Ребята, давайте жить дружно или о поле «Пароль» при регистрации



    Заметка. Немного крик души о том, как не надо делать поля для ввода пароля при регистрации на сайтах.

    Под кат собрала немного мыслей, примеров и выводов на эту тему.
    Проблема, кстати, стара как мир. И да… об этом слишком много сказано, но почему-то продолжают делать не так и существенных подвижек в правильную сторону я не наблюдаю. Пока. Поэтому повторенье… дальше вы в курсе.

    Если сейчас не ошибусь в цифрах, то, по исследованиям, работаем мы не 8 заявленных по ТК часов в день, а где-то 6. Продуктивно и усиленно думать можем часа 3. А можем и не работать вовсе, а только делать видимость.

    На что же мы тратим рабочее время? Социальные сети бьют все рекорды посещаемости, дальше идут новости, следом интернет-магазины. И все это за компьютером, купленным за кровные работодателя, а не в телефоне. Потому что, что? Правильно, потому что, когда сидишь за компьютером с умным видом — работаешь, сидишь в телефоне — бездельник.

    К чему это я все? К тому, что основное время, когда мы покупаем товары и потребляем контент, очень часто является рабочим. А еще это значит, что путь к этому контенту должен быть максимально простым и легким, т. к. действуем мы в условиях повышенной опасности и секретности. Шутка, конечно. Но все-таки давайте не забывать о контексте использования и сценариях пользователя.

    А сценарий может быть такой: сидел читал комментарии к статье — решил, что не согласен с Шуриком958 — возникла умная мысль, захотел ее озвучить «Пусть знает!» — без регистрации комментарий оставить нельзя — решил зарегистрироваться, предвкушая овации других пользователей и позор предполагаемого оппонента — нажал кнопку «Зарегистрироваться» — началось… E-mail, пароль, подтверди пароль. Нет не правильно — слишком простой. Опять ошибка — пароли не совпадают. И все это в условиях строжайшей секретности, часто, без возможности посмотреть где ты ошибся. Все. Мысль прошла, момент упущен, настроение ни к черту. Пользователь потерян.

    Все это к тому, что я сделала пренеприятнейшее открытие: в отличие от мобильных приложений, формы регистрации веб-версий  не так удобны и даже кривоваты.

    А какой процент потенциальных пользователей и покупателей отваливается при регистрации, думаю, и без меня достаточно написано. И даже такие аргументы как «Любимые сайты хранятся в закладках с сохраненными паролями и давно не требуют никакой регистрации», «Кому надо тот пройдет», «У всех же так», «А регистрация через соц. сети тебе зачем? Пользуйся этим» и «Зато в приложении у нас все удобно» не убедит меня в том, что форму регистрации e-mail + пароль тоже нужно делать удобной. Такой, как мобильное приложение этого же ресурса.

    Зачем же так делают?


    Если еще в 2009 (!) году Jakob Nielsen в своей статье «Stop Password Masking» плюсует идею отказаться от двойных полей подтверждения и дать возможность посмотреть, что мы там такое написали.

    В 2010 году на Хабре была написана статья-мнение на эту тему. Эмоционально очень написано.

    Но в 2010 и деревья были большими, и интернеты не такими продвинутыми. Что уж говорить о 2018, когда просто не успеваешь следить за потоками информации и пользователь обленился так, что лишнюю строчку не прочитает, лишнюю букву не напишет. Но на сайтах продолжают просить подтверждение пароля, тщательно скрывая его «В то время, как наши космические корабли бороздят просторы вселенной…» (с), т. е. чуть ли не о говорящих чайниках рассуждаем, при этом заставляем совершать абсолютно не нужные действия, пережитки минувших лет, я бы сказала. И это не сайты, которые делал на коленке школьник Вася за шоколадку, а вполне себе известные представители мира сего с миллионной аудиторией.

    Порывшись на просторах, нашла несколько причин:

    • так делают все (классика жанра!);
    • предотвращает ошибку при вводе и бережет психику особо подозрительных граждан;
    • Так делает Google!
    • В приоритете у нас мобильное приложение (версия).

    А вот как отвечает на этот вопрос Jakob Nielsen в своей статье: «Маскировка паролей стала распространенной без каких-либо причин, кроме

    а) ее легко сделать
    б) она была дефолтом в ранние дни Интернета...»

    Все.

    Почему так делать не надо


    Потому что, двойное повторение пароля без возможности посмотреть содержание ставит лишние препятствия и увеличивает количество ошибок. И уж никак не защищает пользователя от злых дядь, которые решат похитить его пароль.

    Jakob Nielsen рекомендует «Делайте то, что ожидают пользователи, и они смогут сосредоточить свои умственные способности на понимании ваших продуктов и предложений вместо того, чтобы бороться с пользовательским интерфейсом. Маскировка пароля — это не то, что пользователи активно ищут. Потеря этой функций не вызовет путаницы… Давайте очистим паутину от паутины и удалим вещи, которые есть только потому, что они всегда были там.»

    А как надо?


    Оставить одно поле для ввода пароля с возможностью скрыть или показать. Убиваем двух зайцев сразу: и ошибку предотвращаем и бдительных граждан успокаиваем. Многие компании в своих мобильных приложениях сделали именно это, забыв перенести сию замечательную возможность на сайт.

    Примеры


    Несколько примеров, где правильное поле для ввода пароля (или близко к правильному) в мобильном приложении и неправильное на сайте.

    Очень хочется, что бы правильные мысли из приложений переехали и в веб.

    Яндекс.Дзен

    на сайте еще и иконки смысла перепутаны



    Fishki.net



    AliExpress



    Wildberries



    Facebook



    Пример для подражания ЦИАН



    Коллеги проектировщики, друзья, давайте делать жизнь пользователей лучше! Делать хорошо и правильно не только в мобильных приложениях. Вспомним прекрасное слово «контекст использования» и подумаем, что он может быть различный и обеспечить его удобство наша с вами задача.

    Спасибо за внимание!
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 43

      +1
      Проще попросить почту и на неё выслать одноразовый пароль
      Тем самым мы гарантируем, что почта рабочая и сможем сгенерить корректный пароль, который потом пользователь сможет сменить на удобный ему.
        +2
        Хуже этого только авторизация через авторизационную ссылку почту как на Медиуме. Не надо так делать.
          +4
          Нет, хуже одинарное поля ввода пароля без возможности подсмотреть. Конкретные сайты сейчас не назову, но периодически встречается такая дичь(на почту пароль при этом не падает).
            +3
            Простите, не могли бы вы пояснить, почему, на мой взгляд, одна из немногих здравых мыслей здесь, на ваш взгляд так плоха?
              –1
              Чем меньше действий требует регистрация и чем меньше шанс ошибки, тем лучше. Поэтому одно поле с паролем без подтверждения даже с кнопкой «посмотреть» — плохо. Необходимость подтверждать почту — плохо. Однарозовый пароль, который потом еще и нужно сменить — это вообще слишком много действий. Домохозяйка каждый свой визит будет тыкать «восстановить пароль», а я даже регистрацию не закончу. Высылать авторизационную ссылку на почту — вообще за гранью добра и зла.
              В одном котле с любителями усложненной регистрации, пожалуй, пожелаю еще оказаться тем, кто запрещает использовать временную почту. Ее, конечно, можно завести на нормальном хостинге, но это лень, когда можно просто скопипистить выданную.
          +1

          Во-первых, это не спасёт от малозаметных опечаток, в то время как повторный ввод скорее всего спасёт. Во-вторых, за спиной может находиться человек, очень желающий увидеть пароль (особенно на телефоне в общественных местах вроде метро, и ввод паролей на телефоне меня жутко бесит, да). Так что нет, пусть лучше два поля будут

            +1
            Так есть же на некоторых сайтах — либо вводите два раза «невидимый» пароль… Либо один раз — видимый
              +2
              «пусть лучше два поля» — это чтобы если в метро с первого раза не запомнили порядок нажимаемых клавиш, то уж со второго раза точно? У телефона экран либо виден, либо нет, это у стационарного компьютера возможна ситуация, что экран виден, а клавиатура — нет.
                0
                Прочитать видимый на экране пароль намного сложнее подглядывания за клавиатурой, ага, конечно

                Особенно за моей клавиатурой :)

                  +1
                  Особенно в банкоматах эта мегасекьюрность доставляет: введите PIN на каждый чих. Хотя, как я понимаю — это особенность реализации: банкомат PIN не знает (шифруется на уровне клавиатуры), а для внешнего процессинга операции атомарны.
                    +1
                    Возможно, это связано также с кейсом а-ля «Юзер получил услугу через банкомат, пока устройство думало — собрал вещи и ушел, не забирая свою карту. Другой человек увидел карту в устройстве и захотел использовать»
                      0
                      И даже не обязательно долго думать — если банкомат сначала выдаёт деньги, а потом карточку, то можно запросто схватить деньги и уйти, забыв карту. Сам так пару раз накалывался, пока не перешёл в Сбер. Тут сначала выдают карту, а потом деньги. Не очень удобно, если нужно потом сделать что-то ещё, зато не забудешь карту.
                +1
                А можно, например, заставить пользователя подумать, что никакого поля для ввода тут нет. Не для пароля правда, а для логина (с доменом). Клиент Skype for Business для iOS:

                  +2

                  Ещё двойной ввод пароля не предотвращает ввод пароля не в той раскладке.
                  Согласен, мне, как пользователю, вариант с 1 полем и кнопкой "показать" удобнее по всем параметрам.

                    +4
                    Ага, в результате на автомате вводишь пароль, а ошибся на одну букву. И всё у тебя пароль не тот задан. Т.к. естественно если один и тот же пароль, никто не смотрит, что вводит.
                    Оптять пользователи кофемолок пытаются прогнуть под себя PC-шников. Хотя кофемолка априори неполноценный компьютер, чтобы брать с неё пример.
                      +1
                      вестерн юнион — одноразовый пароль по смс для входа. да, конечно, первичная регистрация — она дольше — но не сильно.
                        +1
                        А мне всегда нравилась идея вместо пароля сохранять паттерн его ввода, то есть вводим «пароль», стираем первую букву, дописываем «оченьпароль», вставляем в центре слова еще пару символов… и вот эту последовательность и сохраняем. единственное, это сложно сделать на телефоне…
                          +3
                          Дело даже не столько в пароле, сколько в целом, в процессе регистрации. Когда-то давно сгорел с очередной из них. Пост получился слишком эмоциональным. И мне бы хотелось, чтобы больше разработчиков его прочитали и возможно задумались. Лично я, когда вижу подобное. Не регистрируюсь и не оставляю денег принципиально (параллельно матеря разработчиков). Тот старый пост:
                          — Мало того, что изначально я не могу зарегистрироваться по минимальным правилам безопасности в интернете. Я не могу это сделать удобно. Мне надо Вам написать. (с учётом того, что абзацем выше было написано НУЖНО, нужно написать вам ещё и ФИО с телефоном, иначе Вы имеете право меня послать. Это уже сильно потом Вы уточнили про Иван Ивановича. Нет. Не могу. Я могу вам написать и проверить. Могу ли я?! Иван Иванович работает далеко не всегда. Чаще он не работает). Меня это напрягает. Я не хочу придумывать чужие имена и фамилии, другие личности, похожие на настоящие, чтобы зарегистрироваться. Слишком много мыслей.

                          Я не люблю, когда мне нужно кому-то писать лично. Знакомиться. О чём-то просить. Я не умею, ни знакомиться, ни просить. Вообще контактировать с людьми для меня очень тяжело (в том числе и очень близкими людьми) и я очень от этого устаю. А тут нужно писать кому-то, чтобы зарегистрироваться. С учётом всего, что выше… Да п%. Это такая шутка или уже откровенное издевательство пошло?

                          Я же хотел всего лишь посмотреть «мониторинг работы фермы». А Вы заставляете меня писать что-то вроде «Здравствуйте. Пожалуйста, секретный ключ… ». (%%%%%%, я не хочу придумывать сообщение, как попросить этот долбаный ключ).

                          И это всё ещё стадия регистрации. Надо пройти три круга ада, чтобы зарегистрироваться и просто посмотреть сервис.

                          Вы сделали почти всё возможное, чтобы я её не прошёл и не смог добраться до самого сервиса и его посмотреть. Написать о нём какой-то отзыв (сервис класс — разрабы молодцы). Или даже сделать его обзор. (кто его знает, я иногда их делаю)… Но вместо отзыва о сервисе я пишу про то как за% регистрация.

                          Я не смог здесь её пройти. Для меня это слишком сложно, пройти регистрацию. Задача оказалась практически невыполнимой. Пишу это здесь, просто потому что здесь чудом есть зарегистрированный аккаунт. В противном случае, вы бы даже этого не узнали и не услышали. По хорошему, это стоит написать где-нибудь, где побольше людей, чтобы разработчики почаще слышали, что их хочется сжечь на… на костре. Где-нибудь на том же хабре (ах да, там же тоже регистрация из разряда непроходимых...)

                          А про сам сервис сказать совершенно нечего. Хороший он. Плохой. Не знаю. Я его не смог увидеть. (может быть здесь есть какая-то проблема?). У меня с головой может быть много проблем. И вот эти все сложности только у меня. Но я вроде как пользователь всевозможных ресурсов в интернете. Я хочу ими пользоваться. Но у меня не выходит и не получается пользоваться сервисами. И одна из ключевых проблем, пройти регистрацию. А если где-то написано про ФИО. Проще закрыть ресурс и забыть.

                          — Вы вообще регистрацию проходите где-то? Всё это приходится проходить раз за разом. Все эти сложности

                          — Ваш логин слишком короткий\длинный.

                          — Ваш пароль слишком простой. Ваш пароль слишком длинный. И этот тоже длинный. Вы не можете использовать пароль более 8 символов.

                          — Ваша фамилия слишком длинная.

                          — Ваша фамилия транслируется по-другому. Вы должны писать Вашу фамилию, как мы скажем.

                          — Мы поддерживаем регистрацию, только с двухфакторной авторизацией.

                          — Хм. У Вас не андроид? Не эпл. Не виндофон? Как это нет возможности поставить двухфакторную авторизацию. Не, мы не будем Вас регистрировать.

                          — Андроид. Ок. Нужны права доступа на передачу информации, геолокации, системным папкам… А ещё туда и туда? Пусть он будет большой огромной дырой, через которую всё будет взламываться.

                          — Вы можете зарегистрироваться имея учётную запись FaceBook. vk.com. Как это нет учётной записи vk? (без vk нельзя зарегистрироваться)

                          — Есть ещё мои любимые. Ваша почта не является надёжной. (WTF? Она же на моём сервере, моя почта самая надёжная почта в мире). Вы не имеете права на неё зарегистрироваться. К регистрации разрешены только надёжные почты (mail.ru, бла-бла-бла).

                          — Вашей почты не существует. (точно так же, как целиком домена .name и ещё сотни остальных...)

                          — Мы почти зарегистрировались. Осталось ввести капчу 3-4 раза… Неправильная капча… Пожалуй надо ввести _заного_ все предыдущие поля. С нуля.

                          — И подождать минутку, пока просрётся сервер.

                          — Ошибка. Вы используете русские буквы. Нельзя.

                          — Правила транлитерации вашей фамилии изменились. Мы же сказали, что она пишется по-другому. Что значит в паспорте не так? А Вы точно та личность? Пройдёмте в службу безопасности (Лучи ненависти Аэрофлоту!).

                          — Все же помнят, что на каждый сайт нужен свой пароль. Отличный от других сайтов?

                          — А ещё свой секретный вопрос.

                          — Ответ на секретный вопрос.

                          — Они должны быть разными и всё это надо придумать.

                          — А ещё не забыть и записать в место, где всё это не потеряется…

                          — Ура. Мы зарегистрировались. Только письмо не пришло не почту.

                          — Ваш аккаунт уже существует. (только письма до сих пор нет на почте)

                          — Использован недопустимый символ (какой?)

                          — Письмо подтверждения регистрации устарело.

                          — Напишите администратору, чтобы он Вас зарегистрировал.

                          — Благодарим за Ваше письмо. Ваш аккаунт зарегистрирован.

                          — Как это ошибка в фамилии?

                          — Для логина введите капчу.

                          — Или найдите розового слоника среди холодильников.

                          — Это не слоник. В логине отказано. Прочитайте вот это на кривом шрифте и напишите — «ourg8herg8her8ghep^*&^587gh4tuybuyeqvcyutqov 45y3h74»

                          и т.д и т.п.

                          — На самом деле даже немного обидно, когда делают ресурс для людей, который может чем-то помочь. И решить какую-то проблему. И вместо того, чтобы им пользоваться, думаешь, а хочется ли проходить очередную регистрацию, которая займёт полчаса. А сервис то скорее всего УГ, раз у них даже регистрация сделана отвратительно. А может ну его нахрен… А ведь интересно. Сколько это приложение соберёт обо мне данных? Могу ли я доверится этому сервису? Если в Nike будут знать мою геолокацию, это мне сможет повредить или нет? Терпимо. А если русскоязычный ресурс узнает моё ФИО и мониторинг майнинга, сможет мне это повредить? Более чем возможно.

                          И сидишь такой «довольный». Мониторинга работы фермы, как не было, так и нет. А от разработчика лучший ответ. — «сам себе пиши этот мониторинг.». (Слишком часто. Не нравится, не ешь. Сам пиши себе ОС, мессенджер, майнер, а ещё вон то и вот это… ).

                          — Ладно ещё что-нибудь простое. Почта+пароль. Ок. Иногда нужно авторизовываться. Почта+пароль, как необходимое и достаточное зло я ещё допускаю. Но ФИО+телефон+написать разработчику попросить, в облаке! За% А ведь уже почти каждый сайт, который ещё не вышел из стадии альфа теста хочет знать ВСЁ. Статистику собрать. Откуда пользователь. Что нажал. SEO+конверсия. Теперь ФИО. Скоро отпечатки пальцев для входа на сайт снимать будут :)
                            +2

                            Можно дать юзеру возможность сгенерировать и скопировать пароль.

                              +1
                              давайте делать жизнь пользователей лучше!


                              По теме статьи: есть ситуации, когда нужно видеть вводимый пароль, есть ситуации, когда это противопоказано. По моим прикидкам — это 50 на 50.

                              Самое удобное — это чек-бокс «Показать вводимый пароль» — а не дурацкий «глазик». См. например, на реализацию этого в программе 7zip (на мой взгляд — идеальный вариант реализации)

                              Дополнительно к теме статьи: гораздо больше достают опции, устанавливающие степень секретности пароля (количество символов, обязательное наличие букв и/или цифр, заглавный/строчный и т.п.)

                              Например, есть случаи, когда пользователю не нужен сложный пароль, так как никакой информации с ограниченным доступом на устройстве/сайте нет.
                              Чаще всего это доступ к общественному компьютеру, и задача у пароля — просто отсеять случайных зевак и посторонних.
                              В таких случаях вполне хватает пин-кода из четырех цифр (еще один плюс — не надо выбирать/менять раскладку клавиатуры).

                              Поэтому, в дополнение к чек-боксу «Показать вводимый пароль», хорошо бы иметь и три радиокнопки — «выбор сложности пароля»: «Простой», «Обычный» и «Надежный».
                              (подразумевая под «простым» — пин-код, под «обычным» — пароль из восьми символов, а под «надежным» — все что длиннее 8 символов)

                              И, естественно, человек, администрирующий систему — должен иметь возможность заблокировать лишние радиокнопки )
                                0
                                Подтверждаю, невероятно раздражает сложность пароля. Мой стандартный пароль не содержит спецсимволов и цифр, и частенько придуманные наспех пароли, которые удовлетворят всем запросам — забываются. Что приводит в конечном итоге к восстановлению пароля или вовсе отказу от использования, при наличии альтернатив.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  +2
                                  Эту самую надёжность всегда обхожу, копируя значение из первого поля во второе. Что для почты, что для пароля. У меня за спиной сидят только пауки, поэтому установлено расширение, которое убирает сокрытие символов.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      0
                                      Гореть вам в аду за это. Не подумали о людях, которые пароли копируют откуда-то?
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          0
                                          Try better next time.
                                        0
                                        Предлагаю блокировать ввод в поле вообще и делать свою клавиатуру на html+js. Чтобы кейлоггеры не могли увести данные.

                                        Кроме шуток, корейцы такое любят в онлайн-ММО делать. Пинкод, который можно ввести только кликая цифры на экране, причем расположение цифр меняется каждый раз. И да, пинкод тоже каждый раз надо вводить.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                    +3

                                    Не надо ничего менять!!!


                                    Вот увидел ты что в интернетах опять кто-то не прав, так пока зарегался, пароль придумал, гневное письмо написал и на кнопку "отправить" почти уже мышку навел, внезапно остыл и думаешь "да ну его, пусть себе заблуждается..."


                                    но вот я сейчас себя пересилил и нажал...

                                      +2
                                      А я привык что поле для ввода обведено бордером, а не как на 1м скрине подчеркнуто. Это не интуитивно. Таких безликих форм дофига в инете. И пойми что туда надо курсор поставить, что это поле для ввода.

                                      p.s. логин, почта и поле для ввода пароля — эти трое самый оптимальный для меня метод регистрации. Все что дополнительно захочу заполнить — перейду в ЛК и укажу.
                                        +1
                                        Статья адресована веб-разработчикам, а правильнее её адресовать разработчикам браузеров. Лучше один раз сделать хорошо, чем тысячи велосипедистов будут изобретать миллионы костыльных скриптов для отображения/скрытия паролей по чекбоксу/кнопке с глазиком.
                                          +1
                                          Вот тоже во время чтения комментариев подумалось, что разработчикам браузеров надо разработать удобный визуальный компонент ввода пароля, который бы отсылал сайтам готовый хэш из соли (заданной в настройках) и набранного пароля.
                                          А пока пришлось наваять такое расширение и утилитку под Андроид:
                                          addons.mozilla.org/firefox/addon/art-password
                                            +1
                                            Поле, которое описали вы, подходит только для регистрации, а не для ввода существующих паролей.
                                            0
                                            тысячи велосипедистов будут изобретать миллионы костыльных скриптов для миллиарда пользователей, хочу добавить.
                                            +1

                                            Просто вопрос: почему на моей банковской карте четырёхзначный цифровой пинкод, а на каком-то сайте рога и копыта должен быть криптографически сложный пароль?!

                                              +2
                                              Это очевидно. Чтобы не делать полноценную вандалоустойчивую клавиатуру в банкоматах. Irony off/
                                              Пенсионеры перед ними и так то втыкают по полчаса, а если сделать обязательный пароль буквенно-цифровым с отслеживанием регистра и спецсимволами, будет вообще атас.
                                              А представьте очередь на оплату по карте в магазине.
                                                0

                                                Сама карта уже ключём является. Для входа в банковское приложение также понадобится пароль, двухфакторная аутентификация и т.п.

                                                +2

                                                Поддерживаю. Особенно выбешивает, когда не разрешают вставить скопированный пароль в оба сразу или во второе поле (создал новый сложный пароль в менеджере пароля, а его не дают вставить).
                                                Ещё с подобным сталкивался, когда требуют ввести два раза почтовый адрес, видимо по такому же принципу, чтобы избежать ошибок. Первое поле успешно заполняется браузером правильным и вводимым адресом, копирую адрес из первого, и мне не дают вставить его во второе.

                                                  +2
                                                  PayPal в какой-то момент начал этим задалбывать. При смене пароля или регистрации скопировать его нельзя — на логичный вопрос ответили что «из соображений безопасности» (разумеется, без уточнений). Но что больше всего позабавило — при логине его таки можно копировать (может уже тоже нельзя, давно это было).

                                                  Многие сервисы вышли на следующий уровень — просят вводить имя в первом шаге, пароль — во втором (т.е. две разных формы), менеджеры паролей громко плачут.

                                                  Может, от чего-то это и защищает — но увы, страдает UX.
                                                  +1
                                                  Во избежание всех этих проблем нужен принципиально иной подход для регистрации, а именно — централизованная (но распределенная) служба, которая будет выдавать токены регистрации через стандартный API всем желающим. Выданный токен подтверждает что человек реально существует, но никак его не идентифицирует (для разных сайтов токены разные, служба не даст дважды зарегистрироваться на одном сайте, равно как и создать более одного аккаунта). Разумеется, служба должна быть бесплатной для пользователей (либо стоимость должна быть чисто номинальная).

                                                  Таким образом, сайты точно знают что пользователь реален и уникален, и в случае чего отдадут токен кому нужно (и кто имеет полномочия найти реального человека). Им также можно отдавать разрешенную пользователем инфу, которая его не идентифицирует напрямую (ник, год рождения), уникальный email для связи (тоже меняется от сайта к сайту), и т.п.

                                                  В общем, этакий OpenID только приватный (по умолчанию) — и овцы сыты, и волки целы, про пароли можно забыть, и любые изменения по (улучшению) авторизации можно делать только в одной точке. Заодно решается проблема контроля утечки данных — если email утечет, сразу ясно где (и кого бить ногами). Для магазинов и прочих сервисов придётся ещё поколдовать (им нужны таки реальные данные), но тоже решаемо.

                                                  Все существующие схемы с OpenID страдают тем что отдают потребителям слишком много инфы, которая позволяет как минимум делать трекинг и связывать профили — что, разумеется, выгодно бизнесу но [часто] невыгодно самим пользователям. К тому же, большинство провайдеров OpenID никак не идентифицируют пользователей — т.е. аккаунтов можно создать сколько угодно.

                                                  Проблема только одна — заставить все (без исключений) сайты этим пользоваться (и страшно наказывать если отказываются). А было бы здорово…
                                                    0
                                                    Зачем вот с пользователя вообще требовать пароль?
                                                    Достаточно спросить емейл, сформировать токен, выслать его на почту, и сразу считать что пользователь авторизован. в дальнейшем пользователь или зайдет на сайт по сохраненому токену, или откроет почту, и перейдет по ссылке с токеном в письме, или введет емейл и получит свежее письмо с токеном. И только по желанию самого пользователя он может задать себе личный пароль.
                                                      0
                                                      Чтобы товарищ майор вычитал токен в письме? Спасибо, не надо

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое