пятница, 1 апреля 2016 г.

Твой пароль плохой. Угадай, какой хороший

Меня раздражают требования вводить сильно защищенный пароль на сайтах, на которых я даже денег не держу. Эй, але, зачем мне это? Зачем мне запоминать сложный пароль, если я к вам ненадолго? Еще больше раздражает политика банков, когда ты стараешься, придумываешь пароль, а через месяц «обновите, он устарел»! Блин, ребята. Те, кто хочет параноидально менять пароль — будет делать это без ваших напоминай. А кто не хочет, будет приписывать в начале своего пароля циферку «1», «2», «3» или пытаться менять «туда-сюда», пароль 1 — пароль 2 — снова пароль 1 и т.д. Если человеку лень заморачиваться, он и не будет этого делать. Почитайте Раскина, в конце концов! Или другую книгу про интерфейсы.

Если уж ставите ограничения, их надо прописывать сразу:

Ваш пароль слабый. Необходимо ввести минимум 10 символов на латинице, одну заглавную, одну прописную, 2 спецсимвола, 3 знака ¤, пробел и табуляцию.

Иначе пользователь будет исправлять одно замечание за другим, громко ненавидя разработчиков, как в истории «Pretty roses». Но и «Pretty roses» — не предел совершенства!


Случай 1


Меня регистрируют в закрытом портале банка. После первой авторизации нужно изменить пароль. Страница изменения выглядит вот так:

Твой пароль не соответствует требованиям. 
Каким? Ну очевидным же, зачем их писать!

Я не против соответствия политике безопасности, но это вся страница. Никакой ссылки на политику безопасности, ограничение по длине или сложности нет. Какой длины нужен пароль? Сколько спецсимволов? Подбирала наугад, посылая лучи нена добра и благополучия создателям сообщения об ошибке.

Случай 2


Тоже закрытая система, которая требует менять пароль каждый месяц. Но сам пароль можно выбрать достаточно простой, например, "Пупсик1". Пароль менялся так:
  • Пупсик 1
  • Пупсик 2
  • Пупсик 3
  • ...
И вот опять пароль устаревает. Пытаюсь изменить на «Пупсик13» и упс

И опять "угадай нашу политику"

Поменялась политика безопасности. Ну допустим. Но почему нельзя написать новые требования прямо тут? Зачем «уточняйте политику у администраторов»? Админам там совсем заняться нечем, что ли? Ведь если дать пользователю требования, он сэкономит свое время и время ваших работников. Не стала подбирать требования методом тыка, написала админам. Хотите писем по этим вопросам — получите.

Как быть


Если уж ставите ограничения, пишите такие сообщения об ошибке, из которых пользователь поймет:
  1. Что не так?
  2. Как это исправить?
И будет всем счастье!


См также:
Pretty roses — история о плохих текстах.
Сообщения об ошибках — тоже документация, тестируйте их! — как писать сообщения об ошибках

1 комментарий:

  1. А ещё меня умиляют абсурдные требования, типа, пароль должен быть от 6 до 9 символов.

    ОтветитьУдалить