Как стать автором
Обновить

Комментарии 43

Проще попросить почту и на неё выслать одноразовый пароль
Тем самым мы гарантируем, что почта рабочая и сможем сгенерить корректный пароль, который потом пользователь сможет сменить на удобный ему.
Хуже этого только авторизация через авторизационную ссылку почту как на Медиуме. Не надо так делать.
Нет, хуже одинарное поля ввода пароля без возможности подсмотреть. Конкретные сайты сейчас не назову, но периодически встречается такая дичь(на почту пароль при этом не падает).
Простите, не могли бы вы пояснить, почему, на мой взгляд, одна из немногих здравых мыслей здесь, на ваш взгляд так плоха?
Чем меньше действий требует регистрация и чем меньше шанс ошибки, тем лучше. Поэтому одно поле с паролем без подтверждения даже с кнопкой «посмотреть» — плохо. Необходимость подтверждать почту — плохо. Однарозовый пароль, который потом еще и нужно сменить — это вообще слишком много действий. Домохозяйка каждый свой визит будет тыкать «восстановить пароль», а я даже регистрацию не закончу. Высылать авторизационную ссылку на почту — вообще за гранью добра и зла.
В одном котле с любителями усложненной регистрации, пожалуй, пожелаю еще оказаться тем, кто запрещает использовать временную почту. Ее, конечно, можно завести на нормальном хостинге, но это лень, когда можно просто скопипистить выданную.

Во-первых, это не спасёт от малозаметных опечаток, в то время как повторный ввод скорее всего спасёт. Во-вторых, за спиной может находиться человек, очень желающий увидеть пароль (особенно на телефоне в общественных местах вроде метро, и ввод паролей на телефоне меня жутко бесит, да). Так что нет, пусть лучше два поля будут

НЛО прилетело и опубликовало эту надпись здесь
«пусть лучше два поля» — это чтобы если в метро с первого раза не запомнили порядок нажимаемых клавиш, то уж со второго раза точно? У телефона экран либо виден, либо нет, это у стационарного компьютера возможна ситуация, что экран виден, а клавиатура — нет.
Прочитать видимый на экране пароль намного сложнее подглядывания за клавиатурой, ага, конечно

Особенно за моей клавиатурой :)

Особенно в банкоматах эта мегасекьюрность доставляет: введите PIN на каждый чих. Хотя, как я понимаю — это особенность реализации: банкомат PIN не знает (шифруется на уровне клавиатуры), а для внешнего процессинга операции атомарны.
Возможно, это связано также с кейсом а-ля «Юзер получил услугу через банкомат, пока устройство думало — собрал вещи и ушел, не забирая свою карту. Другой человек увидел карту в устройстве и захотел использовать»
И даже не обязательно долго думать — если банкомат сначала выдаёт деньги, а потом карточку, то можно запросто схватить деньги и уйти, забыв карту. Сам так пару раз накалывался, пока не перешёл в Сбер. Тут сначала выдают карту, а потом деньги. Не очень удобно, если нужно потом сделать что-то ещё, зато не забудешь карту.
А можно, например, заставить пользователя подумать, что никакого поля для ввода тут нет. Не для пароля правда, а для логина (с доменом). Клиент Skype for Business для iOS:

Ещё двойной ввод пароля не предотвращает ввод пароля не в той раскладке.
Согласен, мне, как пользователю, вариант с 1 полем и кнопкой "показать" удобнее по всем параметрам.

Ага, в результате на автомате вводишь пароль, а ошибся на одну букву. И всё у тебя пароль не тот задан. Т.к. естественно если один и тот же пароль, никто не смотрит, что вводит.
Оптять пользователи кофемолок пытаются прогнуть под себя PC-шников. Хотя кофемолка априори неполноценный компьютер, чтобы брать с неё пример.
вестерн юнион — одноразовый пароль по смс для входа. да, конечно, первичная регистрация — она дольше — но не сильно.
А мне всегда нравилась идея вместо пароля сохранять паттерн его ввода, то есть вводим «пароль», стираем первую букву, дописываем «оченьпароль», вставляем в центре слова еще пару символов… и вот эту последовательность и сохраняем. единственное, это сложно сделать на телефоне…
Дело даже не столько в пароле, сколько в целом, в процессе регистрации. Когда-то давно сгорел с очередной из них. Пост получился слишком эмоциональным. И мне бы хотелось, чтобы больше разработчиков его прочитали и возможно задумались. Лично я, когда вижу подобное. Не регистрируюсь и не оставляю денег принципиально (параллельно матеря разработчиков). Тот старый пост:
— Мало того, что изначально я не могу зарегистрироваться по минимальным правилам безопасности в интернете. Я не могу это сделать удобно. Мне надо Вам написать. (с учётом того, что абзацем выше было написано НУЖНО, нужно написать вам ещё и ФИО с телефоном, иначе Вы имеете право меня послать. Это уже сильно потом Вы уточнили про Иван Ивановича. Нет. Не могу. Я могу вам написать и проверить. Могу ли я?! Иван Иванович работает далеко не всегда. Чаще он не работает). Меня это напрягает. Я не хочу придумывать чужие имена и фамилии, другие личности, похожие на настоящие, чтобы зарегистрироваться. Слишком много мыслей.

Я не люблю, когда мне нужно кому-то писать лично. Знакомиться. О чём-то просить. Я не умею, ни знакомиться, ни просить. Вообще контактировать с людьми для меня очень тяжело (в том числе и очень близкими людьми) и я очень от этого устаю. А тут нужно писать кому-то, чтобы зарегистрироваться. С учётом всего, что выше… Да п%. Это такая шутка или уже откровенное издевательство пошло?

Я же хотел всего лишь посмотреть «мониторинг работы фермы». А Вы заставляете меня писать что-то вроде «Здравствуйте. Пожалуйста, секретный ключ… ». (%%%%%%, я не хочу придумывать сообщение, как попросить этот долбаный ключ).

И это всё ещё стадия регистрации. Надо пройти три круга ада, чтобы зарегистрироваться и просто посмотреть сервис.

Вы сделали почти всё возможное, чтобы я её не прошёл и не смог добраться до самого сервиса и его посмотреть. Написать о нём какой-то отзыв (сервис класс — разрабы молодцы). Или даже сделать его обзор. (кто его знает, я иногда их делаю)… Но вместо отзыва о сервисе я пишу про то как за% регистрация.

Я не смог здесь её пройти. Для меня это слишком сложно, пройти регистрацию. Задача оказалась практически невыполнимой. Пишу это здесь, просто потому что здесь чудом есть зарегистрированный аккаунт. В противном случае, вы бы даже этого не узнали и не услышали. По хорошему, это стоит написать где-нибудь, где побольше людей, чтобы разработчики почаще слышали, что их хочется сжечь на… на костре. Где-нибудь на том же хабре (ах да, там же тоже регистрация из разряда непроходимых...)

А про сам сервис сказать совершенно нечего. Хороший он. Плохой. Не знаю. Я его не смог увидеть. (может быть здесь есть какая-то проблема?). У меня с головой может быть много проблем. И вот эти все сложности только у меня. Но я вроде как пользователь всевозможных ресурсов в интернете. Я хочу ими пользоваться. Но у меня не выходит и не получается пользоваться сервисами. И одна из ключевых проблем, пройти регистрацию. А если где-то написано про ФИО. Проще закрыть ресурс и забыть.

— Вы вообще регистрацию проходите где-то? Всё это приходится проходить раз за разом. Все эти сложности

— Ваш логин слишком короткий\длинный.

— Ваш пароль слишком простой. Ваш пароль слишком длинный. И этот тоже длинный. Вы не можете использовать пароль более 8 символов.

— Ваша фамилия слишком длинная.

— Ваша фамилия транслируется по-другому. Вы должны писать Вашу фамилию, как мы скажем.

— Мы поддерживаем регистрацию, только с двухфакторной авторизацией.

— Хм. У Вас не андроид? Не эпл. Не виндофон? Как это нет возможности поставить двухфакторную авторизацию. Не, мы не будем Вас регистрировать.

— Андроид. Ок. Нужны права доступа на передачу информации, геолокации, системным папкам… А ещё туда и туда? Пусть он будет большой огромной дырой, через которую всё будет взламываться.

— Вы можете зарегистрироваться имея учётную запись FaceBook. vk.com. Как это нет учётной записи vk? (без vk нельзя зарегистрироваться)

— Есть ещё мои любимые. Ваша почта не является надёжной. (WTF? Она же на моём сервере, моя почта самая надёжная почта в мире). Вы не имеете права на неё зарегистрироваться. К регистрации разрешены только надёжные почты (mail.ru, бла-бла-бла).

— Вашей почты не существует. (точно так же, как целиком домена .name и ещё сотни остальных...)

— Мы почти зарегистрировались. Осталось ввести капчу 3-4 раза… Неправильная капча… Пожалуй надо ввести _заного_ все предыдущие поля. С нуля.

— И подождать минутку, пока просрётся сервер.

— Ошибка. Вы используете русские буквы. Нельзя.

— Правила транлитерации вашей фамилии изменились. Мы же сказали, что она пишется по-другому. Что значит в паспорте не так? А Вы точно та личность? Пройдёмте в службу безопасности (Лучи ненависти Аэрофлоту!).

— Все же помнят, что на каждый сайт нужен свой пароль. Отличный от других сайтов?

— А ещё свой секретный вопрос.

— Ответ на секретный вопрос.

— Они должны быть разными и всё это надо придумать.

— А ещё не забыть и записать в место, где всё это не потеряется…

— Ура. Мы зарегистрировались. Только письмо не пришло не почту.

— Ваш аккаунт уже существует. (только письма до сих пор нет на почте)

— Использован недопустимый символ (какой?)

— Письмо подтверждения регистрации устарело.

— Напишите администратору, чтобы он Вас зарегистрировал.

— Благодарим за Ваше письмо. Ваш аккаунт зарегистрирован.

— Как это ошибка в фамилии?

— Для логина введите капчу.

— Или найдите розового слоника среди холодильников.

— Это не слоник. В логине отказано. Прочитайте вот это на кривом шрифте и напишите — «ourg8herg8her8ghep^*&^587gh4tuybuyeqvcyutqov 45y3h74»

и т.д и т.п.

— На самом деле даже немного обидно, когда делают ресурс для людей, который может чем-то помочь. И решить какую-то проблему. И вместо того, чтобы им пользоваться, думаешь, а хочется ли проходить очередную регистрацию, которая займёт полчаса. А сервис то скорее всего УГ, раз у них даже регистрация сделана отвратительно. А может ну его нахрен… А ведь интересно. Сколько это приложение соберёт обо мне данных? Могу ли я доверится этому сервису? Если в Nike будут знать мою геолокацию, это мне сможет повредить или нет? Терпимо. А если русскоязычный ресурс узнает моё ФИО и мониторинг майнинга, сможет мне это повредить? Более чем возможно.

И сидишь такой «довольный». Мониторинга работы фермы, как не было, так и нет. А от разработчика лучший ответ. — «сам себе пиши этот мониторинг.». (Слишком часто. Не нравится, не ешь. Сам пиши себе ОС, мессенджер, майнер, а ещё вон то и вот это… ).

— Ладно ещё что-нибудь простое. Почта+пароль. Ок. Иногда нужно авторизовываться. Почта+пароль, как необходимое и достаточное зло я ещё допускаю. Но ФИО+телефон+написать разработчику попросить, в облаке! За% А ведь уже почти каждый сайт, который ещё не вышел из стадии альфа теста хочет знать ВСЁ. Статистику собрать. Откуда пользователь. Что нажал. SEO+конверсия. Теперь ФИО. Скоро отпечатки пальцев для входа на сайт снимать будут :)

Можно дать юзеру возможность сгенерировать и скопировать пароль.

давайте делать жизнь пользователей лучше!


По теме статьи: есть ситуации, когда нужно видеть вводимый пароль, есть ситуации, когда это противопоказано. По моим прикидкам — это 50 на 50.

Самое удобное — это чек-бокс «Показать вводимый пароль» — а не дурацкий «глазик». См. например, на реализацию этого в программе 7zip (на мой взгляд — идеальный вариант реализации)

Дополнительно к теме статьи: гораздо больше достают опции, устанавливающие степень секретности пароля (количество символов, обязательное наличие букв и/или цифр, заглавный/строчный и т.п.)

Например, есть случаи, когда пользователю не нужен сложный пароль, так как никакой информации с ограниченным доступом на устройстве/сайте нет.
Чаще всего это доступ к общественному компьютеру, и задача у пароля — просто отсеять случайных зевак и посторонних.
В таких случаях вполне хватает пин-кода из четырех цифр (еще один плюс — не надо выбирать/менять раскладку клавиатуры).

Поэтому, в дополнение к чек-боксу «Показать вводимый пароль», хорошо бы иметь и три радиокнопки — «выбор сложности пароля»: «Простой», «Обычный» и «Надежный».
(подразумевая под «простым» — пин-код, под «обычным» — пароль из восьми символов, а под «надежным» — все что длиннее 8 символов)

И, естественно, человек, администрирующий систему — должен иметь возможность заблокировать лишние радиокнопки )
Подтверждаю, невероятно раздражает сложность пароля. Мой стандартный пароль не содержит спецсимволов и цифр, и частенько придуманные наспех пароли, которые удовлетворят всем запросам — забываются. Что приводит в конечном итоге к восстановлению пароля или вовсе отказу от использования, при наличии альтернатив.
НЛО прилетело и опубликовало эту надпись здесь
Эту самую надёжность всегда обхожу, копируя значение из первого поля во второе. Что для почты, что для пароля. У меня за спиной сидят только пауки, поэтому установлено расширение, которое убирает сокрытие символов.
НЛО прилетело и опубликовало эту надпись здесь
Гореть вам в аду за это. Не подумали о людях, которые пароли копируют откуда-то?
НЛО прилетело и опубликовало эту надпись здесь
Try better next time.
Предлагаю блокировать ввод в поле вообще и делать свою клавиатуру на html+js. Чтобы кейлоггеры не могли увести данные.

Кроме шуток, корейцы такое любят в онлайн-ММО делать. Пинкод, который можно ввести только кликая цифры на экране, причем расположение цифр меняется каждый раз. И да, пинкод тоже каждый раз надо вводить.
НЛО прилетело и опубликовало эту надпись здесь

Не надо ничего менять!!!


Вот увидел ты что в интернетах опять кто-то не прав, так пока зарегался, пароль придумал, гневное письмо написал и на кнопку "отправить" почти уже мышку навел, внезапно остыл и думаешь "да ну его, пусть себе заблуждается..."


но вот я сейчас себя пересилил и нажал...

А я привык что поле для ввода обведено бордером, а не как на 1м скрине подчеркнуто. Это не интуитивно. Таких безликих форм дофига в инете. И пойми что туда надо курсор поставить, что это поле для ввода.

p.s. логин, почта и поле для ввода пароля — эти трое самый оптимальный для меня метод регистрации. Все что дополнительно захочу заполнить — перейду в ЛК и укажу.
Статья адресована веб-разработчикам, а правильнее её адресовать разработчикам браузеров. Лучше один раз сделать хорошо, чем тысячи велосипедистов будут изобретать миллионы костыльных скриптов для отображения/скрытия паролей по чекбоксу/кнопке с глазиком.
Вот тоже во время чтения комментариев подумалось, что разработчикам браузеров надо разработать удобный визуальный компонент ввода пароля, который бы отсылал сайтам готовый хэш из соли (заданной в настройках) и набранного пароля.
А пока пришлось наваять такое расширение и утилитку под Андроид:
addons.mozilla.org/firefox/addon/art-password
Поле, которое описали вы, подходит только для регистрации, а не для ввода существующих паролей.
тысячи велосипедистов будут изобретать миллионы костыльных скриптов для миллиарда пользователей, хочу добавить.

Просто вопрос: почему на моей банковской карте четырёхзначный цифровой пинкод, а на каком-то сайте рога и копыта должен быть криптографически сложный пароль?!

Это очевидно. Чтобы не делать полноценную вандалоустойчивую клавиатуру в банкоматах. Irony off/
Пенсионеры перед ними и так то втыкают по полчаса, а если сделать обязательный пароль буквенно-цифровым с отслеживанием регистра и спецсимволами, будет вообще атас.
А представьте очередь на оплату по карте в магазине.

Сама карта уже ключём является. Для входа в банковское приложение также понадобится пароль, двухфакторная аутентификация и т.п.

Поддерживаю. Особенно выбешивает, когда не разрешают вставить скопированный пароль в оба сразу или во второе поле (создал новый сложный пароль в менеджере пароля, а его не дают вставить).
Ещё с подобным сталкивался, когда требуют ввести два раза почтовый адрес, видимо по такому же принципу, чтобы избежать ошибок. Первое поле успешно заполняется браузером правильным и вводимым адресом, копирую адрес из первого, и мне не дают вставить его во второе.

PayPal в какой-то момент начал этим задалбывать. При смене пароля или регистрации скопировать его нельзя — на логичный вопрос ответили что «из соображений безопасности» (разумеется, без уточнений). Но что больше всего позабавило — при логине его таки можно копировать (может уже тоже нельзя, давно это было).

Многие сервисы вышли на следующий уровень — просят вводить имя в первом шаге, пароль — во втором (т.е. две разных формы), менеджеры паролей громко плачут.

Может, от чего-то это и защищает — но увы, страдает UX.
Во избежание всех этих проблем нужен принципиально иной подход для регистрации, а именно — централизованная (но распределенная) служба, которая будет выдавать токены регистрации через стандартный API всем желающим. Выданный токен подтверждает что человек реально существует, но никак его не идентифицирует (для разных сайтов токены разные, служба не даст дважды зарегистрироваться на одном сайте, равно как и создать более одного аккаунта). Разумеется, служба должна быть бесплатной для пользователей (либо стоимость должна быть чисто номинальная).

Таким образом, сайты точно знают что пользователь реален и уникален, и в случае чего отдадут токен кому нужно (и кто имеет полномочия найти реального человека). Им также можно отдавать разрешенную пользователем инфу, которая его не идентифицирует напрямую (ник, год рождения), уникальный email для связи (тоже меняется от сайта к сайту), и т.п.

В общем, этакий OpenID только приватный (по умолчанию) — и овцы сыты, и волки целы, про пароли можно забыть, и любые изменения по (улучшению) авторизации можно делать только в одной точке. Заодно решается проблема контроля утечки данных — если email утечет, сразу ясно где (и кого бить ногами). Для магазинов и прочих сервисов придётся ещё поколдовать (им нужны таки реальные данные), но тоже решаемо.

Все существующие схемы с OpenID страдают тем что отдают потребителям слишком много инфы, которая позволяет как минимум делать трекинг и связывать профили — что, разумеется, выгодно бизнесу но [часто] невыгодно самим пользователям. К тому же, большинство провайдеров OpenID никак не идентифицируют пользователей — т.е. аккаунтов можно создать сколько угодно.

Проблема только одна — заставить все (без исключений) сайты этим пользоваться (и страшно наказывать если отказываются). А было бы здорово…
Зачем вот с пользователя вообще требовать пароль?
Достаточно спросить емейл, сформировать токен, выслать его на почту, и сразу считать что пользователь авторизован. в дальнейшем пользователь или зайдет на сайт по сохраненому токену, или откроет почту, и перейдет по ссылке с токеном в письме, или введет емейл и получит свежее письмо с токеном. И только по желанию самого пользователя он может задать себе личный пароль.
Чтобы товарищ майор вычитал токен в письме? Спасибо, не надо
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.