首页 >热门资讯> 图像影音设计 > “无效的用户名或密码”:这种设计真的糟透了 >

“无效的用户名或密码”:这种设计真的糟透了

转载时间:2021.08.30(原文发布时间:2014.12.02)
200
转载作者:36氪企服点评小编
阅读次数:200次

“无效的用户名或密码”:这种设计真的糟透了

如果登陆时输错了用户名(通常是邮箱)或者密码,大部分系统会弹出这么一句话:Invalid Username or Password(无效的用户名或密码)。系统不会告诉你究竟是哪一个输错了,因为他们是特意被设计成这样的,就像下面这些例子:

“无效的用户名或密码”:这种设计真的糟透了

“无效的用户名或密码”:这种设计真的糟透了

这样做的原因,是出于安全性,如果有人恶意尝试破解,试错时具体告诉他们密码错了就意味着邮箱是对的(账户存在),无形中为他们排除了一个选项。

遗憾的是,这种设计显然低估了人们的智商。

99.9%的网站只允许一个邮箱注册一个账号,所以如果你真的想知道某个账户存不存在,只要试着用相同的邮箱再注册一遍就可以了,如果注册失败了,就说明用户名是对的。

“无效的用户名或密码”:这种设计真的糟透了

“无效的用户名或密码”:这种设计真的糟透了

也就是说,“无效的用户名或密码”这句话的设计根本达不到预想的安全防御目的。这样的设计不仅没有安全价值,更重要的是,它把普通用户登陆时的用户体验搞得很糟糕。

用户登陆输错用户名或密码导致系统报错,这时系统如果不回给用户一个准确的反馈信息,既不告诉你是用户名出错,还是密码出错,对用户来说完全无益于改正输入错误,是一个非常糟糕的体验。

“无效的用户名或密码”这个设计,不能说是安全性和用户体验之间的一种权衡,因为它本身不存在安全性的优点。

真正在安全性和用户体验之间做出的权衡设计应该是这样的:你可以保留登陆系统里的“无效的用户名或密码”这种防试错方式,但是当用户尝试用邮箱注册时,系统应该往邮箱里发送一封可以直接完成剩余注册过程的邮件,这样除了真正拥有该邮箱的用户,其他人都无法知道这个邮箱是否注册过账户。

如今为了登陆安全,越来越多的网站开始使用其他设计方法:比如使用动态条形码技术的双重验证;与LastPass或者1Password等第三方密码管理软件的结合;与iPhone手机Touch ID的指纹识别技术结合;甚至是直接舍弃密码的无密码登陆系统等。

但现在太多的网站还保留着“无效的用户名或密码”这种蹩脚的设计。

这其实是一个非常小的细节,但背后的设计逻辑是很有问题的。这反映出网站系统的设计就应该是要多方位配合的,像这种预防试错的登陆系统,如果没有注册系统的配合就是形同虚设,白白拉低用户体验而已。

前twilio的API工程师KEVIN BURKE在一篇文章里提出了这个问题,我认为还是很有启发的,欢迎感兴趣的同学发邮件和我讨论:suxiaoqiang#36kr.com。

[免责声明]

资讯标题: “无效的用户名或密码”:这种设计真的糟透了

资讯来源: 36氪官网

36氪企服点评

图像影音设计相关的软件

行业专家共同推荐的软件

限时免费的图像影音设计软件

新锐产品推荐

消息通知
咨询入驻
商务合作