даже если бы и сделали 99% там была бы конверсия в разы меньше. Многие, как выше описал, просто делают себе Google аккаунт. Та же самая регистрация на почту, только не нашими силами, а гугла.
У нас вообще сложно понять, что значит отказ. У нас пользователи заходят. подписываются на канал и их может вообще больше не быть на сайте. Они скачают клиент и будут получать уведомления. На сайте они находятся меньше 1 минуты.
У нас все завязано на гугл акк, аватарки, ссылки на гугл+, гугл авторизация в приложении. Мы не можем просто так сделать АБ тестирование с регистрацией на почту, но даже если бы и сделали 99% там была бы конверсия в разы меньше. Многие, как выше описал, просто делают себе Google аккаунт. Та же самая регистрация на почту, только не нашими силами, а гугла.
Для вашей ЦА этот вариант более чем подходит. Любой другой бы сервис потерял бы меня как пользователя. Чаще всего я логинюсь либо через твиттер, где нет никакой ценной инфы и я сразу увижу, если приложение/сайт начало шалить. Либо через ФБ, где есть настройки публикаций такие, что приложение постит сообщения видные только мне (на самом деле даже я их не увижу).
Чтобы перейти на форму с одним полем, надо сначала принципиально отказаться от капчи, приняв на вооружение иной способ борьбы с ботами
Я один не понимаю, зачем вообще бороться с ботами? И как тогда выживают все сервисы, в которых при регистрации нет капчи?
зачем вообще бороться с ботами?
На одном из моих проектов я как-то было нашествие ботов — до 100 попыток регистрации в час. И в такой ситуации вопрос «зачем?» как-то не возникает.
И как тогда выживают все сервисы..?
Видимо, как я писал выше, принимают на вооружение иные способы. Хотя, разумеется, это актуально только для тех сервисов, которые представляют какой-то интерес для спамеров
Я вот считаю что капчу надо спрашивать 1 раз. Если уж так хочется. А не в общей форме. А то пароль сбрасывается, капча сбрасывается. Сиди и вбивай раз за разом. При регистрации особенно. Такой ник занят, сбрасывают оба поля с паролем и капчу (хорошо если емейл остается), потом пароль слишком короткий или не содержит чего-то…
Вход в Гугл-аккаунт именно так и происходит: сначала вводишь почту, а потом вводишь пароль.
Если почта не зарегистрирована, то пишет, что не удалось распознать адрес.
Так что Климентий на верном пути (по идеологии Гугл).
Если почта не зарегистрирована, то пишет, что не удалось распознать адрес.
Так что Климентий на верном пути (по идеологии Гугл).
Меня больше угнетает, что кнопка «забыли пароль?» такая маленькая, неприметная и фиг знает где находится… это же мой основной способ входа, а не эти ваши социалочки :-)
Реально, куда проще тыкнуть на неё, получить на почту ссылку и войти через неё, чем вспоминать какой же пароль я вводил на этом сайте при регистрации. Поэтому на последнем проекте мы сделали без паролей — есть только две графы — почта и телефон, плюс россыпь социальных кнопок, для ленивых. При этом по мере ввода все данные сохраняются в базу в уже созданный профиль пользователя, так что ничего не теряется. На почту приходит ссылка. На телефон — код и ссылка.
Реально, куда проще тыкнуть на неё, получить на почту ссылку и войти через неё, чем вспоминать какой же пароль я вводил на этом сайте при регистрации. Поэтому на последнем проекте мы сделали без паролей — есть только две графы — почта и телефон, плюс россыпь социальных кнопок, для ленивых. При этом по мере ввода все данные сохраняются в базу в уже созданный профиль пользователя, так что ничего не теряется. На почту приходит ссылка. На телефон — код и ссылка.
Одна соц-сеть — это очень мало. У меня, например, нет ВК, а ФБ я не люблю использовать для авторизации.
Интересный момент: а почему бы в случае создания нового аккаунта пользователя из социалки не дать ему возможность, поняв ошибку, дать возможность пересвязать акаунт с другой социалкой и слить два профиля? На многих сервисах можно привязываться ко многим сетям, это будет логичный шаг еще дальше.
Интересный момент: а почему бы в случае создания нового аккаунта пользователя из социалки не дать ему возможность, поняв ошибку, дать возможность пересвязать акаунт с другой социалкой и слить два профиля? На многих сервисах можно привязываться ко многим сетям, это будет логичный шаг еще дальше.
Я пользуюсь огромным количеством разных сервисов, поэтому далеко не всегда помню, на каких уже регистрировался и как именно. А еще у меня 5 адресов почты и минимум 6 соц. сетей. Вы знаете, я даже иногда удивляюсь, когда получается авторизоваться с первого раза. Знакомо?Нет. Вижу форму авторизации -> ALT-TAB в открытый Keepass, CTRL+F -> название сайта -> ENTER. Если регистировался, то без проблем залогинюсь с первого раза, ибо можно удобно скопипастить логин-пароль хоть вместе с автоподстановкой, хоть по отдельности.
Самое главное моё пожелание к формам, чтобы форма регистрации была такой же как авторизации — 1 поле email'а и 1 поле пароля.
Думаю, что сегодня большинство пользуется софтинками типа 1Password (и подобными под виндами) и поэтому категорически нельзя разделять поля логина и пароля на два шага. Это будет настоящее злостное анти-юзабилити :)
Я сам не разработчик, но есть ощущение, что это можно обойти. Например, на первом экране можно сделать скрытое от глаза человека поле ввода пароля, но так чтобы 1Password это поле видела. Тогда следующий клик уже приведет к успешной авторизации, можно даже не показывать следующий экран с видимым полем ввода пароля.
Sign up to leave a comment.
Юзабилити форм авторизации