Comments 5
Все да но момент про безопасность это чушь, безопасность и удобство часто не совместимые вещи, конечно останавливаться на КПП и показывать пропуск это неудобство, но без него в охраняемый периметр проще проникнуть (читай дешевле злоумышленнику и дороже защищаться).
“повторное подтверждение паролем — одна из самых ненадёжных и UX-неграмотных форм безопасности”.
Повторный ввод пароля - естественно по таймеру от последнего его ввода, нужен что бы усложнить жизнь злоумышленникам, получившим доступ к устройству пользователя на короткое время. Особенно это имеет смысл, если доступ к функционалу поделить на две группы - менее опасная, не требующая повторной аутентификации и та что должна ее требовать. Естественно это вопрос вероятностей - уменьшаем таймер между запросами пароля - уменьшаем вероятность взлома/кражи данных.
Да, повторный ввод может быть оправдан — если понятно зачем.
Но чаще он возникает внезапно и без объяснения, и пользователь не понимает, что именно он сейчас подтверждает и почему.
Например, в старых CRM запрашивают пароль повторно, чтобы просто скачать отчёт в PDF — без данных, без доступа к транзакциям. Для системы это «безопасность», а для человека — нелепость.
Проблема не в требовании, а в том, что оно не обосновано на уровне интерфейса. Это выглядит не как защита, а как баг.
Проблема не в идеологии, проблема в том, что человек работает в браузере, а отчет открывается в акробате, а у него своя аутентификация. Или, человек работает на www.domain а отчет открывается с report.domain.
Это просто архитектура приложений/аутентификации без всякого там теоретического обоснования. Это и есть баг.
посоветовал бы картинки добавлять
UX-аппендикс, 1 часть