Как стать автором
Обновить

Комментарии 274

видимо наболело =)
НЛО прилетело и опубликовало эту надпись здесь
гм… думаю заказчики не особо в теме юзабилити. они видели как сделано в основной массе и попросят также. а заказчик, к сожалению, «прав».
Заказчик прав на базаре, когда выбирает одежду.
Да вы что!? т.е. вы всем своим заказчикам говорите: мы не на базаре, будем делать так как я скажу???
Возможно, Pawtin уже не школьник, знает себе цену и не работает с заказчиками, которые знают лучше него как надо делать.
Не исключено, что вы тоже к этому прийдёте.
В очередном списке полей анкеты пользователя для ТЗ от коллег увидел «password / confirmation».
Решил поворчать.
И правильно решили!

В защиту, хочу сказать, что если пароль не высылается на почту, его повторение при вводе в некоторых случаях действительно имеет смысл.

Но я хотел написать не об этом.
Не сегодня и не завтра, но Сеть уйдёт от сочетания логин+пароль в том виде, как мы его сейчас используем. И новый подход для современного ему пользователя будет также привычен, как и нам форма с подтверждением.

Мне интересно экспериментировать с авторизацией в своих этюдах. Например, в последней опытной версии авторизации, пользователю случайным образом генерируется подобное словосочетание:

бесспорно боевой батько
пыльно подтиравший профит
шикарно шаманский шлагбаум
чистоплотно чугунная частота
досконально докуренный дебит

Оно используется как логин и пароль одновременно.
Дебит действительно докурен!
Кстати говоря, это реализация идеи Джефа Раскина. Может выглядит и странно, но это работает. Хорошо или плохо — покажет время.

Маразматические словосочетания, как ни странно, запоминаются. Плюс, для упрощения запоминания, все три слова начинаются с одной буквы.
Эмоционально. Категорически поддерживаю.
НЛО прилетело и опубликовало эту надпись здесь
А это вообще отдельная тема. Зачем нужно делать отдельный логин и ник? Это мягко говоря лишнее, учитывая, что и так на многие сервисы можно логиниться по эл. почте, и поэтому в поле «логин» у тебя появляется аж 3 варианта, над каждым из которых нужно долго думать — ведь туда можно ввести непосредственно сам логин, ник или мейл
Так и E-mail бывает требуют повторить…
хорошо, что они верят в то. что я способен с первого раза написать правильно свое имя)
*устаревший на 8 лет ответ*
Отдельный логин и ник приходятся к стати когда ты хочешь на форуме быть Winter Mute, но сайт говорит «логин только цифры и буквы, никаких пробелов», и приходится регистрироваться либо как Wintermute либо Winter_mute.
Это ещё что, вот на сайте моего провайдера регистрация, и попробуй догадайся, что вводить
Ах, да, тоже кретинизм — отмечать звездочкой все поля, а потом писать, что только они обязательны для заполнения.
Не нервничайте вы так… :)
Ну попросили вас 2 раза ввести пароль, так это же для вашего удобства.
Зато потом, в случае ошибки, не надо будет запрашивать восстановление пароля :)
Я не нервничаю.
У меня установлен плагин для показа пароля, я умею копировать и смотреть сохранённые пароли.
В случае чего, недолго и Firebug'ом залезть в код и сменить тип поля.

Удручает неоправданные усложнения, ради усложнений.

Зато потом, в случае ошибки, не надо будет запрашивать восстановление пароля :)

Пароль, зачастую, будет выслан.
После ввода, браузер предложит его запомнить и лично я соглашусь.

А вот восстановление, в моей практике, чаще приходилось делать из-за того, что вбивал дважды вслепую и забывал, какой именно вариант дежурного пароля вбил, особенно если с другой машины, например работа—дом.
То бишь, дублирование и скрытие не только не помогало — мешало.
Простите, но и по классической схеме я наступал на грабли не раз, вбивая пароль по ошибке на другой раскладке. Как ценитель хороших интерфейсов, идею одобряю.

ps: Однако не стоит забывать о снижении безопасности!
Далеко не везде оправданы высокие требования к безопасности. Вряд ли нужна банковская защита на сайте Lingvo)
Мне удобно пароль *видеть*. В 99.9% времени я один за компьютером. Никого ни рядом ни за спиной, ни под столом, ни на потолке. Один. Совсем. Как и большинство пользователей за *персональным* компьютером.

А про удобство ввода два раза… А про удобство ввода два раза… Да, очень удобно. Да, очень удобно. Вы сами попробуйте!!!
Достаточно одного недруга, случайно подсмотревшего дефолтный пароль, что бы испортить вам жизнь. И дело не только в возможной потере килобаксов и т.п. — даже социальные взаимодействия после компрометации могут задолбать.

Другое дело, что хорошо бы иметь опцию «показать пароль» для случаев 100% уверенности в отсутствии подглядывающих.

Два раза вводить при условии обязательности email/сотового — действительно, перебор. Собственно, это извращение появилось тогда, когда не было возможности связаться с пользователем иначе, чем через реализуемый интерфейс.
Собственно, это извращение появилось тогда, когда не было возможности связаться с пользователем иначе, чем через реализуемый интерфейс.

А когда такая ситуация была?

E-mail появился в 1988 году, за 7 лет до 2.0 спецификации HTML, где описаны формы.
С появления WWW и до 1998 года, примерно. Во всяком случае, лишь через продолжительное время после начала пользования интернетом через модем у меня появился первый e-mail ящик на usa.net. И только потом я узнал о chat.ru/mail.ru.

Во всяком случае, в середине 90х среди моих знакомых было много, кто зависал на разных вебчатах в компьютерных классах и сёрфил веб, но кто не общался через инет и, соответственно, почты у них не было.

Почту стали активно спрашивать/проверять при регистрациях уже в 2001-2002 годах, когда спамеры всех задолбали.
С e-mail я полностью согласен. А для пароля это нормально.
Тоже согласен. Но часто бывают случаи когда ещё капчу просят ввести. А если ввёл неправильно (современные капчи нормальный человек может с первого раза и не разглядеть), то поля ввода пароля попросту очищаются. Вот тогда точно начинаешь материться на то, что его 2 раза надо вводить.
упс… вот так:
Поздно, Бог уже покорал котёнка.
Кора Б-жья
Западный демотиватор: нейтральная картинка + остроумная подпись = смешная картинка
Русский демотиватор: смешная картинка + банальная подпись = FFFFFFFUUUUUUUUU~

В этой ветке есть два наглядных примера.
Лемминги даже не знает что такое демотиватор, для них это просто прикольная картинка в черной рамке.
А я вот бывает опечатываюсь часто и не смотрю что ввёл, и с мылом может выйти засада.
Тут я обеими руками за дублирование.
А вот пароль действительно вещ не сильно нужная при наличаи мейла.
Дело в том, что, на мой взгляд, дублирование не выполняет тех функций, которых от него ожидают, в этом вся беда.
Происходит либо копирование — никакого эффекта, либо ручной ввод — вероятность ошибки растёт с каждым дополнительным вводом.
А часто браузер просто даст подсказку e-mail'а в поле.

В итоге, как и пишу — фарс, защиты нет, есть только минусы и усложнение.

Что до проверки e-mail и валидации форм — тут отдельный большой разговор.
проверка email — это вообще что-то
очень редко получается ввести email в виде username+site.com@gmail.com
потому что почти все стандартные регулярки считают знак "+" в мыле невалидным. хотя он очень даже валиден
НЛО прилетело и опубликовало эту надпись здесь
Могло соскочить на другую раскладку. Было пару раз такое.
Предлагаю посмотреть с другой стороны:

При вводе пароля без конфирмации возможность ввести пароль не тот который ожидался тоже есть, причем она гораздо больше.
Необходимо еще сделать ссылку на невнимательность юзверя.

Да и вообще, помойму проще 2 раза пароль набрать, чем лезть слазать на мыло (посматреть пароль). А если учитывать, что не все регистраторы отправляют пароли на мыло получется, что вероятность того, что вы начнете свой экскурс в сайт с востановления пароля восзрастает так же.

Честно, не знаю кому проще слазить к себе на мыло, а потом еще и востановить пароль вместо того, что бы просто ввсести пароль 2 раза.
А фишка «показать пароль» мне нравиться.
неужто кто то вводит его сам? уж сколько лет все браузеры запоминают ввод
Запоминают только у поля email, поле для подтверждение обычно недоступно для авто-ввода. Поскольку свое мыло я вбиваю уже не первый раз, а мизинец автоматом тыкает Tab (чтоб его покарало за его вредную привычку) для перехода на следующее поле, то проще и быстрее вручную ввести, чем возвращаться назад, копировать, вставлять…
Автозаполнение — зло. Во-первых, небезопасно. Во-вторых, не видел ниодного работающего на 100%. ИМХО.
Как вариант, сделать минимум полей, а на следующей странице показать все поля для проверки.
Причем не обязательно ждать подтверждения, достаточно поставить таймер 10 сек, если по окончанию отсчета не была нажата ни кнопка «редактировать», ни кнопка «подтверждаю», автоматически считать данные подтвержденными.
тамер… вот представьт е себе. вам 80. вы плохо видите. начсинаете читать сваю инфу и тут страница улетает в дальние края. какие красочные эпитеты вы подберете к этому сайту?
Сейчас все больше людей пользуют полностью онлайновые сервисы, без их дублирования в оффлайне… таже почта к примеру. И сидя на работе, у меня нету никакого желания сохранять пароль, когда мне это предлагает браузер, потому что хз кто сядет за комп в мое отсутствие.
Повторять пароль или нет… не поверите, но для кого-то проще правильно вбить пароль (а повтор сокращает вероятность опечатки), чем потом пользоваться восстановлением или искат ьего в почте — сейчас входят в сеть все менее и менее грамотные в плане ИТ люди, это нормльаная для них ситуация. А еще у них часто есть пару любимых паролей которые они юзают везде (понятно тчо это, с точки зрения безопастности, очень плохо), так если они опечатаются (а повторного поля нету) — у них будет сильный ступор когда они столкнуться с тем, что их привычный пароль не подходит.
Тут как раз из двух зол выбирают меньшее на мой взгляд — проще опытного попросить вбить два раза, чем потом возиться с неопытным восстанавливать пароль и т.д. =)
НЛО прилетело и опубликовало эту надпись здесь
Дома что угодно, а рабочий комп он кагбе не ваш и вполне может понадобится по делу в ваше отсутствие. Если в вашем конкретном случае это не так, то это не повод с умным видом заявлять как всем нужно поступать.
НЛО прилетело и опубликовало эту надпись здесь
Это если есть админ, который этим занимается. Тогда организация — это его проблема.
Но это не всегда так. Работы бывают разные, не только IT и не только офисные. И ситуации бывают тоже всяческие. И всё заранее предусмотреть также не реально. Я лишь пытался Вам сказать, что не надо сразу обобщать и делать заявления, мол комментатор дурак, а я вот знаю что всем и всегда всё нужно лочить.

В общем случае, если на работе кто-то садится за Ваш компьютер, значит зачем-то ему это нужно. Не подглядывать, а по делу, но он может попасть в чужую почту просто открыв браузер. На рабочем компе должна быть работа, так какого лешего комп залочен? Что нужно скрывать от коллег?
НЛО прилетело и опубликовало эту надпись здесь
Да я то всё понимаю и полностью согласен. Будучи студентом сам работал админом в небольших конторах.
В общем — то в бутылку я полез из-за категоричности тона, это правда :) Мол надо и всё. И хотел указать, что работы и случаи бывают разные. Что не стоит так безаппеляционно обобщать.
В большинстве случаев Вы абсолютно правы.

Я работаю в научном коллективе в институте. И «чужие здесь не ходят», и люди работают грамотные. Поэтому всего вами перечисленного я не опасаюсь. И если кто — то сядет за мой комп, то только потому что «шефу срочно вдруг понадобилась» какая — нить хрень, а меня нет. Происходит это раз в сто лет и по закону подлости (именно когда я недоступен), предугадать невозможно :) У меня свой проект, ни с кем не связан, своя убунта и вся работа в своём хоуме. И ради подобных исключительных ситуаций мутить с учётками нет никакого желания.
Другая типичная у нас ситуация это когда приехал коллега в командировку и ему надо выдать временное рабочее место. Не полноценное, а просто любой комп с инетом для работы с литературой например. Соотвественно он просто сажается на место кого — то отсутствующего. Тут с учётками мутить тоже в общем — то смысла нет. Да и некому. Да и не поймёт никто зачем эта лишняя возня чтобы пару pdf'ок прочитать, когда и так дел за гланды.
Но при этом конечно же на своих местах все постоянно залогинены в свой гмейл. Опять же есть компы, подключённые к приборам. Пришёл, снял свой спектр или чего надо и ушёл. С учётками тут тоже заморачиваться глупо. Но пока прибор работает почему бы не посмотреть свою почту. Там приходится каждый раз вбивать пароль и потом выходить, да. (о чём изначально речь — то была :)

В общем мир — дружба. А то сцепились на пустом месте. Чего мусолить.
> повтор сокращает вероятность опечатки

Вот это ключевое.
А исходя из чего такое мнение?

Проведите эксперимент: откройте текстовый редактор и начните печатать пароль или e-mail.
Раз за разом, с новой строки.
Обратите внимание как скоро опечатаетесь.

А пароль при этом ещё и скрыт.
В результате — ритуал: быстро и одинаково вбить излюбленный пароль.
Проверка моторики и памяти, не качества вводимых данных.
Попробовал.
Короткий пароль для большинства сайтов ввел 14 раз без ошибок,
потом уже начала рука барахлить)
Длинный секурный пароль ввел три раза, дальше набирать не смог, ибо 34 символа.

Обычно, даже если и опечатываюсь в пароле, сразу это замечаю и исправляю.
> Короткий пароль для большинства сайтов ввел 14 раз без ошибок

Вот оно — нужно вводить 15 полей!

Лично я, в зависимости от спокойствия обстановки, могу дать сбой при первом же вводе, пароль достаточно длинный, более 20 символов.
И очень не люблю перебивать.
Ну я свой пароль ввожу очень быстро обычно — потому к 15 разу начал сбиваться)
Даже если вообразить сферическую форму регистрации в ваккууме с 20 подтверждениями пароля — я уверен, что введу все разы правильно.
Просто этот пароль — мой первый пароль на диалап и он уже давно вшился мне в спинной мозг =)
Наверняка многие стали вспоминать свой первый пароль на диалап. Я моментально вспомнил оба: на инет и на статистику.
Проведите эксперимент: откройте текстовый редактор и начните печатать пароль или e-mail.
Раз за разом, с новой строки.
Обратите внимание как скоро опечатаетесь.

Очень странное сравнение. В редакторе опечатки будут от множественного (явно больше двух) повторения одинаковых действий, а пару раз ввести пароль — это совсем другое.

Проверка моторики и памяти, не качества вводимых данных.

А разве качество вводимых данных не зависит напрямую от моторики и памяти?
Проверка моторики и памяти, не качества вводимых данных.

А разве качество вводимых данных не зависит напрямую от моторики и памяти?

Зависит, но проверять нужно не моторику.
я как-то на каком-то сайте опечатался в имейле и потом забыл пароль.
и все, приехали.
так что спорно, что оно совсем не нужно…
а вот чтобы Вы могли заметить опечатку и придумали всякие письма типа «поздаравляем с успешной регистрацией / велкам к нами т.п.». не пришло письмо — надо сходить проверить реквизиты. письмо ведь обычно приходит гораздо быстрее чем заканчивается сессия и Вы нажимаете logout ;)

З.Ы.: автозаполнение рулит + меня catch-all ящики в своих доменах для этих целей имеются. опечатался и черт с ним, все равно придет.
автозаполнение, безусловно, рулит. а там где автозаполнения нет (читай «чужая» машина) все равно внимательность повышается самим фактом работы за чужим оборудованием, т.ч. дублирование в самом деле ни к чему.
НЛО прилетело и опубликовало эту надпись здесь
согласен с автором.
к тому же проблема становиться очень актуальной при росте мобильного интернета. И если на обычной клаве слепым методом набрать даже 2 раза пароль не так сложно, то сидеть и матерясь набирать 2 раза пароль на телефоне (а еще в автобусе каком, в давке, трясет и тп.). И хорошо если пароль короткий.
Ох я как-то попытался ввести свой платежный пароль в ЯДеньгах с телефона…
Часа за полтора я справился, да)
Если бы я регистрировался прямо с мобильного, я бы ввел что то вроде «123456».

А вот когда при входе на мобильную гуглопочту меня просят ввести мой 18-ти значный пароль, который я к тому же, уже и не помню (ввожу машинально на клавиатуре), мне действительно хочется кого-нибудь убить.

Менять привычный пароль на короткий и легко вводимый с телефона — как то не хочется.

Пришлось установить Яндексовое приложение для почты, которое запоминает пароль, и к тому же, мгновенно проверяет почту, без необходимости обновлять вручную.

Но на большую часть сервисов для мобильных не хожу именно потому, что не могу ввести свой пароль.
Идея хорошая, но Вы подумали о юзабилити читателя? Сколько Вы, Автор, вывалили букв для передачи простой и ясной мысли?
Краткость, собственно, это — сестра, то есть близкий родственник, таланта. Иными словами, и этот комментарий мог быть короче, и статья Ваша.
А так молодцом. Даже [убранно цензурой] про это где-то в ководстве писал. Так-то.
> Сколько Вы, Автор, вывалили букв для передачи простой и ясной мысли?

Нет так много, как может показаться.
И, как можете видеть по комментариям, не такая уж она простая и ясная.

Лучше изложить в примерах, нежели быть обвинённом в поучительстве и многократно отвечать на вопросы.

К тому же, всегда готов к тому, что исхожу из неверных доводов и ошибаюсь в выводах.
Возможно, видя исходные положения рассуждений, меня кто-либо поправит и спасёт от заблуждений.
Ну вот давайте без истерик про двойные поля.

Когда некоторые чёртовы веб-мастера перестанут запрещать мне использовать в пароле подчёркивания, дефисы или даже цифры, тогда уже можно будет ныть про всё остальное. А пока — хаос и безумие.

Про кириллические домены сказать или и так понятно? ;)
НЛО прилетело и опубликовало эту надпись здесь
Мне вот 12 не всегда дают ввести :(

Вот, кстати, давно хотел спросить, раз уж тут все такие специалисты: а есть ли какие-либо технические обоснования для любых подобных ограничений? Браузер не сможет передать кавычку или дефис? Поле в базе даннх погнётся от 16-ти символов?
> а есть ли какие-либо технические обоснования для любых подобных ограничений?

Конечно: нерадивость разработчиков.
Нет, правда — они сами стреляют себе в ногу? Неужели нет даже самой простой и крайне идиотской причины? :)
Конечно нет, какие могут быть причины?
— Эй, Вась! Сколько там длину пароля поставить?
— Да ставь 8, хватит и 8
Бесит аьска в этом смысле. Я так понимаю у них на серваках длина поля восемь символов. Понятно в девяностых не такие мощности были, но сейчас его можно на домашнем компе подобрать. Давным давно использую десять символов, сейчас как-то само получается 12-16.
В нормальных сервисах пароли любой длины хешируются, например, через md5 длина которого стандартна. Ограничения могут возникнуть, только если пароли хранятся в открытом виде.
Т.е. они их еще и в открытом виде хранят?
Вполне возможно, что так. На самом деле, очень и очень большое количество самых популярных сервисов страдают этим по разным причинам. Зачастую, так «исторически сложилось» и хешировать всю разросшуюся базу представляется серьезной проблемой. А бывает, что пароли хранятся нормально, но вводятся глупые ограничения на формат.
Вот! Давно удивляет эта проблема. Особенно когда логин латинскими буквами и без пробелов нужно. А я, может быть, «Александр Македонский» хочу себе логин. Мне кажется, это от языков программирования идет — имя переменной должно начинаться с буквы, буквы латинские, без пробелов и спецсимволом, и т.д., программисты не задумываясь эти ограничения переносят и в логины/пароли. Технических обоснований, понятно, нет.
Может хотят снизить количество почти одинаковых вариантов?
Александр Македонский — только русский
Aлександр Mакедонский — часть букв латиницей
Александр Македонский — дополнительный пробел

и тд.
В чате bizarre сделана автозамена всех латиноэквивалентных символов кириллицы на латиницу, при сохранении возможности их ввода в любой раскладке. (Как перегиб, там даже буква З заменяется на цифру 3.) Соответственно, двух одинаковых Македонских там просто быть не может:).
думаю это пошло издревле, когда пароли хранили в открытом виде в бд) разработчики ленились экранировать/деэкранировать спец. символы при работе с бд, поэтому им проще было насильно ограничить диапазон допустимых символов в полях формы.
Учитывая, что куча сервисов присылает мне пароль по почте, они по-прежнему хранятся открыто :(
не обязательно. сначала высылается письмо с паролем, а потом сохраняется хэш в БД
Хочется верить.
Если при использовании функции «забыл пароль», Вам предлагают перейти по ссылке и там ввести новый (или что-то в этом роде), скорее всего пароли у них в открытом виде не хранятся.
НЛО прилетело и опубликовало эту надпись здесь
Ну прям, расскажите это сотням сервисов, которые присылают пароль по почте. Вряд ли они исключительно отправляют его вам.
НЛО прилетело и опубликовало эту надпись здесь
а что мешает хранить пароль и его хэш в разных переменных? Открытый пароль отправляется на email, а хеш — в базу
Кстати, уже не помню где, но видел на одном сайте — пароль кодировался в MD5 прямо на странице, и отправлялся сайту уже в виде хэша — и при регистрации, и при авторизации. Не плохая была задумка.

А используя «соль», можно было бы свести на нет любые попытки отловить пароль при передаче, и на каждом сайте был бы свой, уникальный хэш.
>Поле в базе даннх погнётся от 16-ти символов?
Если хранится пароль, а не хэш (пароля/пароля с солью), то это уже идиотизм ИМХО
16? Это Вам очень повезло.
Я чуть не проломил челюстью столешницу, когда обнаружил, что онлайн-морда одной из крупнейших мировых платёжных систем не даёт ввести больше 8 символов в качестве пароля.
ICQ же, столп безопасности.
причем нигде не сообщают об этом, тупо обрезали мне пароль, а я наивно вводил все свои символы)
Ну, чатик-асечка — это одно, а онлайн-доступ к моей, блин, кредитке! — немного другое, согласитесь?
Снять/перевести деньги, конечно, там нельзя, но посмотреть всю историю платежей — очень даже.
Вопрос: где мне найти того мудака, который принял решение «пользователю хватит 8 символов» (причём только букв/цифр)?
где мне найти того мудака, который принял решение «пользователю хватит 8 символов» (причём только букв/цифр)?

В банке?

Крупные организации, конечно, малорасторопны, но, имея некоторую настойчивость, можно выйти на руководящего человека, которому изложить своё недовольство.
Или написать в письменной форме на имя человека повыше в руководстве.

Они заинтересованы в безопасности и, по идее, должны идти навстречу в этом вопросе.
Ситуация вполне может быть чьей-то халатностью на месте — программист не долго думал.
При регистрации пластиковой карточки в Verified by Visa максимальная длинна пароля вообще 10 символов :-(
В смысле, при попытке оплатить что-нибудь вас перекидывает на страницу, на которой можно ввести максимум десятисимвольный пароль? Это всецело зависит от банка. Мой раздает карточки одноразовых паролей, пароль с которой у меня при VbV-транзакции и потребуют, кто-то, скорее всего, мог реализовать схему получения пароля по СМС с последующим его вводом в эту форму… В общем это я к тому, что нет единого стандарта и каждый банк сам волен выбирать схему проверки. Попробуйте выйти на контакт с вашим банком по этому вопросу, может и получится что-то изменить.
Я пользуюсь автозаполнителем и вам советую. Много времени экономит.
Это экономит много времени хакерам, при получении отчетов с трянов. Двигайтесь в том же направлении, они будут вам благодарны.
То есть оказывается что если компьютер под контролем злоумышленника — то можно лишиться приватных данных? Какой ужас, как страшно жить :)
1. Я не параноик.
2. У меня хорошая защита.
3. Я слежу за тем что качаю.

Можете не переживать.
Вообще говоря, лично я не сталкивался с троянами (на своей машине) с 2002 года.

Мне кажется проблема распространения вирусов — это проблема _полной_ безалаберности некоторых пользователей. Даже если в моем фаерволе будет критическая уязвимость, шансы, что я буду заражен в тот момент, когда она еще не устранена стремятся к нулю.

Я, если честно, даже слабо представляю, откуда некоторые пользователи умудряются скачивать целые букеты различных вирусов. У меня Касперский молчит уже пол года — последний раз он ругался на принесенную знакомым флешку.
Товарищи, прощу не видеть в написанном истерик и метаний.
Не склонен к оным.

Стилистика текста выбрана осознанно, чтобы чуть добавить живости.
В остальном текст, даже, флегматичный.
А вы подумали о тех пользователях, которые на вы с компьютером, им неведомо то что в мейле есть пароль, то что пароль потом можно изменить, а опечататся для них проще простого, они будут куда больше недовольны тем что прошли 7 кругов ада регистрируясь и не имеют возможности пользоватся сервисом. Если он(сервис) расчитан на широкую аудиторию, такой подход более чем оправдан.
Вы не сказали главного: каким образом, по вашему мнению, повторный ввод помогает избежать ошибок в том чтобы вбить нужный пароль (именно нужный, а не одинаковый дважды)?

На мой взгляд повторный ввод лишь страхует от того, что человек плохо запомнил только что вслепую придуманный пароль или с недостаточным уровнем автоматизма его вводит.
Самое лучшее для таких людей — просто увидеть пароль своими глазами.

Моя мама, наверняка, была бы счастлива всегда вводить пароли в открытую.
Нужно будет ей установить плагин для показа.
по поводу мейла вы считаете точно так же?
Конечно.
Лучший контроль — внимательный осознанный ввод.

Ну и автоматика должна помогать, конечно: проверка адреса на соответствие формату, проверка существования домена / быстрая проверка по списку популярных сервисов почты.
Можно предусмотреть и другие страховки, позволяющие исправить ошибки, но не требующие дополнительных действий именно в момент регистрации.
на одном сервисе очень много регистраций, там нет двойного поля ввода email, часто по долгу службы мне приходится лазить в эту таблицу, не поверите сколько там есть опечаток с email. Они легко вычисляются так как требуется подтверждение а потом при просмотре кто не подтвердил выясняется почему. Я конечно против двойного ввода email, но меня бесит когда делают такие бестолковые системы что если ты не подтвердил свой email то нихера не можешь сделать, даже войти. Вот этому стоит уделить внимание при разработке, ошибся email, знает пароль, дай возможность сменить email.
И как вы себе это представляете? Уникальный пароль? «Извините, такой пароль уже занят, придумайте себе другой, а еще вы можете угнать вооон тот аккаунт с таким же паролем»?

Это было во-первых. Во-вторых: резко увеличится число атак на аккаунты по паролю 123456.
а при чем тут это я вообще не понял. какие нахер уникальные пароли. Я имел ввиду что не стоит НЕ пускать пользователя к своим данным если он не активировал свой аккаунт, или по меньшей мере дать возможность сменить email для получения той же активации.
Если бы вы написали, что имели ввиду — вопросов бы не возникло. Теперь я вас понял:)
НЛО прилетело и опубликовало эту надпись здесь
А я вот в одной книжке читал что человеку голову отрезало трамваем, с тех пор через трамвайные рельсы — ни ногой :)
Там ещё масло фигурировало, опасайтесь.
Оливковое — особенно непредсказуемо!
Разве не подсолнечное?
а не все ли равно, на каком подскальзываться? :)
На сливочном кошернее :)
очень плохие интерфейсы… плохие интерфейсы…
я когда в интернет шел — думал, что все намного будет, но что-то как-то не удалось…
беспонтовые интерфейсы, очень плохие интерфейсы…
я думал, намного лучше это будет всё…
респект, Вы куда лучше передали краткое содержание лекции, чем я пытался комментом выше
… и народу, народу мало в интернете…
а что за направление?
Направление? Какое направление?
// тут я бы вставил скриншот ролика, только кармы не хватает
ребята, пожалуйста, добавьте кармы
Аккуратнее с подобными просьбами, за такое её здесь обычно сливают.
это был крик души =)
Чувствую, на нас уже косятся :)
Ссылка на оригинал диалога.
Интересно, возможно-ли средствами js, чтобы браузер автоматом сразу ставил значения в поля, даже если человек ни разу его еще не посещал?
Попробуйте Greasemonkey (плагин для Firefox)
зачем паролю ставят type=password действительно непонятно. возможно на заре компьютерной эры когда 99% паролей вводились в колхозных интернет-клубах и аудиториях где шляются туда-сюда лаборанты-аспиранты, в терминалках где за сессией может наблюдать нечестный админ, это имело смысл.

но сейчас, когда чуть ли не у каждого первого есть свой личный девайс для интернетов, галку «показывать пароль» должны делать везде и всюду, а не только самые продвинутые. и естественно, если пароль открыт, подтверждать его не нужно. вариант что пароль угонит троян по скрину — еще смешнее. куда проще угонять всё по типу input-поля.

но это всё еще ничего. некоторые ушлые, особенно этим грешат банки, заставляют насильно изменять пароль каждые n дней или логинов. именно после изменения пароля наибольший процент пользователей лишается возможности входа т.к. новый пароль часто тупо забывается или неправильно изменяется. зачем вообще заставлять поменять пароль? злобные хакеры брутфорсят твой старый день и ночь и таким образом можно обламать им всю малину? бред.
НЛО прилетело и опубликовало эту надпись здесь
Я, например, часто ввожу пароль, когда рядом кто-то сидит (например, девушка).
зачем приводить девушку к компьютеру? ни с компьютером ни с девушкой нормально не… хехе

а если серьезно, при ком-то вводить пароль вообще крайне плохо т.к. хотя бы часть пароля весьма легко подсмотреть по клаве. я уже молчу про детей которые легко запоминают быстровводимые последовательности из 10-15 символов. именно для таких случаев нужно делать галку «скрыть пароль» и просить рядом сидящих отвернуться.

вы вот например как чаще вводите пароль? при девушке или всё-таки без нее?
Достаточно часто для того, чтобы необходимость каждый раз его скрывать, раздражала.
а кто мешает сайту сохранять поставленную галку в куку? есть у вас девушка — скрывайте пароль. но дайте тем у кого девушки возле компа не бывает пароль не скрывать. я еще могу понять всякие казуальные сайтики. но куча рабочих сайтов где по определению девушек за спиной быть не должно, делают тоже самое.
Да нет, я не против галки «Показать пароль» (мешать она явно не будет). Отвечал лишь на фразу про type=password.
я type=password привёл в пример потому что оно развращает разработчиков. если бы нужно было писать что-то типа input type=«text» hiddenInput=«true», было бы другое дело. может и задумывались бы скрывать или нет и когда именно скрывать. а так написал password и все дела. by default — оно обычно везде by default и никто над ним не задумывается.
На самом деле многое из ваших слов очень спорное и взгляд очень узкий на конкретного пользователя, т.е. вас и ваши запросы и привычки, и всему можно найти аргументы. Но пост звучит так, что если начнешь спорить — разорвут)

Наболело, действительно :) Но подход должен быть не в «наболело», а в логике и поиске компромиссов.
> Но пост звучит так, что если начнешь спорить — разорвут)

Отнюдь.
Считаете иначе, есть обоснование позиции — пожалуйста, высказывайтесь.

Вполне ведь может оказаться, что я заблуждаюсь, а масса профессионалов отчаянно борются с засильем глупости и делают так, спасая ситуацию в Интернете.
Ну… Сами напросились :)

Что такого важного в пароле? Что самое страшное случится, если при регистрации ввести его неверно?
С учётом того, что пароль обычно присылают на указанный e-mail, — ничего страшного: ошибся, получился плохой — поменяю, лень менять — найду в письме.


Вы найдете в письме, потому что знаете, что обычно да, присылают. Но — письмо может придти не сразу, а попасть на сайт прямо сейчас вы не сможете, а вам нужно было прямо сейчас — проходить процесс повторно? — большинство не станет. Они то и первый раз со слезами прошли весь путь. К тому же абсолютно большинство не является продвинутыми пользователями сети и это письмо найдут через недели две когда будут проверять ящик и уведомления где-нибудь в трее, браузере или настроенном клиенте у них не приходят сразу, потому что у них всего этого нет.

ps. Мне лично нравится тенденция когда у меня не спрашивают ничего кроме имеила, который и является логином, а отображается уже имя которое ты вводишь в настройках потом.

Не прислали — всегда могу сменить, был бы исправный e-mail.


Вам мб сменить просто, а вам никогда не звонили и не спрашивали знакомые как это сделать? И вы не рассказывали им занимательную сказку о том, что нужно нажать и куда ткнуть? :) Хотя очень надеюсь что ситуация эта скоро изменится.

Ах да — e-mail. Ещё один пережиток и традиция, но даже он важнее пароля.
Указать неверный e-mail гораздо более чревато, нежели придумать «некрасивый» пароль.
Но требовать вводить его дважды — ещё больший бред, нежели пароль.


Уж точно не больший. Вы сами это пару строчек назад сказали другими словами.

Давно ли вы вводили последний раз основной e-mail руками?
Если разработчик формы не стал мудрствовать лукаво и дал полю формы «стандартное» имя «email» — адрес наверняка подскажет браузер.


Вы всегда выходите в сеть со своего компьютера? Или сразу отменяются интернет-кафе, компьютеры друзей, работа или жесткая плитика безопасности и куча других примеров, когда это невозможно?

Даже если ввели руками, вводите ли второй раз руками?


Да, ввожу руками, мне проще набрать строчку чем копипастить и выполнять другие пируэты. К тому же это будет проверка на верность и мне не нужно четко следить за правильностью ввода.

Повышается ли внимательность ввода при дубле? Наоборот: вводишь и материшь разработчика, его родственников и >канарейку.
Думаешь: «ладно, вобью быстро руками» и тут же опечатываешься, вводя второй раз. Знакомо?
Потрачено время, нервы, толку — ноль.


Смысл повторного ввода не в повышении внимания. Его смысл в простом приеме значительного уменьшения вероятности ошибки. Например, вводя данные вы делаете описку в 5% случаев, какова вероятность сделать две одинаковые описки подряд чтобы система ее обнаружения не сработала? 0.05*0.05=0.0025=0.25%. При этом такой прием позволяет по-быстрому, не заморачиваясь ввести пароль два раза, а не перепроверять 10 раз, правильно ли ты ввел, если тебе вдруг показалось что где-то ты ввел что-то не то или как-то не так.

Что пишет тебе форма «повышенной юзабильности» когда значения дублированных полей не совпали?
Правильно — «не совпадает».
Удивила, блин. Помогла.


Форма дура, ага. (извините :))

Вот теперь сиди, ищи где и чего ты не так вбил. Где правильное значение? Где опечатка?
Нашёл? Вбивай по-новой, или копируй правильный вариант.


Вы, хотите, чтобы форма искала описку в вашем пароле?
?%1Hj1 — Не подскажете где я ошибся? И она нет.

В e-mail ещё можно разглядеть ошибку, а пароль они скрыли, заботясь обо мне — вбивай оба снова, авось рука не дрогнет.
Пароль скрывают.
Кругом шпионы, всем страшно нужны мои пароли.


Всяк бывает, в комментах есть подтверждение тому, к тому же рядом может быть кто-то, кому не желательно видеть пароль, а если у вас пароль какое-то простое слово — запомнить его хватит беглого случайного взгляда.

Хорошо, подкормим паранойю и оставим скрытие пароля по умолчанию, дабы не нервировать непривычным поведением годами выдрессированного пользователя.


Да, сдались миру скрытые пароли)) давайте их на мониторах маркером подписывать) А то эта дрессировка… :)

Но дайте же мне увидеть, что я ввёл, если у меня за спиной никто не стоит и пять камер не направлены мне в монитор!


Ну так и дают, если этого требует интерфейс и логика, хоть и не всегда :)

Чего хотят от меня добиться, делая две вещи: скрывая вводимое значение и предлагая вводить его дважды?
Улучшить сложность пароля? Чёрта с два.


Ура, тут я согласен! :)

Перед человеком ставят задачу ввести сложную, а я надеюсь вы используете сложные пароли, последовательность. Вслепую. Дважды.
Подготовка к сапёрному ремеслу, не иначе.


Всего лишь забота о конфиденциальности (и камеры могут быть) и о верности вводимой информации, чтобы избежать неприятных новостей минуту спустя. К тому же сделать ошибку в сложно пароле очень просто. Да хотя бы раскладкой. А ведь пароль скрыт, помним зачем это нужно? — так вот двойной ввод — это компромисс. Чтобы не заставлять пользователя лезть в почту, искать причины по чему не подходит пароль и проходить ещё пачку неприятных и раздражающих процедур в самом начале регистрации.

Придумать в такой ситуации сложный пароль нереально. Вернее, придумать — реально более чем, повторить и запомнить нереально.


т.е. первый раз ввести куда реальнее получается, а повторить уже «не могу»? :)

Что вынуждает либо вводить давно придуманный и используемый пароль, либо придумывать его в ином месте — например, текстовом редакторе — и копировать в поле.


Скорость ввода паролей зависит целиком от необходимого уровня защищенности, который вы стараетесь поддерживать и никак уже не от одного повторяющегося поля. У всех эта процедура отличается, не нужно все равнять на себя.

Ну, либо пользоваться менеджером паролей и копировать оттуда, в два места.
Разработчики формы проверяют моё умение копировать текст в поля?


Копипаст пароля отражает только ваш стиль использования формы, тут это к уже к теме «Наболело» а не к «хочу улучшить».

Помогло скрытие? Нет, набивали в редакторе и копировали.


Кто набивал? Вы? Никогда не набивал пароли в редакторе и не копировал. Скрытие помогло не засветить пароль прохожему в парке.

Увеличилась сложность? Нет, вбивал вслепую попроще, чтобы не ошибиться.


Сложность — дело каждого, и её поощряют другими способами, скрытие и повтор к ним не относятся никаким боком.

Хорошо, может таким образом повышается внимательность при вводе пароля?


Повтор как-раз избавляет нас от пристального разглядывания пароля, этим мы займемся в наших 5%.

Ну да, когда ты вводишь его с третьего раза — поневоле будешь внимателен и пару раз сотрёшь наполовину введённое, чтобы не увидеть снова гадкую надпись про несовпадение полей.


Наболело? :)

А для чего внимательность? Чёрт подери, это всего лишь пароль! Моё имя и список увлечений важнее!


Действительно) Куда я без списка увлечений, особенно если введу «просто пароль» и имеил неверно :)

Ни одна из предполагаемых выгод не оправдалась.


Рассмотрите под другим углом :)

В итоге, на совершенно некритичную вещь можно потратить до нескольких минут и закончить регистрацию не в довольном расположении духа, предвкушая выгоду от сервиса, а чертыхаясь и проклиная всё на свете, пять раз задумавшись, надо ли оно тебе и какой идиот это делал.


Пароль и имеил по-моему самые критичные в регистрации :)

Много ли нужно, чтобы кардинально изменить ситуацию?
Нет:
1. убрать дублирование поля;


Идя на такой шаг, можно пойти дальше и убрать пароль вообще, убрать просто дублирование — не верно, но есть тенденция, при включении вашего второго пункта — действительно можно убрать дубль, оставив правильный ввод пароля на совести пользователя. Но лично мне проще ввести заветный пароль второй раз, переключившись табом, чем перевести мышь на ссылку показа пароля и повторно его прочесть, и, если пароль сложный и не «осмысленный» перепроверить каждую букву.
Поэтому писать что вот так вот неправильно, это бесит и вообще пользователей за людей не считают — это субъективно ваша ситуация, которую вы на 6 миллиардов раскидали.

2. дать возможность увидеть введённое значение.
Всё! Никаких нервов, сложные пароли, довольные процедурой регистрации пользователи.
Это же очень просто, даже работы становится чуть меньше — не нужно сверять два значения.


Вот, пришли к тому что пост о «наболело».
Прошу не принимать мои комментарии близко к сердцу, я высказал даже не мнение и не хотел вас побудить поспорить со мной, я лишь хотел показать что не все так однозначно и тон вашего поста мог быть другим, и по большей части неверен именно тон, который превратил простую мысль в много негатива и букоф) с подменами понятий и выставления предположений за факты.

Именно поэтому не хотелось особенно спорить :)

Удачи!)
> Но — письмо может придти не сразу, а попасть на сайт прямо сейчас вы не сможете, а вам нужно было прямо сейчас — проходить процесс повторно? — большинство не станет. Они то и первый раз со слезами прошли весь путь.

Доставка письма никак не связана с необходимостью проходить более сложную процедуру регистрации.

И вы, как и отозвавшиеся выше, кто придерживается точки зрения полезности дублирования, исходите из предпосылки, что оно помогает.
К вам тот же вопрос: как именно дублирование помогает ввести верный пароль, а не просто одинаковый дважды, за счёт чего?

> Вам мб сменить просто, а вам никогда не звонили и не спрашивали знакомые как это сделать? И вы не рассказывали им занимательную сказку о том, что нужно нажать и куда ткнуть? :) Хотя очень надеюсь что ситуация эта скоро изменится.

Не поверите — ни разу.
А вот отвечать на вопросы «зачем оно скрывает пароль, когда я ввожу» и «зачем ещё раз, я же только что ввёл, что хотел?» приходится регулярно.
Как раз от таких простых пользователей, о которых вы пишите.

> Уж точно не больший. Вы сами это пару строчек назад сказали другими словами.

Больший. E-mail важнее пароля при регистрации, но необходимость вводить его дважды ничего не даёт, не приводит к правильности.
Чтобы пользователь вбил правильные данные, необходимо повысить его внимание при наборе и проверке введённого. Странно делать это распыляя внимание по дублирующим полям.

> Вы всегда выходите в сеть со своего компьютера? Или сразу отменяются интернет-кафе, компьютеры друзей, работа или жесткая плитика безопасности и куча других примеров, когда это невозможно?

Нет, не всегда.
Именно поэтому в тексте я пишу о том, что по умолчанию пароль стоит скрывать, но давать возможность его увидеть, как только пользователь захочет.
То же самое изображено на картинке.

> Да, ввожу руками, мне проще набрать строчку чем копипастить и выполнять другие пируэты. К тому же это будет проверка на верность и мне не нужно четко следить за правильностью ввода.

И вы считаете, что повторный ввод его руками помогает вам не ошибиться?

> Смысл повторного ввода не в повышении внимания. Его смысл в простом приеме значительного уменьшения вероятности ошибки. Например, вводя данные вы делаете описку в 5% случаев, какова вероятность сделать две одинаковые описки подряд чтобы система ее обнаружения не сработала? 0.05*0.05=0.0025=0.25%.

Если мы рассматриваем большое количество итераций ввода, то с ростом количеством итераций ввода правильность ввода будет стремиться к 100 %. Несмотря на опечатки.
А вероятность опечататься будет расти с каждым вводом.
Таким образом, два поля не помогают прийти к правильному паролю, а вероятность ошибки увеличивают. И проверяет сравнение не более чем две итерации на различие, опечатку.

Ну, насколько я могу оценивать это математически, с практически позабытым курсом.

> Форма дура, ага. (извините :))
Вы, хотите, чтобы форма искала описку в вашем пароле?
?%1Hj1 — Не подскажете где я ошибся? И она нет.


Именно об этом я и пишу в тексте.
Никакая автоматика не поможет найти ошибку, только указать, что два ввода отличаются.

Ну да, я опечатался.
В первом или втором случае.
А может вбил дважды неверный вариант — выше люди подтверждают такие ситуации — и никакие сравнения не помогли.

> Всего лишь забота о конфиденциальности (и камеры могут быть) и о верности вводимой информации, чтобы избежать неприятных новостей минуту спустя.

Выше я уже написал: пароль по умолчанию скрываем, это достаточный уровень безопасности и разумное действие. Но нет стандартных средств показа пароля, не заложено такого поведения поля, а нестандартный, тривиальнейший, делается, увы, редко.

> К тому же сделать ошибку в сложно пароле очень просто. Да хотя бы раскладкой.

Именно.

> А ведь пароль скрыт, помним зачем это нужно? — так вот двойной ввод — это компромисс.

Компромисс чего с чем?
Важно — скроем, хорошо.
Сложно — да сложно, показать не можем, вводи сложное вслепую дважды.
Я вижу не компромисс, а усложнение на ровном месте, вместо тривиального упрощения.

> т.е. первый раз ввести куда реальнее получается, а повторить уже «не могу»?

Именно.
Ведь при регистрации меня просят придумать сложный пароль.
Придумать его вслепую, да ещё и тут же повторить — непросто.

А если не придумать — провоцируют воспользоваться готовым, «набитым».

Повторяюсь, об этом написано в тексте.

> Скорость ввода паролей зависит целиком от необходимого уровня защищенности, который вы стараетесь поддерживать и никак уже не от одного повторяющегося поля. У всех эта процедура отличается, не нужно все равнять на себя.

Я не привожу исследований, а пишу о собственных соображениях. Ничего иного кроме равнения на себя в этом случае нет и быть не может.

Однако, я задаю вопросы, как действуют другие и пытаюсь понять, являются ли эти действия именно тем, чего хотели добиться разработчики, вводя дублирование и скрытие.
Являются ли все эти действия, от копирования до использования менеджеров, защитой?
Моё мнение — нет.

> Копипаст пароля отражает только ваш стиль использования формы, тут это к уже к теме «Наболело» а не к «хочу улучшить».

Мной, на основании моего опыта и паттернов действий, предложено два улучшения, вы их можете увидеть в тексте.

Вы с ними не согласны?
На основании чего вы делаете вывод, что я о наболевшем без попыток предложить как исправить?

Стараюсь строго соблюдать подход: что плохо, почему, как исправить.
Следуя ему построено изложение и в тексте.

> Кто набивал? Вы? Никогда не набивал пароли в редакторе и не копировал. Скрытие помогло не засветить пароль прохожему в парке.

Так точно, я.

Например, вчера нужно было придумать сложный пароль для почты.
Вбил 20 знаков в Блокноте, оценил, добавил ещё пару небуквенных символов, скопировал в поле, отправил человеку для которого ящик.

Про скрытие — уже написал выше.

> Сложность — дело каждого, и её поощряют другими способами, скрытие и повтор к ним не относятся никаким боком.

Относятся напрямую, строчкой выше — пример.

> Повтор как-раз избавляет нас от пристального разглядывания пароля, этим мы займемся в наших 5%.

Туда же, выше, про необходимость пристально поглядеть.

>Ну да, когда ты вводишь его с третьего раза — поневоле будешь внимателен и пару раз сотрёшь наполовину введённое, чтобы не увидеть снова гадкую надпись про несовпадение полей.

Наболело?


Неоднократно повторяется.
Стол от злобы не грызу, нет, но приятного мало.

> Действительно) Куда я без списка увлечений, особенно если введу «просто пароль» и имеил неверно

Ну там же стоит восклицательный знак, это ироничное высказывание.
Но в любой шутке, как известно — доля шутки.

>Ни одна из предполагаемых выгод не оправдалась.

Рассмотрите под другим углом


Я рассмотрел под таким.
Смотрите с другого — расскажите, как там?

Если сверху посмотреть, то снизу кажется, что сбоку ничего не видно?.. ©

> Пароль и имеил по-моему самые критичные в регистрации

E-mail. Только он.

> Поэтому писать что вот так вот неправильно, это бесит и вообще пользователей за людей не считают — это субъективно ваша ситуация, которую вы на 6 миллиардов раскидали.

Я нигде не писал, что это меня «бесит», я использовал иные термины с иным смыслом.
Надоело — да.
Пустые, рутинные действия, без подоплёки, исключительно потому, что так повелось.

Мне, как человеку, неприятно, что вместо более изощрённых механизмов, позволяющих упростить мне жизнь, жизнь упрощают железякам и кускам кода.
Автоматика должна помогать, а не подвергать на каждом шагу сомнению факт того, что я не верблюд.

Также, если вы внимательно почитаете текст, вы увидите, что там нет ни одного обобщения, a-la «все / никто» и речь идёт строго на примере моих собственных действий и соображений.
повторюсь, что все претензии были именно к тону вашего поста а не глубинному его смыслу. Нужно упрощать и придумывать лучше и удобнее — да. Ваши предложения имеют смысл? — имеют, в особенности даже коммент где нужно вводить только мыло.

Многие ваши комментарии моих комментариев теряют смысл без вашего оригинального текста, и ещё раз повторю) не хочу спорить, а другую строну и взгляд я вам показа в своем посте, но спасибо что ответили, понимаю, что времени ушло прилично :)
Про тон я уже писал, он такой умышленно, чтобы не занудствовать чересчур.
На людей не бросаюсь, практически.
Если говорить не о тонкостях дублирования полей, а о регистрации в целом, то хорошей представляется простейшая форма:
Форма регистрации

На почту уходит письмо-подтверждение.
Заполнить всё остальное можно уже аутентифицировавшись на сайте.
Ошибка в адресе не страшна, пароль — генерируется сервером и меняется при необходимости в спокойной обстановке «личного кабинета».

Правда, это уже повод отдельного разговора.
Размышляя о простоте регистрации я пришел к выводу что можно все сократить до кнопки «зарегистрироваться» — но потом подумал что и она не нужна :) Зашел пользователь на сайт — «вы у нас 16785 бе, запомните-запишите-сохраните-спрячьте этот идентификатор чтобы вновь зайти под своим аккаунтом». Хотя это конечно совсем уж по-спартански :)
Пикаматик в этом отношении идеальный сайт.
prostopleer.com
Обязательно регистрироваться?
Нет! Вы уже зарегистрированы! Ваши плей-листы сохранятся на этом компьютере. Если вы хотите открыть их на другом компьютере, то воспользуйтесь ссылкой «Мой плеер» справа вверху.
Почему бы и нет. Это может стать серьёзным трендом.
Я бы только предложил генерировать не идентификатор (невозможно запомнить!), а, например, запоминающееся словосочетание (про это я написал чуть выше).
Такой подход плох децентрализацией регистрации.
В обсуждаемой схеме — всё завязано на e-mail, и это разумно, т.к. большинству он доступен из нужных мест, он один и выступает идентификатором.
А вот если я не записал выданный мне номер и, желая провести регистрацию, зашёл на ваш сайт с другого компьютера — мне выдадут второй номер, с третьего — третий, а мне нужен ровно один, при всех заходах.

Наверняка привязка идёт по cookies, на поддержку которых рассчитывать не стоит.
И если у меня клиент не поддерживает или по каким-либо иным причинам не принимает все cookies подряд (например, настройка безопасности) — ситуация будет повторяться при каждом переходе по страницам, даже с одной машины.
расскажи далее, если не сложно.
завтра этим заниматься и хотелось бы сразу правильно.
Попробуйте зарегестрироваться здесь: www.imobilco.ru/
Одна из лучших виденных мною реализаций: а) пароль открыт б) никаких дубликатов а раньше ещё был профиль, заполненный фейковыми данными.
Открывать по-умолчанию пароль — это жесть. А если я картинку на проектор транслирую в это время? А если просто вокруг куча народа?
Вы часто регистрируетесь на новых сайтах во время деловой презентации? =)

Но в целом Вы правы, нужен переключатель «скрыть пароль».
Если я вместо «проектор» напишу «стрим по игре» смысл изменится?

Переключатель там есть. Просто по-умолчанию пароль пишется текстом.
Смысл не изменится, но пример с проектором уж больно сферический)

Ну тогда не вижу проблем. У меня при регистрации на сайтах в 95% случаев нет никого за спиной, думаю, так же и у остальных. А если все же есть опасения, что пароль могут подсмотреть, я нажму на волшебный переключатель.
Термин user experience не просто так придуман. Любой пользователь ожидает что по-умолчанию пароль закрыт звездочками. И даже если конечная вероятность засветить пароль низка, это не значит что надо пренебрегать ожиданиями юзера.
Это как: «Не размахивайте пачкой наличных на улице, могут увидеть воры и обуть». В 95% случаев воров вокруг нет… ;)
В голову сразу же пришла такая же идея. Но, вы меня опередили.

Отдельная тема разговора — фильтр ботов. Вот как получается: облегчая жизнь пользователю, Вы, одновременно, значительно усложняете ее себе. И делать привязку к IP в этом случае наверно не корректно (по известным причинам).

Хотя, безусловно, это крутой метод!
А боты разве не могут указывать пароли так же как и email?
Подразумевается наличие-отсутствие капчи


Правда под «указать пароль самостоятельно» спрятано два поля ввода.
А вообще мы готовим новую систему регистрации, но об этом чуть позже…
Я бы сказал, что такой интерфейс несколько перегружен (монструозен). Особенно для простого пользователя.
Тест под радиобаттонами появляется когда пользователь выбирает «Я еще не зарегистрирован». До этого имеется поле для ввода пароля напротив «Да, есть»
Так сначала на Launchpad'е было. Осталось примерно так же, только вынесено на отдельный сервис (Single Sign On).
За это проектировщикам нужно делать больший котел в Аду, чем для тех, кто просит повторения пароля.
Это всё верно, одна только проблема — вы размазываете конверсию регистрации на большее число шагов. Мы использовали подобную схему на одном более-менее крупном (150 тысяч посетителей в день) проекте и пришли к следующим выводам:
1. Количество регистраций увеличивается, люди охотнее заполняют одно поле
2. Конверсия письма «нажмите на эту ссылку чтобы подтвердить емейл» — такая же
3. В первое посещение сайта подавляющее большинство людей не меняет пароль, который мы сгенерировали, хотя мы настойчиво предлагали.
4. В дальнейшем люди, поменявшие пароль, или зарегестрированные еще по старой схеме, где они пароль вводили сами, заходили на сайт в 10 раз чаще остальных.

выводы просты — то что мы стали генерировать пароль отдельным шагом только уменьшило итоговую конверсию гостей в постоянных посетителей, хотя и увеличило число регистраций.

тогда мы сделали ввод пароля обязательным шагом после подтверждения почты. То есть по сути просто разделили один шаг на два. конверсия регистраций, прошедших два шага закономерно меньше, чем при использовании одного шага.
Спасибо за информацию.

> выводы просты — то что мы стали генерировать пароль отдельным шагом только уменьшило итоговую конверсию гостей в постоянных посетителей, хотя и увеличило число регистраций

А вы уверены, что это именно конверсия упала, не возросло общее количество регистраций, за счёт серьёзного упрощения процедуры?
а я и говорю — и то и другое. Общее число регистраций — возросло, и одновременно с этим конверсия (не в зарегистрированных пользователей, а в посетителей) — упала. Короче, нужно быть готовым к тому, что зарегистрировавшиеся по «упрощённой» схеме люди будут гораздо реже посещать сайт, потому что бОльшая их часть пароль не помнит и не знает где искать. У нас даже почтовый трафик вырос сильно из-за постоянного использования ссылки «восстановить пароль» =))
Я лично считаю что любые пляски с бубном вокруг аутентификации/авторизации — должны носить уведомительный характер, «логин не должен быть короче 6 символов» — если такого еще нет- то какая хрен разница что хранить в базе? Хоть пустой вводите, если найдется такой умник, будет на сайте мистер "" :) С точки зрения функционирования системы он ничем не хуже Васи Пупкина, а уж про пароль — так это вообще отдельный разговор, «пожалуйста введите пароль обязательно состоящий исключительно из буквенно-цифровой комбинации символов длиной не менее 6 и не более 10 символов в нижнем регистре латиницей, чтобы мы из него сделали 128-битный необратимый хеш»… нет слов. Но для сайта со смешными фотками котов — там конечно да, там безопасность критична :)

Но объяснить это все вполне легко — юзабилити это такой сферический конь в вакууме — все о нем говорят, но никому он на самом деле нафиг не сдался. Размышление по поводу удобства таких вот мелочей — удел персональных проектов, где тому кто делает интересен результат сделанного, а на большинстве сайтов все равно все будет делаться по-принципу: нужна регистрация? сел и сделал. Набил форму, повесил валидаторы — и забыл.
Хотя со временем конечно эта область будет набирать популярность, когда 10 миллиардов маркетологов таки уверуют что форма регистрации из 54 обязательных полей процент конверсии только уменьшает :)
Больше всего бесит даже не это, а когда нет никаких указаний на то, каким должен быть логин/пароль, но когда жмёшь кнопку «Отправить», тебе в ответ «Э-э-э, нет, логин должен быть таким-то!» — и поле логина/пароля пустые. Чертыхаешься, делаешь «правильный» логин, снова вбиваешь пароль, «Отправить» — а тебе «Э-э-э, нет, пароль должен быть такой-то длины!» Материшься, вводишь пароль нужной длины, «Отправить», а тебе — «Э-э-э, нет, в пароле недопустимые символы!» (без сообщения о том, какие символы допустимы).
Так и хочется взять разработчика и повесить на ближайшей берёзе за особо не выступающие, но чрезвычайно лишние для него части тела.
О, так это оптимизация! Зачем запускать оставшиеся валидаторы если форма валидацию заведомо не прошла? Лишняя нагрузка на сервер :) Только в конце каждого сообщения об ошибке нужно добавлять «Так-то!» © К.О.
Логично ведь: есть пользователи — есть нагрузка, нет пользователей — нет нагрузки :P
А кнопка «показать» лучше помогает от опечатки?
Уверен, что немногие с первого же взгляда увидят, что ввели
Ytcecdtynfz{eqyz вместо Ytcecdtnyfz{eqyz.
Я так и вовсе понятия не имею, как мой пароль выглядит :)
А вот это очень опасно — если оказываетесь в поле с мобильником или с сильно другой клавой, то никакого вам доступа. Я даже самые бесчеловечные пароли привык запоминать.
Зачам все эти сопли, если есть OpenID и им подобные?
ОпенИД, по-видимому, захлебнулись, так и не всплыв на поверхность после своего рождения :)
Жадность!!!
Все хотят пользователей только себе! Чтобы регистрировались именно у них! Потому что их сайт Единственный и Неповторимый Самый Главный Сайт в интернетах.
Это не жадность а глупость.
У меня есть KeePassX и клавиатура с удобными кнопками копипасты прямо под пробелом. Мне плевать, сколько раз меня попросят продублировать любое поле формы. Сам себя не полюбишь — никто не полюбит.
Долго плевался когда этот несчастный кипас запорол свою базу, причем восстановить ее не получилось, а на сайте разработчиков вместо рабочей утилиты для восстановления получил «ценный» совет делать бэкапы.
У меня основной пароль — фраза из 4х русских слов на английской раскладке. Подтверждение ввода пароля часто спасает от неверной регистрации.
С виртуальной или нерусифицированной клавиатуры успешно вводите пароль? :)
На телефоне приходится иногда вводить, не быстро, но получается. Ваш способ здесь как-то поможет?
В том-то и дело, что при использовании мобильных устройств приходится быть менее параноидальным. Мне, по крайней мере.
наверное, я мега-параноик потому что ввожу все тот же длинный пароль для гугл-почты на телефоне %)
Так ведь может оно и хорошо.
Но вот ввод на iphone 30-символьного пароля (русская фраза в латинской раскладке) на корпоративную wifi-сетки съел немало моих нервных клеток :)
А есть еще люди, которые набирают сложный пароль с включенным punto switcher ))
отчасти повтор пароля нужен, когда для этого сайта генеришь новый пароль, потом повторяешь, а мы знаем, что повторение — мать учения итп)
в общем… чтобы запомнилось лучше.
А вот повтор имейла, да, напрягает
Если сервис присылает пароль в письме у меня как-то желание им пользоваться отпадает совершенно.
А что плохого, если при регистрации присылают пароль (речь об этом)?
Вы регистрируетесь, вводите все данные, данные сохраняются в бд (пароль в виде хэша), если все нормально, то тут же готовится сообщение, состоящее из введенных Вами данных и отправляется на указанный адрес.

Единственная уязвимость видится, если используется один пароль на все ресурсы, в том числе почту, происходит ошибка при вводе адреса и получатель начинает брутфорсить учетную запись почты с известным ему паролем.

Потому что мой пароль переслали по открытым каналам. А если логин и есть емейл, то аутентификация уплыла.
На каком этапе Вы боитесь кражи? Если сервис не использует https, то Вы сами отправляете пароль по открытым каналам.
Если сервис не использует https при регистрации, то тут уже и говорить нечего.
Каков ваш позывной?

Вы перегибаете, если речь не идёт о деньгах или совсем приватных данных — в подобном нет необходимости.
Ну и надо понимать, когда и по каким причинам начинается такой интерес к вашей персоне, что необходимо боятся прослушивания канала.
параноя тут не причём. Просто если программист не подумал об этом — он плохой программист.
Разработчик решает конкретную задачу.
Если он городит одно и то же решение для банка и для блога — он плохой специалист.

И если он параноик — тоже беда.

Панацею я не предлагаю.
Перенаправить на https это жуть как трудно, да.

Вообще бы я хотел, чтобы все сайты авторизовались бы по моей ЭЦП.
У моего Ё-Моё-РС имеется махонький, но неприятный деталь — то ли я так сильно по клаве долблю, когда печатаю, а то ли сама клава ущербная (ноут же дешёвый), но регулярно дублируются набиваемые мной символы. Вотт примеррно таак. Происходит это редко (1 раз на слов тридцать), но происходит. Это — раз…
Набивая пароль при регистрации, я использую один единственный стандартный набор символов. Потом, если ресурс важен и всё такое, я пароль меняю на что-нибудь криптостойкое. А если не важен — и плевать я на него хотел (особенно это относится к одноразовым регистрациям на ресурах, где пустое тщеславие авторов требует регистрации по любому поводу и вовсе без повода). Это — два…
Раз и два даёт в сумме три — как человек набивает пароль, который давно уже засел в пальцах? Лично у меня это занимает две секунды вместе с нажатием Enter — мои пальцы неошибаются. А вот клавиатура ноутбука ошибиться может — см. выше.

Практика дублирования ввода нового пароля пошла со времён, когда форумы ещё не придумали, но компьютеры уже были и на них даже худо-бедно была реализована многопользовательская среда. Кто задавал пароли из командной строки UNIX, тот поймёт. Тогда пароль значил несколько больше, чем сейчас. И восстановить его или сменить — значило целую эпопею с привлечением тогдашних админов (или как они тогда назывались). Так что в наше время дублирование пароля — это красивый ритуал, дошедший до нас из глубин истории и, быть может, утративший свой былой смысл. С другой стороны, если после регистрации человек не может попасть на ресурс из-за того, что ошибся при слепом наборе пароля, то что он сделает? В случае одноразового или второстепенного ресурса он просто плюнет и уйдёт, или зарегистрирует нового пользователя. А зачем создателям ресурса клоны и мёртвые души?
Это ещё ладно. Самый цимус я встречал два раз в жизни: подтверждение пароля не при регистрации, а при входе.
В винде пароль WPA надо два раза писать зачем-то O_o
в 7 уже не надо :)
цимЕс
Спасибо, знаю, просто сработал местный (рабочий) сленг) А «Цимус» — это славная организация в нашем городе. Как бы такая игра слов.
Единственное место (из тех, с которыми я имел дело), где не спрашивали подтвеждение пароля, а пароль вводился в исходном виде — это IRC.

Единственный случай в моей жизни, когда я задал пароль, а потом не смог залогиниться, был там же. Совпадение? Нет.

Что характерно, иркоп мне сказал «ты ошибался на одну букву». Это значит, что пароли там хранятся в открытом виде. :/

* * *

Любые другие поля пользователь может потом исправить. Но не пароль — ведь он ограничивает доступ к правкам, и если пользователь ошибется, то запрет ключи в машине. :/

Так что не надо бросаться из крайности в крайность. Обе крайности недружелюбны к пользователю, но двойное поле с маскировкой — в меньшей степени.

* * *

Интересно, какую позицию занял бы Алан Купер? Может, у него есть заметка на эту тему?
Я бы поставил вопрос шире: о методах идентификации в сети вообще, об «электронной подписи».
Я зарегистрирован уже наверное на сотнях сервисов и ресурсов.

надеюсь, что хоть я двигаюсь в нужном направлении и вообще отказался от регистрации в магазине для покупки

Прошу прощения за предыдущий недописанный комент…
...
Я бы поставил вопрос шире: о методах идентификации в сети вообще, об «электронной подписи».
Я зарегистрирован на сотнях сервисов и ресурсов, можно даже сказать, что регистрационные формы — это такая каждодневная интернет-практика — часть жизни. И чувствую я, каждый раз заполняя форму, что делаю одну и ту же, не нужную мне лично работу. Пароль один и тот-же, никнейм специально-длиннный чтобы уж точно не одна «сволочь» под таким до меня не регистрировалась =)
Возможно я не хотел бы себе вживлённый в руку идентификационный чип, но в сети, в виртуальном пространстве, это было бы предельно уместно. Ви таки хотите знать, тчо я — это я, ну так спросите у моего компьютера, он подтвердит, или у Гугла, к которому я всегда подключён — он тоже меня знает. =)
...
Во всех перечисленных выше смыслах — OpenID — вот наша надежда и отрада, OpenID — существенный шаг вперёд по сравнению с ничем.
согласен. Параноиков много. Ну, сделайте галочку для них, чтобы скрывать пароль. А нет галочки — не скрывайте и всё.
Многие просто привыкли, что пароль нужно вводить два раза, из-за этого, любой пишущий ТЗ обязательно это поставит, так же как и каптчу.
Лучшая форма которую я видел предлагала ввести email и капчу. Автогенеренный пароль присылался на почту. При желании его можно было позже сменить.
Но и у этого метода есть свои минусы. Например необходимость дождаться письма с паролем перед тем как таки зайти на сайт.
Проблема нивелируется автологином сразу же после регистрации.
1. Да, есть вероятность 1 или 2 раза ввести пароль неправильно, но вероятность дважды ввести пароль с одинаковыми ошибками намного ниже.

2. Создателей сервисов, которые после регистрации присылают пароль на почту в открытом виде, я бы поубивал. Не догадаешься удалить — взломавшему почту даже квест с восстановлением пароля (а там все-таки в каком-то проценте случаев всякая добавочная мишура типа девичьей фамилии матери или даты рождения запрашивается) проходить не нужно будет, бери и пользуйся.

3. Полагаться при неправильном вводе пароля на ссылку «восстановить» — не самое правильное решение: на почтовом сервере сайта вот как раз именно сейчас могут быть какие-нибудь проблемы, из-за которых почта не ходит вообще или отправляется с задержкой. Ну или моему почтовому серверу может что-то в отправителе не нравиться и он будет с завидной регулярностью режектить его письма. Что тогда?

4. У меня, правда это вряд ли самый распространенный случай, почта заведена на своем домене и при регистрации на сайтах, для удобства поиска и сортировки, используется почта вида sitaname.com@domain.com. Так что учитывая открытость этого в принципе ошибок не возникает или они налету исправляются, но все-таки автозаполнение не всегда панацея.

Но при этом соглашусь с вами в одном: по-умолчанию «зазвезденный» пароль, но с возможностью его «раззвездить» — это компромисс в данном споре.
Емайл так проверяют рьяно — чтобы случайно не вбить свой ник на чужое мыло.
Но! Что мешает немного изменить систему?

Сейчас нужны подтверждения реги на это мыло и тд… А вход в аккаунт в течении какого-то времени — это ли не залог того, что мыло было указано правильно? Если аккаунт без валидации по ссылке из ящика удаляется через некоторое время — что мешает удалять его, если с момента регистрации в течении дня, например, человек так и не зашел?

В целом согласен с автором. Это шаблонно-стереотипные вещи, о которых большинство уже и не задумывается — стандарт.

А теперь и я задумался. Пожалуй, пересмотрю свои взгляды на регистрацию.
> С учётом того, что пароль обычно присылают на указанный e-mail, — ничего страшного:
> ошибся, получился плохой — поменяю, лень менять — найду в письме.

_ОБЫЧНО_ как раз пароль никогда не присылают на email.
пароль должен оставаться только в вашей голове и нигде более.
что до частных случаев, то тут их, сугубо персональные, проблемы с безопасностью,
не стоит эти частные случае натягивать на общую ситуацию.

> Пароль скрывают. Кругом шпионы, всем страшно нужны мои пароли.

Скрывают. Защита от чужих взглядов на терминал, если до кого-то не дошло.
Иногда (о ужас!) вообще его не печатают при вводе, чтобы не было информации
даже о длине пароля и его потенциальной устойчивости к перебору.

Что до вашей статьи в целом.
Я действительно встречал места, где всяческого подтверждения и переспросы
не имеют смысловой нагрузки и, действительно, только раздражают. Так что
основание у статьи было, соглашусь.
Но вот содержание, то, к чему именно были выдвинуты претензии конкретно
в этой статье — не выдерживает никакой критики.

Ставлю минус. И надеюсь мне никогда не придется пользоваться системой,
написанной вами: боюсь с безопасностью там будут большие проблемы.
> Защита от чужих взглядов на терминал

В каком смысле «терминал»? Вы имели в виду PC? У вас часто при регистрациях находятся враги, подглядывающие вводимые вами пароли? Я бы так не смог работать за компьютером, когда над душей стоят. Стоят за спиной — значит по какому-то вопросы. Уделяешь время, отвернувшись от компьютера, решаешь этот вопрос — человек уходит и регистрируешься где угодно.
> _ОБЫЧНО_ как раз пароль никогда не присылают на email

Вы располагаете статистикой?
И я не располагаю. Всё написанное — личные наблюдения и выводы.

Меня нисколько не смущает отправка пароля на почту, более того, для меня это очень удобно и позволяет задавать сложные пароли, которые не нужно запоминать.

> Скрывают. Защита от чужих взглядов на терминал, если до кого-то не дошло.
Иногда (о ужас!) вообще его не печатают при вводе, чтобы не было информации
даже о длине пароля и его потенциальной устойчивости к перебору.


Вы где-то прочитали, что я предлагаю показывать пароль в открытом виде?
На картинку обратили внимание? Возможно стоило разрисовать пошагово более подробно, но решил, что для понимания сути этого достаточно.
Показ по клику, ещё один — скрытие.

> Но вот содержание, то, к чему именно были выдвинуты претензии конкретно
в этой статье — не выдерживает никакой критики.


Мне неведомо, где вы увидели претензии и к кому.
В тексте я исходя из предпосылок делаю выводы.
Почему-то пока ответы несогласных сводятся к «это помогает».

Уж не знаю какую критику и как выдерживает мной написанное, не вижу оной.
терминал — в общем смысле этого слова. любой ПАК, снабженный устройством ввода и отображения информации.

> У вас часто при регистрациях находятся враги, подглядывающие вводимые вами пароли?

слово «часто» здесь не уместно. здесь уместно «могут ли». определенно могут.
Свисают с потолка враги
Подглядывая за паролем,
Свисают прям как пауки
Вся ваша жизнь — под их контролем!
Иногда от повторения паролей есть польза. Потому, стоило бы оставить пользователю возможность ввести пароль два раза. Нужно лишь сделать повторный ввод необязательным.

Хочешь? Вводишь. Не хочешь? Не вводишь.
Вводить надо только мыло, логины отменить, пароль с подтверждением регистрации высылать на почту, после подтверждения дать возможность (не обязать!!!) заполнить анкету. Для большинства современных сервисов этого вполне достаточно. Ну максимум еще ник просить.
повтор мэйла вводится копипастой, второпях от очепятки это действительно совсем не спасает)
Полностью с Вами согласен. Но наличие 2 полей для пароля при регистрации ещё как-то можно оправдать. А вот когда в 2 поля надо ввести уже существующий пароль — верх идиотизма. Примеров не мало, но первый что приходит в голову — создание подключения к интернету в Windows XP:
2 пароля нужно вводить затем, что проверить его правильность сразу нельзя, а ошибится не видя пароля (звездочки же) — легче легкого.
Ошибка в этом случае не фатальна. Если она будет — спусть спросит пароль ещё раз уже при проверке.
А вот это как раз уже идиотизм ;)
НЛО прилетело и опубликовало эту надпись здесь
Да и вообще — OpenId надо для авторизации начинать использовать, а регистрировать в фоновом режиме
Абсолюьно согласен, все свои проекты уже давно перевел под OpenID — пользователи сами пишут как офигенно, что не нужно еще и тут регистрироваться.
Самая гениальная регистрация, которую я видел — самая простая.

Одно поле — e-mail.

Вам приходит пароль, заходите в систему(логин — мыло, пароль сгенерен), и настраиваете всё как Вам удобно. Меняете пароль, заполняете ник, информацию.
А если емейла все нет и нет. Сидишь и бесишься. Не факт что письмо придёт мгновенно.
Самая гениальная — это всё-таки спросить емейл и пароль, с возможностью ткнуть галку «сгенерировать пароль». В последнем случае он посылается письмом. В первом — нет.

Но после этого сразу пускать на сайт и требовать все-таки подтвердить получение емейла только для каких-то уж очень важных шагов и/или по прошествии максимум N дней.

И уж тем более. Самое важное. Вот это даже меня бесит уже. Если регестрируешься — надо сразу залогиниваться в систему. Задрало регестрироваться (писать пароль два раза) и ещё потом логинится следом (писать пароль третий раз).
Тогда и у обычной регистрации с подтверждением не факт что придёт мгновенно, будешь так же сидеть и беситься, но после заполнения туевой хучи форм это в десять раз бесячей.
Я и сказал — не просить «вам надо подтвердить регистрацию, сейчас же!» а просто пустить залогинится. Если в течении двух дней юзер таки и не заметит письмо в ящике у себя — вот тогда уже сказать, мол «вам письмецо не приходило? Надо бы подтвердить емейл! Может ещё раз выслать?»
думал недавно, что в качестве логина можно использовать mail или телефон. пароль выдавать сразу в виде 4-х значного цифрового пина. восстановление делать на почту или смс на телефон :)
просить телефон, когда он не нужен, — небольшое свинство =).
да и смс на телефон денег стоит.
В интернет магазине и так спрашивают телефон — делаем его логином
Если мы на форуме, то и так спрашиваем mail — делаем его паролем

смс стоит своих денег если это инет магазин… если это форум, то считайте, что это вклад в продвижение. да и оптом можно брать пакеты смс или через интернет отсылать
Не понимаю зачем такие извращения, когда есть openid?
Телефон — это круто, когда ты предоставляешь какой-либо сервис, где важно чтобы не регистрировались по пятьсот раз и важна безопасность.
Мне кажется безопасность с паролем в 4 цифры меньше чем полноценный пароль и логин.
Если мы говорим про магазин, то реально пользователя добивают формы регистрации и он ничего не купит скорее всего вовсе.
Я предложил один из вариантов, который будет работать просто и быстро с минимальными наборами вопросов. Это сильно на конверт влияет.
я имел ввиду про отсылку пароля смской.
+ к этому автологин сразу и усе. Ну можно подтверждение мыла в течении 3х дней требовать.
А зачем вообще подтверждение? надо просто послать письмо: «вы зарегистрировались на XXXXX — если это так, то спасибо. если нет, и кто-то указал Ваш ящик, то кликните на эту ссылку, что бы удалить регистрацию.

Я когда вижу подтверждение у меня вызывает это отвращение… вроде как я показал паспорт, чего еще надо то?
ну это уже просто де-факто стало

да и как то смущает кнопка/ссылка «показать пароль» привычно уже что оно находится тамо за *
Про канарейку понравилось.
Вы то ли часто регестрируетесь, то ли придумали себе какой-то совсем нереальный пароль.
В любом случае — ни я ни кто либо из моих друзей ни разу даже не высказывали предположения, что это глупо.

Пароль надо вводить дважды, потому что он скрыт. Скрыт он потому что это некультурно показывать его — если кто-то регестрируется на работе а рядом сидит коллега, то есть шанс что он увидит пароль. А 99.999% людей на планете используют 1 пароль для нескольких сервисов — это оооочень плохо может кончиться.

Два раза вводить емейл — идиотизм, тут я согласен.

В третьих — защита от роботов. Иногда это действительно нужно. Если при регистрации на Энном сервисе роботы действительно смогут навредить и пользователям и владельцам сервиса. Если же навредить не смогут — пускай регестрируются до усёру, но вот об этом сейчас мало кто уже думает.
В четвёртых — openid однако в массы надо. Удобно ведь.
вообще, стараюсь пароль не вводить. По максимуму OpenID юзаю.
Два раза ввод электронной почты — вот что меня тоже раздражает страшно.
Честно говоря, не замечал, чтобы пароль потом на мыло присылали. Считаю это явным бредом — пароль должен как можно реже передаваться через незащищённые соединения, к коим безусловно относится SMTP.
На большинстве своих проектов (веб-ориентированное ПО) делаю так:

1. Регистрация — одно (email) или два (email, ФИО) поля.
Сгенерированный пароль высылается на почту, решая проблемы простых паролей и подтверждения емейла.

2. Авторизация — два поля (email, пароль). Рядом с паролем стоит галка «показать пароль». При нажатии поле типа password заменяется на text. И наоборот.

Что думаете о таком подходе?
Расскажу о своем опыте работы в тех.поддержке…

Честно, меня заколебали проблемами забытого пароля, почты и прочего. От почты и логин/пароля зависело, получит человек деньги или нет. Люди ошибались в одной букве, забывали логин или пароль (генерировались автоматом), писали неправильно данные и прочее и прочее. Все это обычные пользователи, которые далеки от IT и большинством пользуют до сих пор IE6.
При восстановлении не подходили адреса почты.

Почему? Потому что разработчики допустили ряд весомых ошибок:
1) Не сделали подтверждение email. Сайт подразумевает работу с финансами — здесь это нужно. Все зависит от ресурса. Если это простой информационный — смысла в подтверждении нету. Если там есть важные данные или финансовые операции — лучше сделать дублирование поля.
2) Поле для ввода почты было ЧУВСТВИТЕЛЬНЫМ К РЕГИСТРУ!!! Смерть оркам…
3) На почту не присылалось письмо подтверждения. Никак не проверялось, правильно ли ввел человек свой адрес.

Для дублирования просто есть определенные причины. Иногда они надуманны.
Интересно, а я один оба раза набираю руками и имейл, и пароль, и при этом хорошо себя чувствую?..
НЛО прилетело и опубликовало эту надпись здесь
Если проект не является жизненно-важным (банки, платёжки, государственные электронные услуги и т.д.), то форма регистрации должна иметь два поля и две кнопки:

* Поле Логин
* Поле Пароль
* Кнопка Зарегистрироваться
* Кнопка Войти с OpenID

Капчи-хуяпчи, тысячи полей и всё остальное идут лесом.
НЛО прилетело и опубликовало эту надпись здесь
Чтобы было анонимно и секьюрно, то по-хорошему надо немножко усовершенствовать HTTP(S) и заставить браузеры работать с нововведением.

А если без по-хорошему, то кукис на год решает. Во многих правильных интернет-магазинах так сделано. Вот буквально недавно сам такой магазин делал — реги вообще нет. И всё пучком работает и пользователи чертовски довольны.
НЛО прилетело и опубликовало эту надпись здесь
Зависит от сервиса. Я вот лично покупал всякую технику в Expansys, ни разу не понадобилось «сесть за другой компьютер». Зашёл и купил в два клика — идеальный магазин! Если бы он по OpenID какому-нибудь умел вытаскивать сам адрес доставки вообще бы счастье было. Но увы, пока что такое невозможно.
У меня половина паролей — кириллические, набранные в латинской раскладке. Если я введу пароль два раза, буду уверен, что не ошибся. Если просто почитаю получившуюся нечитаемую бяку — не пойму, верно ли ввёл. Например, пароль из фразы «ПивоСМаслом» будет выглядеть так: «GbdjCVfckjv». Да в любом случае, надежнее два раза ввести пароль.

Далеко не все, кстати, посылают пароль на почту в открытом виде. И это хорошо.

Всем надоело вводить пароль два раза, но всё равно это лучший вариант, пока мы авторизуемся текстовой строкой. Правда.
— Введите пароль.
— Ввел.
— Слишком короткий!
— Да ёпт…
— Слишком короткий!
— Да ёпт!!!
— Пароль должен содержать хотя бы одну заглавную букву греческого алфавита и одну цифру!
— Да блин!!!
— Недопустимы символы!
— Млять!!!
— Введите еще раз… Пароли не совпадают!
— …

*утрирую конечно. Но в целом часто бывает и так.
А бывает ещё потом как придумаешь в слишком длинном обвинять начинают.
НЛО прилетело и опубликовало эту надпись здесь
Нет, Вы не утрируете. Было такое же не раз на буржуйских сайтах. Под конец просто не выдерживал и забивал на регистрацию и на всю причину регистрации на этом сайте вообще.
Здравствуйте. В целях безопасности введите, пожалуйста, текст вашего топика на Хабре еще раз.

Если серьезно, особенно бесит, когда формы 1) препятствуют копированию проверочного емэйла 2) намеренно препятствуют запоминанию пароля в браузере, каждый раз меняя атрибут name у поля ввода пароля (phpBB).
В целях безопасности введите, пожалуйста, текст вашего топика на Хабре еще раз.

— Значения не совпадают, введите снова. В целях безопасности и утечки данных весть текст будет заменён звёздочками.
Ещё бывает после ввода тобой данных вписывают поверх что-то типа «логин» или до/после. Вообще непонятно становится что и где происходит.
НЛО прилетело и опубликовало эту надпись здесь
>> С учётом того, что пароль обычно присылают на указанный e-mail…

скорее не обычно, а иногда
Уже писал несколько раз выше: из моего погреба — всегда, 99 % используемых мною ресурсов пришлют.
Объективной статистикой не владею, судя по всему, владеете вы — приведите, ознакомлюсь.
Сегодня вообще крутость видел — пароль должен состоять только из 10-14 символов, и должен состоять только из букв. =)

Гарантированно (90%) свой обычный пароль не используешь. Этого я никогда не понимал, излишняя, чрезмерная безопастность никогда к добру не приводит, я думаю.
Честно говоря, меня бесит повсеместная каптча. Иногда такое заворотят, что с 3 раза правильно введешь…
Скрывать пароль нужно всегда потому, что так все привыкли и ты понимаешь что вводишь пароль на подсознании, а не потому, что паранойя. Как вариант, круто было бы делать кнопочку типа [показать] — для тех, кому это нравится. Повторное введение пароля тоже обязательно, если его юзер сам придумывает, то для его же блага избежать «очепяток».

А вообще, мне кажется, самый лучший и удобный способ регистрации в большинстве случаев, это брать только имейл у юзера, и высылать ему пароль, а потом он уже в своем профайле сам введет и имя, и пароль сможет поменять на свой и т.д. Плюс подтверждаем сразу имейл.

А для тех сайтов, где нужен мгновенный доступ к функциям сайта/сервиса, использовать OpenID авторизацию.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории