屏蔽密码是注册表单和登录表单中的常见老式做法,用于防止身后窥探者看到用户输入的密码。
虽然屏蔽密码是一种有效的安全做法,但它很有可能会损害注册表单的用户体验。用户注册网站时,他们期望能放心地、无忧地填写表单,但屏蔽密码会导致意外发生。
有益于登录,无益于注册
登录表单的使用率高于注册表单。用户只需注册一次以创建账号,但为了使用账号则需要频繁登录。由于用户经常使用登录表单,他们很有可能会在其他人面前输入密码。
有时用户可能想给朋友或同事展示特定网站中的内容,不过他得先登录网站才行。因此,屏蔽密码适用于登录表单,它会在用户每次登录网站时隐藏密码。
但是,注册表单中使用屏蔽密码与上述情况有所不同。屏蔽密码通常会让用户出现更多的输入错误,他们看不到输入内容,无法判断输入的内容是否有误。登录时密码输入错误的后果不像注册时那样严重。
用户登录时密码输入错误的话,再次输入即可。但在注册时输入错误的密码,登录时就会被锁定账号,必须得重置密码才行。
出现这种情况不能怪用户,而应归咎于设计人员,后者的设计不便于用户看到密码框中的输入内容。
移除注册表单中的密码确认字段
注册表单中,屏蔽密码给用户造成的一大障碍是密码确认字段。密码确认字段要求用户重新输入密码,并检查其与密码字段的内容是否一致,防止出现错误密码。
密码确认字段之所以存在,是由于用户输入的密码被屏蔽,可能会存在误输入。密码确认字段会检查误输入,防止提交错误的密码。
密码确认字段的用意是好的,但却存在不足。用户在不同的屏蔽字段中输入两次密码,会出现更多的误输入。更糟糕的是,用户还得额外操作以纠正误输入。
由于无法定位误输入,用户必须清除整个字段内容,然后重新输入密码。密码确认字段不仅导致更多的误输入,还让用户花费更多的精力纠正误输入,延缓了用户操作,让注册更麻烦。
临时取消密码屏蔽能减少误输入
注册表单中使用屏蔽密码让用户事倍功半,不仅隐藏了密码,还导致了很多误输入。屏蔽密码的安全性助益不大,大部分用户通常都是私下里注册网站,没有人从身后窥视。
注册通常是一次性的,一旦完成,就没必要再次注册。在用户单独一人注册网站时明文显示一次密码,安全风险并没有大部分人想象的那么大。即使是在大庭广众之下注册,偷窥者看到用户密码的几率很小,因为大部分偷窥者都是用户认识的人,而不是随机的陌生人。
上图所示问题的解决方案是临时取消密码屏蔽,以便用户快速准确地输入密码。临时取消屏蔽意味着仅明示一小会儿密码,以便用户看到输入的内容。
临时取消屏蔽减少了误输入,同时便于用户识别并纠正误输入的密码。取消屏蔽的时间很短暂,用户无须担心偷窥者偷看密码。偷窥者必须在几秒钟内记住屏幕上的一串随机的字母、数字字符,难度很大。
很多对密码偷窥的无端恐惧被过度夸大[1]。密码偷窥并不是大部分人想象的那么大的问题。更大的问题是用户因屏蔽密码出现误输入,进而导致账号被锁定。以下技巧可以用于注册表单,以防止出现上述问题。
字段获得焦点时取消密码屏蔽
密码字段获得输入焦点时,可以取消密码屏蔽,既便于用户输入密码,又确保了安全性。密码字段失去输入焦点后,自动屏蔽密码。
这让用户仅在选中密码字段时看到输入的密码,既降低了误输入的风险,又防止了其他人在用户编辑其它字段时偷窥密码。
另一个安全措施是用浅灰色斜体文本显示用户密码,这样很难从远处看出密码,必须得贴近屏幕才能看清每个字符。唯一能看到密码的人就是坐在屏幕前的用户。
用复选框控制密码屏蔽
另一种方法是用复选框控制密码屏蔽。用户在屏蔽状态输入密码,但当勾选复选框后,就会显示密码,让用户检查是否存在误输入。
采用这种方法,用户虽然需要额外操作以控制是否屏蔽密码,但能使他们轻松地看到并修复误输入,远强于使用密码确认字段。
平衡安全性和用户体验
通常建议遵循设计惯例,但当惯例会延缓用户操作、使任务复杂化或增加用户出错的可能性时,需要三思而后行。安全性应与用户体验相互平衡。
偏爱安全性胜过用户体验,则网站难以使用。偏爱用户体验胜过安全性,则用户紧张不安。一旦掌握两者的平衡,即使网站没有遵循每个设计惯例,用户使用网站也没有任何问题。
原文地址:https://uxmovement.com/forms/why-password-masking-can-hurt-your-sign-up-form/
[1]原文:A lot of the password snooping paranoia is blown out of proportion.
394
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
