简化密码设计的三个小秘籍.pdf

简化密码设计的三个小秘籍 摘要： 创建密码的体验总是不尽人意，设计师则可以通过如下三种方式来改进：事先告知密 码要求、允许显示密码，显示密码强度。 对大多数人而言，设置密码的体验已经 20 多年几乎没有任何变化了。这简直太不可思议了，你可以 想想近年来科技发展是多么的迅速。想象一下 1995 年的手机，它的重量、天线、小小黑黑的显示屏 ；再想象一下现在的智能手机，配备了大大的触摸屏幕、高清相机、大容量的云储存，这是多么不 同的体验。但是，当提到现在创建密码的体验，还是像 1995 年一样复杂。（当然在这个停滞的用户 验证领域，还是有那么几个突破者，例如密码管理工具，用户可以通过它来随机生成一串字符用以 加密和管理各种密码，当然还有用生物识别技术的 Touch ID 。） 我们肯定都体验过以下三种令人沮丧的情景。而通过预见挫折并时刻用我们的设计语言来重塑，我 们就能避免这些沮丧的体验。 显示密码要求 设想你在一个购物网站上挑选好鞋子准备付款，完成你的初次购买体验时，你被要求必须创建一个 密码。一个生硬的显示着 创建密码“ ”的白色矩形框就展现在你面前。 你像以往一样开始设置密码，输入 hectorthecat 然后继续，结果跳出一句错误提示： 密码必须包含“ 一个大写字母 ”；于是你改成 Hectorthecat ，错误提示又说 密码必须包含一个数字“ ” ；Hectorthecat1 ——“密码必须包含一个特殊字符 ”； Hectorthecat1%! ——“不能包含空格 或者 % ， ；”Hectorthecat123!!! 密码不能包含升序或降序的连续字母或数字——“ ”（译者注：耐 心棒棒哒 … ） 于是你放弃，关掉网页，到别处购买。 当一个系统在被使用前没有显示出要求时，用户就像玩一场规则被隐藏的游戏，既不好玩也不公平 。 解决方案： 显示密码创建要求，确保用户在选中密码输入框时都能够看见。如果你能成功减少技术限制，你只 需要显示更少的文字，更少的规则，对用户来说也会创建的更快。 仅仅有密码创建要求的链接是不够的（绝大多数人不会注意到也不会点击展开）。密码创建要求应 该在用户创建时保持时刻可见。（你考虑要把密码要求放到输入框里？千万不要这么做。） 在这些例子里，密码要求是默认可见的。设计师会根据不同的网页采用不同的设计，但是每一个例 子都能成功的在用户输入前传达约束条件： TrueBlue.JetB, . 这些密码要求在用户激活密码输入框时显示： F (top left), PayP, A. 显示明文密码 在复杂的密码创建要求下，用户的密码必然也是很负责的，用户需要添加些字符、符号直到它有效 。在这个时候，密码看起来并不是用户想象中的密码，而更像一串为了适应这个系统而生成的随机 符号。更糟糕的是，这串符号对用户是隐藏的，因为绝大多数密码是 *遮盖住的。如果想记住它，人 们必须用短期记忆来承载这些信息，创建的同时增加了认知负担。 遮盖输入字符的另一个缺点是使用户无法感知打字错误。这点在用户用移动设备或者平板电脑创建 密码时尤为重要。不出所料，研究也显示用户当在小型设备上打字时会比在电脑上打字犯更多的 错误。 解决方案： 允许用户输入时显示密码。显示密码能协助记忆，并让用户检查。在电脑上，可以默认隐藏密码， 在旁边紧挨一个勾选框，写上 显示密码“ ”。在移动设备或者平板电脑上，默认显示密码，并允许让 用户用 隐藏显示“ ”来切换。对于移动设备，因为用户可以轻易地用自己的身体来遮挡屏幕，我们对 于隐私的处理也可以更宽容些。还有，用户也比较少在手机上创建与安全服务相关的账号。 这些例子里，允许用户显示密码： L, Y 显示密码强度表 强迫用户提供符合详细组合要求的密码就像是让他们去跳过马戏团的障碍圈一样。用户顺从了这个 规则仅仅是因为网站强迫他们这样做了，但是他们往往却提供了一些容易被猜到的词作为密码。当 用户创建安全密码仅仅是为了通过注册流程时，密码要求显然就不是创建出安全密码的必要条件。 解决方案： 通过显示安全程度，激励用户创建更好的密码 由Egelman et