Pull to refresh

Comments 67

Вообще нафиг сдались эти формы регистрации, если есть OAuth/OpenID и т.п.?
OpenID уже достаточно лет, но большого распространения технология не получила, хотя со стороны довольно удобно выглядит.
А где-то нужно просто больше информации, чем есть в OpenID.
Да понятно, что OpenID уже почти вымер. Я имел ввиду авторизацию через всякого рода ВК/FB/G+/GitHub и т.п., что позволяет избавиться от выдумывания ещё не занятых username, случайных паролей удовлетворяющих странным требованиям сервиса(1 цифра, 1 заглавная..), от подтверждения email по ссылке.

А ввод дополнительных данных типа ФИО и телефона — это ерунда, это быстро.
В статье есть отдельный пункт про регистрации через социальные сети. Как вижу пред упреждение от самой социальной сети, что некое приложение получит мои персональные данные, контакт-лист, да еще и почтовый адрес, всякое желание отпадает продолжать работу с сервисом.

Заодно это попадает в пункт «просите только минимально необходимую информацию»;
Согласен. Лучше обычная регистрация с минимумом вводимых данных: имхо — email, и пароль, а остальные данные уже можно «вытаскивать» из пользователя при заходах, покупках и т.п. тогда уже писать нотификации расширенные
Просто некоторые после авторизации через openid или fb еще требуют ввести логин/пароль/почту, что сводит на нет все плюсы.
А если, не просить емейл (не все социальные сети его дают), то тогда как? Сайту на стену писать что-то типа «В сервисе любителей жесткого секса Вам поступило сообщение от Раскрепощённой Хозяйки»? :)
Вот уж можно это и после авторизации указать, если мне нужны эти оповещения.
Сначала введи емейл, потом пойти на почту, потом кликни на ссылку, потом скопипасти пароль, потом введи емейл снова, и снова скопипасть.

Что мне такого хорошего в замен дают?
Вот тоже непонятно, почему нельзя сделать автоматический логин после подтверждения мыла по ссылке? Много сайтов, на которых после подтверждения зачем-то нужно заново ввести логин и пароль.
Нужно пойти дальше и вообще отказаться от паролей. Ввёл емейл, на почту пришла ссылка, кликнул по ней и всё — залогинился. С смсками так же можно сделать.
И так при каждом входе на сайт? Это ужасно! Особенно, если мне не подходит опция «запомнить меня». Есть у меня один сайт, куда вход только по СМС. Вхожу только при острой необходимости. Очень достает. Лишний раз точно не зайду!
Думаю, что такой логин можно делать как опцию, но не как единственный вариант. Правда все дополнительные опции стоят дополнительных денег/времени…
Подобные споры лишь говорят о том, что нужно давать пользователям хоть небольшой выбор. Вы считаете удобным просто ввести пару логин/пароль, а кто-то больше беспокоится о защите своего аккаунта и готов каждый раз получать смс/емейл при входе на сайт.

Главное, чтобы не делали систем, где чтобы подтвердить включение телефона нужно получить смс с кодом подтверждения :)
Сейчас практически везде несколько способов авторизации. И лично мне был бы очень удобен способ авторизации через почту или смски.
Правда не стоит так уж критиковать идею авторизации по почте. Например, вводить «правильный пароль» вида Q3e%hN9_e1z^ y на клавиатуре андроида — то еще счастье по сравнению с «открыл почту-кликнул». А вот на компе с этим нет такой проблемы, но это уже дело привычки. Один может просто «серфить» по сайтам, а у второго постоянно открыт почтовый клиент. И если там настроены соответствующие правила — логиниться через почту на ПК второму будет вполне комфортно. Почти как с хранилкой паролей, только ее не «взломают» поскольку ссылки-то одноразовые.
Скорее всего, потому что браузер не всегда предлагает сохранить логин и пароль на этапе регистрации. Помогает избежать необходимости ввода логина и пароля при втором заходе на сайт. Да, это костыль.
Не надо сохранять, и пароль не нужен. Мы точно знаем кто этот пользователь потому что только что его активировали с помощью кода. Всё что надо сделать — это его залогинить. Даже повторно SELECT не стоит делать, так как мы уже нашли пользователя для активации. Тоесть активация и логин происходят во время одного и того же запроса к серверу. Сервер выдаёт печеньку и направляет куда надо.

Другое дело, что это дополнительная работа для программистов. Хотя и не сложная, но всё же.
Это чистой воды OpenID, где провайдером является почтовый сервис, только в слегка полуавтоматическом варианте, то есть пользователю нужно самостоятельно заходить на почту и щёлкать по ссылке.

Выросло поколение пользователей, у которых и емейла-то нет, и которым он по сути и не особо нужен.

По большому счёту что было бы удобно:
Пользователь заходит, у него уже есть печенька, и сервер всегда (пока печенька не истечёт) знает кто он.

Итого:
— емейл нужен только в том случае, если пользователь хочет, чтобы сайт его о чём-то оповещал;
— пароль нужен только если пользователь планирует заходить с другой машины;
— имя пользователя нужно только для сайтов с взаимодействием между пользователями, для его отображения;

Единственный момент тут — пользователь должен иметь возможность всегда подключиться к своему аккаунту, с любого компьютера. Тут вариантов куча:
— OAuth/OpenID, чтобы пользователю не нужно было запоминать пароли для всех этих сайтов (сервер должен требовать самый минимум разрешений, предоставляемых OAuth провайдером);
— email для восстановления печеньки (полуавтоматический OpenID);
— телефон, для получения контрольного кода восстановления (не слишком удобно, потому что короткий код — не безопасно, а длинный — неудобно для пользователя);
— хардварный ключ типа YubiKey (ключ можно физически потерять, так что этот способ не должен быть единственным);
— клиентский сертификат (не для средних умов, да и его можно потерять);
— пара логин-пароль (браузер в этом случае ответственен за сохранение паролей, и есть возможность хранить их на сервере, как это позволяет Chrome, войдя в свой G+ аккаунт);
— списание суммы в пределах $2 с банковской карты;

При этом есть ещё такой фактор как уровни доступа, например для чтения почты это 1, для смены пароля это 2, а для удаления аккаунта это 3. Конечно можно позволять удалять аккаунт пользователю, про которого мы знаем только то, что он дал нам печеньку при входе, но это вполне может быть и его жена, и пьяный приятель, и даже кот, прыгнувший на клавиатуру. Тут вступает в игру двух-(и более)факторная аутентификация. Можно попросить ввести ответ на контольный вопрос, или, временно заблокировав доступ, спросить что-то о контенте пользователя, или запросить введённый ранее пароль, или повторно авторизоваться через OAuth, или ввести пароль в поле ввода, которое не подвергнется автозаполнению, и так далее.

Каждый тут выбирает то, что ему лучше подходит, вариантов много. Я согласен, что многие выбирают не самый удобный вариант, очевидно по той причине что это всё не так просто, особенно если вы не предоставляете сервис, доступ к которому пользователю не жалко будет и потерять.
Вот именно.
Пользователь пройдет любой ад регистрации, если сервис ему действительно нужен. А регистрироваться на сайтах сомнительной радости… нужно ли оно?
Из топика не совсем понятно где пользователи отказываются регистрироваться? На сайтах крупных организаций (Google, eBay, Yandex), покупки товаров или просто на форуме? Везде же по разному, как можно сравнивать регистрацию для участия в партнерской программе Youtube и на форуме или соц. сети.
Последние, кстати, действительно запрашивают слишком много ненужной информации.
Google уже если честно замучал предлогать мне везде использовать настоящее имя, и для каждого их сервиса проходить дополнительную процедуру принятия лицензионного соглашения, привязывания учетки этого сервиса к учетке Google, подтверждать свой телефонный номер…
Тема довольно обширная и применима ко многим. А крупные сервисы, с которыми мне приходилось сталкиваться, все же при регистрации запрашивают минимум, а уж потом предлагают дополнить информацию о себе.

Все восемь ошибок, перечисленные в топике, делают разве что левые сайты, предлагающие что-нибудь «бесплатно скачать».
Очень многие крупные сервисы требуют имя и фамилию. Что совершенно лишнее.
На сервисах (pastebin, springpad, gmail, jsfiddle и им подобным) я регистрируюсь совершенно спокойно
Но когда для скачивания бесплатного(то есть даже не пиратского) я обязан вводить емеил и две недели судорожно отписываться от всех рассылок — тут я 100 раз подумаю, прежде чем вообще нажимать кнопку «Sign up»
UFO just landed and posted this here
Откройте для себя одноразовую почту, вроде 10minutemail.com и сервис шаринга аккаунтов bugmenot.com. Очень помогает.
некоторые нехорошие сайты запрещают использование ящиков с доменов одноразовых почт, а ещё некоторые блокируют у себя багминотовские аккаунты, а ещё некоторые блокируют свой домен на багминоте.

*маленькая картинка негодующего Кайла*
Совет капитана дальнего плавания: заведите почтовый ящик специально для стрёмных регистраций.
В наше время бывает, что даже в ОРГАНИЗАЦИИ (отнюдь не шарашкиной) сидят на одном емайле ВСЕ сотрудники — «нам директор лишние емайлы не разрешает использовать»…
Как после ТАКОГО люди додумаются для себя одного целых несколько емайлов?
Нехорошие сайты не могут угнаться за всеми сервисами одноразовых почт, посему рекомендую иметь пару-тройку сервисов в запасе, или на крайняк воспользоваться asdasd.ru, он как правило не заблокирован. А вот что касается багминота — тут придётся смириться.
UFO just landed and posted this here
Email собирают, чтобы потом «пинать» всякими письмами. В социалках то особо не «попинаешь», а регистрация как бы означает (для владельцев сайта), что человек «записан» и его можно «пинать» чтобы вернуть на сайт.

А вот с паролем да, явный бред. В таком случае конено надо генерировать случайный пароль и скидывать его на указанный адрес. На всякий случай. Если аккаунт в соцсети заблокируют например
UFO just landed and posted this here
Не знаю почему, но все забыли про банальную лень.
Был у меня случай, ставил интернет магазин по готовой cms и там по дефолту была обязательная регистрация. Так вот, прибегнул в итоге к тому, что в русском переводе переделал строчку «Для покупки необходима регистрация» на «Ваша заявка на товар принята! Теперь вам осталось лишь позвонить по номеру 8xxxxxxxxxx и сообщить нам свои контактные данные».
После того, как я это выставил, то количество покупок увеличилось в 10 раз :)
Интересный ход.
Собственно я тоже приверженец позвонить и заказать, при возможности, чем ждать пока перезвонят. Сегодня из стоматологии в течение 2ух часов не перезвонили, пришлось записываться по телефону — из-за подобного сервиса и доверие пропадает ко всему в общем.
На мой взгляд, проблема ещё и в том, что добросовестное выполнение п.1-4 обычный пользователь проверить не может.
Регистрация означает одну вещь — владельцы сайта хотят мою информацию. Это уже причина им её не давать.
Мир вокруг нас состоит совсем не из IT специалистов.
Люди ленивы, необразованны, элементарно не умеют пользоваться компьютером и слабо представляют что такое сеть.
Если регистрация нужна для идентификация пользователя, то без нее все равно не обойтись.
Просто нужно ее сделать как можно более простой и не требовать данных больше, чем реально нужно.
А для обычного пользователя ничего более простого чем имя/ящик + пароль еще не придумали.

Со вторым пунктом полностью согласен, если какой то сайт хочет получить явно больше чем ему надо, то или сайт идет нафиг или регаюсь на левое мыло. Есть совсем упороторые сайты, которые хотят вообще всё что может предоставить социальная сеть.
3 пункт, если честно не понимаю, бывает приходят письма «как мне удалить свой аккаунт?»… Отвечаю чтоб удалили все файлы (благо удаляем по настоящему) и просто больше не пользовались сервисом.
5 пункт, то же что и 2, когда сайт предоставляет какой то минимум, но требует для этого чуть ли не лично явится с паспортом — перебор и потеря клиента.
Идеальный вариант, на мой взгляд — регистрация по email+пароль (email как логин, но при этом не показывать никак его другим юзерам) и социальные сети с минимальным возможным набором запросов. Ну вот честно, не понимаю, зачем недавно прорекламированнуму сервису доступ к моим фотографиям, при том что я просто хочу посмотреть кино, и я догадываюсь зачем нужен доступ к друзьям в любое время — активно поспамить.
Отдельно посылаю лучи ярости сайтам, которые после первого же захода перекрывают весь контент и предлагают зарегатся.
А интернет магазинам настоятельно рекомендую не просить юзера регаться и вводить кучу данных, пока он уже гарантированно не купил. И проверять способы оплаты, которые так же требуют иногда много.
Приведено 8 пунктов почему не регистрируются- лучше напишите статью- N пунктов о необходимости наличия регистрации на сайте, ибо по моему глубокому убеждению она нужна лишь в паре процентов случаев, во всех остальных она ничего не дает пользователю кроме… перечисленных вами пунктов.
p.s. За статью спасибо.
На тему заполнения форм есть еще одна интересная статья с того же ресурса, там речь идет про правильность отображения сообщений об ошибочном заполнении того или иного поля, руки дойдут — напишу :)
Согласен. Я пришел в интернет-магазин первый раз в жизни, и, по идее, мне достаточно ввести телефонный номер, по кототрому всё равно перезвонят и пришлют смс когда заказ можно забрать. В этот момент я вовсе не уверен, что мне там понравится. Вот если буду во второй раз — тогда и задумаюсь о регистрации. Молодцы те, кто размещают рядом две опции ( войти и купить | купить без регистрации )
Главная причина отказа от регистрации — наличие регистрации. На дворе 21й век и за регистрацию пора расстреливать.
Вполне. С каждым годом всё меньше и меньше причин для необходимости регистрации и всё меньше типов проектов попадают под эти причины.
Можно короче.

1) Сайт требует информацию, которая по мнению пользователя ему не нужна.
2) Сайт требует регистрацию для действия, для которого регистрация не обоснована.
Потому что зачастую мне не интересна регистрация, сам ресурс в дальнейшем, я просто зашёл тред посмотреть, например.
Поэтому я обожаю сервисы вроде bugmenot.
Большинство пользователей считает «На кой хрен мне регистрироваться? Мне этот сайт нужен лишь на один раз и всего лишь чтобы _подставить_нужное_».
А если пользователь планирует пользоваться сайтом и дальше, то он зарегается.
Довольно часто, хозяин ресурса, ставит перед собой цель, считать реальных пользователей, а также рассылать им свой спам напоминая о себе, и типа делает это незаметно, мол чтото спросить, о чемто напомнить и т.д. насколько хватает фантазии. Естественно что любой пользователь получив подряд разные ненужны ему рассылки, тутже ставит в спам, отписывается от русурса и в следующий раз уже 100 раз подумает. Ктото даже специально рассылыет тем кто давно не был на ресурсе, мол типа спросить что случилось и может узнать мнение. Это все прикольно, но это все превратило почтовый ящик в понятие — сборище хлама. Заводишь новый ящик, и знаешь что чрез время придется менять его.

Когда то поднимал ресурс с тематикой семинаров. Вели новости, созывали людей, сообщали о новых встречах. И Както спросил знакомого, почему не появляешся. тот ответил что даже не знал. На вопрос о почтовой рассылке, человек ответил сразу, что везде регистрируется левыми почтовыми ящиками, чтобы не получать спам, и в итоге оказалось что очень многие так делают. С тех пор понимание почтового ящика стало чемто вырождающимся, чтото из глубокой древности.

пароля вполне достаточно. если человек не вернулся, то ему уже видимо не интересно, и незачем спамить его.
Довольно часто, хозяин ресурса, ставит перед собой цель, считать реальных пользователей, а также рассылать им свой спам напоминая о себе, и типа делает это незаметно, мол чтото спросить, о чемто напомнить и т.д. насколько хватает фантазии

Среди хозяев подобных ресурсов я бы отдельно отметил Марка Цукенберга — этот парень явно не экономит на рассылках
Не напоминайте. Я после первой недели пользования fb завёл под эту гадость отдельную папку в ящике. В общем, на неделю мне падает от fb писем больше, чем спама и действительных писем вместе взятых. Бывает, что в интервале 5-7 минут приходит сразу по 3-4 сообщения. Недавно только вот обратил на такие бомбёжки ковровые.
Самое главное забыли: на этапе регистрации с пользователя требуют ввести совершенно невменяемую капчу, которую разгадать труднее, чем иной ребус. Пользователь матерится и посылает сайт на три буквы.
UFO just landed and posted this here
Солидарен полностью. Прикручивайте гуглологин, фейсбук, вконтакт, что угодно на что уже потрачено время.

Если на сайте (а еще более смешно — в андроид приложении) просят ввести email и пароль — сразу же доосвидания. Ну разве что очень надо.

Особенно лень с всякими форумами и новостными сайтами — иной раз поднимается рука написать комментарий, но как дойдешь до капчи — да ну его нафиг…
Это одна из функций регистрации. Каменты оставляют только те, кто действительно очень хочет это сделать, а не те, кто «мимо проходил». Возможно, это как раз то, чего хотят добиться админы ресурса.
Я видел форумы, где и после регистрации и входа в систему, всё равно перед отправкой комменнта надо было ввести ре-капчу.
Хватило на 2 комментария. Потом от ресурса отказался. И не то, чтобы там дикая аудитория была, чтобы такие меры вводить, всего человек 150-200 может.
По пункту 7: очень верный пункт.

Только недавно пронаблюдал такое в LinkedIn. Присылают письмо «Здравствуйте, мы дарим вам месяц платного аккаунта», заходишь его включать — действительно, 0$, нажимаешь ОК, и оно требует ввести данные карточки.
Следующее, что я нажал — кнопку «закрыть» у вкладки браузера.
основная проблема — сайт требует слишком много информации и ограничивает пользователя в предоставлении дезинформации

например, почта как логин не позволяет использовать временную почту — конечно можно её использовать, но тогда у вас будет тонна незапоминаемых логинов.
или, например, исключительный вход через фейсбук/гугл — утечка персональных данных, в том числе имени и фамилии, а вход через гугл — утечка адреса почты. некоторые сайты идут дальше и требуют привелегии писать сообщения, причем без запроса
идеальная форма регистрации состоит из 3х полей — логин, пароль и капча, никакого емейла пользователь вводить не обязан, а если ввел — не обязан подтверждать, и вообще не обязан вводить достоверные данные.
Основная причина — мне нужно получить что-то от сайта, но я не собираюсь пользоваться им постоянно. Поэтому в ход идут подставная электронная почта, ненастоящее имя, дурацкий ник, липовый фейсбук и т.д. В 80% случаев приходится регистрироваться ради какого-то однократного действия.
Считаю что идеальная авторизация в настоящее время, это логин через соц.сети, с минимумом манипуляций. Почти все они могут авторизовать клиента через JS, а на сервере остается только лишь проверить эти данные, либо получить их заново.
мои мысли про js-auth facebook
С Facebook таких проблем вообще нет, а вот VK в этом плане относительно небезопасен. Во первых Facebook использует для подписывания данных hmac, во вторых все данные пользователя можно запросить через Graph-API без каких-либо телодвижений, к примеру мои данные, мой аватар. Единственная манипуляция тут будет в разрешении прав для приложения-сайта на ваши данные. Всплывающее окно высвечивается лишь 1 раз и более не требуется, при этом перезагрузка страницы не потребуется (хотя почему-то многие сайты всё же её делают, руководствуясь, видимо, шаблонами). Я использую такую авторизацию, без перезагрузки страницы, с автоматическим созданием аккаунта пользователя на сервере и его залогиниванием. Про js-login фейсбука подробнее можно прочитать на портале facebook-developers.

Суть кода на стороне клиента, должна сводится к следующему:

FB.getLoginStatus(function (response) { // проверка getLoginStatus более оптимальная чем каждый раз делать FB.login
    if (response.status === 'connected') {
        authFB(response); // тут authFB это пользовательская функция
    } else {
        FB.login(authFB); // то же самое что и выше - в параметры передается та же функция
    }
});

Код для VK будет очень подобен тому, который выше:

VK.Auth.getLoginStatus(function (response) {
    if (response.session) {
        authVK(response);
    } else {
        VK.Auth.login(authVK);
    }
});

Считаю что работа с OAuth напрямую — куда лучше, чем использование сторонних сервисов вроде Loginza/ULogin/etc. Возможно даже напишу статью в ближайшее время, где подробно расскажу что и как делать, чтобы сделать безопасную и удобную OAuth-авторизацию у себя на сайте.
Есть любопытный способ упростить жизнь пользователю: регистрация в одну кнопку «попробовать продукт»

А в уголке оставить поле для ввода и напоминалку заметную, что не оставив мыла вы сюда мол вернуться не сможете.

И дать ограниченный, но хоть какой-то функционал что бы понять, а нужно ли мне тут мыло оставлять.
1. Зачем регистрация пользователю.
Если только для того, чтобы преодолеть вахтёра, то в ход идут всякие одноразовые ящики.

2. Зачем регистрация регистратору.
Вот, например, антивирус Аваст. Для бесплатной лицензии он требует (!) указать емейл. Но выяснилось, что на этот емейл никаких ключей, подтверждений и т.п. не приходит, лицензия включается автоматически. Ну и зачем он спрашивал?
Это похоже на продавцов пылесоса: дайте нам три телефонных номера, а мы вам почистим ковёр бесплатно.
Естественно, что такому назойливому, но доверчивому вахтёру я скармливаю nobody@nowhere.no, если не лень по клаве стучать, и qq@qq.qq — если лень.
Вроде бы раньше, аваст по этому мылу высылал ключ для лицензии. При этом для активации не требуется быть в сети.
Спасибо за перевод. Считаю, что хороший такой гайд по тому, как стоит делать регистрации.

Однако, фраза «Это все о комфорте и доверии пользователей» — это слишком уж прямой перевод.
Спасибо за критику.
А эта фраза видимо от лица автора оригинала, как я понял) Т.е. все, что он хотел/мог донести по этой теме :)
Я бы сказал «Всё дело в комфорте (использования) и доверии пользователей». «It's all about» — устоявшееся выражение в английском языке.
Sign up to leave a comment.

Articles