Пару минут назад я закончил читать одну из шуток вида «техническая поддержка против клиента». Я никогда не считал их смешными, но эта уж точно не смешна. За последнюю неделю я много обсуждал модальные окна и даже вступил в сражения насчет других аспектов создания GUI с юзабилити наци. Якоб Нильсен назвал 10 удобных нововведений в интерфейсах, появившихся в 2008-м году (насчет многих можно поспорить). И не смотря на все это стремление к простоте, я по-прежнему не вижу то, что я печатаю в поле ввода пароля.
Это ужасно не только из-за того, что пользователи сбиваются, но еще и потому, что призвано обезопасить людей, большинство из которых клеят наклейки с паролями на дисплей, чтобы не забыть. Я же наклеек не клею и твердо уверен, что за моей спиной никто не стоит, особенно в то время, когда я сижу один дома. Я же не персонаж фильма Шестое чувство, чттобы опасаться приведений. Впрочем, если они и есть, то пусть читают мою электронную корреспонденцию на здоровье. Я хочу видеть то, что я печатаю на клавиатуре, потому что я ожидаю от полей ввода такого поведения. Компьютерыы созданы для того, чтобы показывать на экране результаты нажатия кнопок в определенных ситуациях. И любой пользователь знает наверняка, что если он нажмет «а», то на экране должна появиться эта буква, а не «•» или «*».
Клавиатура для безопасного ввода паролей — какую бы клавишу с символом не нажал пользователь, он печатает •
Ладно, если уж мы параноики (скорее параноики разработчики) и не можем избавиться от точек и астерисков, то давайте использовать хоть сколько-нибудь удобные методы ввода пароля. Самым удобным, из всех, что попались мне на глаза, оказался метод применяемый в айфоне: при введении пароля отображается последняя введенная буква, которая затем скрывается точкой.
Вот так в айфоне удовлетворяют скрытую страсть к паранойе
В таком случае, пользователь хотя бы видит, что «а» превратилось в «•» и понимает этот процесс. Если же кто-то предательски выскочит из-за его спины с целью подсмотреть супер-секретный пароль, то увидит лишь точки и, возможно, последний символ пароля. Отлично, у нас есть способ помочь параноикам вводить пароли, но почему же не дать возможность отключать точечки и астериски тем, что не живет в мире, где все хотят подсмотреть его пароли? Я хочу вводить поля ввода, а не «секретные» символы.
В Mac OS X в поле ввода пароля на всякий случай появляется иконка, если пользователь нажал Caps Lock
Я уверен, что дай мы, разработчики интерфейсов, пользователям возможность видеть то, что они набирают на клавиатуре, как сразу же будет решено много проблем юзабилити, связанных с введением паролей. Например, очень часто пользователи не замечают, что у них включен Caps Lock и набирают свои пароли не том регистре, который нужен. Любой человек заметит что он вводит ЗАГЛАВНЫЕ БУКВЫ, если мы ему их покажем. Даже красивая иконка не понадобится.
Если это можно сделать при вводе пароля wifi, то почему нельзя на уровне операционной системы?
Признаюсь честно, я бы лучше вообще не вводил ни одного пароля для того, чтобы добраться до моего аккаунта на last.fm или просмотреть статистику посещений. Я не умру, если кто-то ознакомится со списком моих друзей на last.fm или увидит, сколько тысяч подписалось на мой RSS. Но это уже другая тема для обсуждения, включающая в себя также это мерзкое «ваш пароль слишком легко взломать, выберите другой». Мне, например, нравится мой пароль «аааааа» для не важных для меня сайтов. Он напоминает мне о пении и счастье.
Пароли и работа с ними — чуть ли не наиболее неудобные элементы современных интерфейсов, разве нет?
***
Похоже, что Якобу Нильсену понадобилась пара месяцев на то, чтобы посмотреть, кто на него ссылается, прочесть этот пост и согласиться со мной. Обратная ссылка была бы крайне приятна ;)
Думаю, найкраще буде дати можливість вибору в кожному такому вікні.
Задумався, як краще: «Показувати пароль» чи «Приховати пароль»? Звичайно, в будь-якому випадку потрібно щоб за замовчуванням пароль показувався.
А зараз, мабуть, варто почати це робити в мережі. При вході до адмінки Вордпреса, наприклад ;-)
Я думаю, это не столько проблема программистов, сколько всякого рода безопасников. Читай – нахлебников.
А с этими параноиками скоро в туалет не сможешь попасть, пока не зарегистрируешься, потом подтвердишь регистрацию, потом логин и пароль (что прячется за символами).
Кроме того, сколько в сети есть всяческих программ, что “позволяют управлять Вашими паролями”? Множество, и доходит до абсурда – менеджер “Шифрует Ваши данные для полной безопасности”. Мало того, народ придумывает пароль к менеджеру паролей. Бред.
И все эти меры “безопасности” никого еще не спасали от утечки информации))
Полностью согласен и хотел у себя написать заметку такого же плана, но вы опередили :)
Действительно нужда скрывать пароль отпала уже давно, хотя я и не могу понять как она вообще могла появиться.
Помимо капс-лука есть ещё смена раскладки клавиатуры и нам-лук для цифровой клавиатуры. Так что единственным способом борьбы с этим остаётся использовать нормальные поля в своих работах и проектах.
Может стоит создать такую же страницу как противники шестого осла?
Либо я такой испорченный, но в качестве вашего пароля я явно вижу F-word =)
По сути вашего поста – я считаю, что самое удобное, что нужно стремится к тому, чтобы в системах не было никаких паролей. Только в этом случае можно избежать компрометации паролей и ошибок при их вводе.
PS это все мечты, от паролей мы еще долго не сможем отказатся =)
greshnitca, утечка происходит из-за людей, а не из-за плохих паролей. Но люди привыкли к ним. Хотя сейчас в связи большой социализацией интернета пароли напрочь мешают получить необходимую информацию.
Biк, я вважаю, що у більшості випадків немає ніякого сенсу ховати паролі. Ніхто не стоїть за спиною очікуючи щоб ви ввели таємне слово ;) На всіх проектах і сайтах, що я розробляю, я пропагую не використовувати поле password, чи як там воно зветься. Поки що люди не розуміють чому.
greshnitca, ну, в самолет уже с l’eau par Kenzo не зайдешь, приходится сдавать в багаж. Тут намечается та же тенденция. Невольно вспоминается 1984 год ;)
Александр Реушкин, о чем я и говорю: интерфейс плодит куда больше проблем, чем решает. Мне кажется, что от такого интерфейса имеет смысл отказаться или, хотя бы, его модернизировать. Насчет страницы противников IE 6, если речь идет о скрипте с модальным окном, я спорил на реддите с многими ребятами. Заработал сильное понижение кармы ;) Методы противников IE 6 мне не симпатичны, если интересно почему, то я с удовольствием напишу об этом пост. Возможно имеет смысл запустить отдельную инициативу. Если Вам интересно, давайте поговорим об этом ;)
bessarabov, да там не f-word, а явно набрано «fuck» ;) К несчастью, или счастью, пароли необходимы сейчас и будут необходимы всегда. Возможно набирание пароля на клавиатуре поменяется на снимок пупка веб-камерой, но это все равно будет пароль. Проблема заключается в несостоятельности текущего интерфейса введения паролей, ведь каждый может повторить то, что ввел другой пользователь. При фотографии пупка такая проблема отпадает, разве что злоумышленник вырежет пупок у пользователя ;) Надо либо что-то в корне менять в системе, либо улучшать интерфейс. Коренных изменений пока не предвидится, так что нужно работать над интерфейсом.
Genn, полностью согласен с вами (может на «ты» перейдём?) и неодобряю методы противников ие6. И было бы интересно почитать ваши мысли по данному поводу. Моих, к сожалению, пока на пост не собралось).
По поводу запуска инициативы интересно ещё как ;)
Рад знакомству ;)
Александр Реушкин, давай на «ты», конечно ;) Мысли обещаю написать, сейчас создам драфт, чтобы не забыть. Насчет инициативы: как со мной связаться написано у меня на сайте. Я почти всегда в Скайпе: genn.org.
Genn, я зараз постійно стикаюсь з такими випадками. Працюю системним адміністратором і часто доводиться вводити пароль адміна перед очима користувача. Це робочий моммент. А є випадки, коли вводиш пароль поряд зі знайомими (як власник ноута кажу), з якими все ж не хотілось би ділитись ним.
Пс. Вік — це від Віктор, тому краще кирилицею :-)
Вiк, my fault! ;) Якщо ми хоч на хвилинку припустимо, що можна показувати пароль, а не тільки ховати, то виникає безліч варіантів роботи з ним. Від низки налаштувань інтерфейсу схованих за словами «Public computer» до можливості автоматично приховувати пароль для деяких логінів. Наприклад, якщо ти вводиш administrator чи root, чи навіть логін будь-якого користувача, що має права адміністратору, то автоматично пароль сховано за зірочками. Можна навіть додати такі налаштування для кожної групи користувачів, чи навіть окремих користувачів.
Звісно, є ситуації, коли не треба нікому афішувати паролі, але у більшості користувачів більшість часу таких ситуацій не виникає. Доречі, більшість користувачів так вводять свої паролі, що легко подивитись, що за кнопки вони нажимають. І нічого, якось живемо ;)
Genn, тут згоден. Власне про розширення можливостей і думав.
До речі, цікавий момент, багато людей відчувають певний страх перед паролями, деколи на стільки великий, що самі бояться на них дивитись :-) Часто стидаються сказати, навіть якщо за ними не стоять якісь таємні дані. От вчора почув таку думку: «А я от не хотіла б такого… І не тому що бережу дані, а тому що в мене паролі вічно якісь особисті» :-)
У нокії така система вводу/відображення паролів була ще до айфону.
to Александр Реушкин совершенно верно, что проблема утечки информации – это люди. Я не говорила о плохих паролях. Я говорю о том, что даже если мы запаролим все что можно – это не спасет нас от той же утечки информации. Значит, или надо менять подход к определению, что есть секретной информацией, а что нет, или методы работы с теми же паролями.
Я согласна с Genn в том, что пользователю надо давать право выбора.
Макс, чесно кажучи — вражений. Я не знаю яка система введення паролів у Соніеріксонів — не вводив, а нокіями ніколи не користувався, тому що не можу подружитися з їх інтерфейсом. Але те, що вони зробили чи навіть придумали таку систему — це круто, молодці. Пост про паролі, а не про айфон, я просто не бачив такого раніше ;) Та й паролі до телефону я не вводив поки в мене не з’явився айфон.
Обязательно свяжусь после выходных. Сейчас времени нет.
До связи ;)
Честно говоря, больше 99.9% пароли узнаются разными способами, за счёт протоколов, лёгких комбинаций и человеческого фактора — дурости. И “паролирование” пароля это пережиток наверное начала 2000-х и конца 90-х. Вспомните программы для windows’a которые позволяли, увидеть пароль скрытый ***********. Разработчики того времени, думаю 5% нынешних программистов, повторяют туже ошибку и вставляют в поле, хоть и типа password реальные значения, которые можно легко узнать, если представить что “злоумышленник” открыл страницу в ваше отсутствие с вашего(!) компьютера на котором осталась открытая сессия, что само по себе маловероятно. Отсюда и вытекает вопрос, тогда зачем звёздочки и точки. Думаю, даже в айфоне слишком параноидально выглядят точки, не смотря на то, что ты видишь последний введённый тобою символ.
Лично для себя я понял, что вводить пароль можно открытым способом, не боясь что его подглянут, хотя не исключаю, что в некоторых ситуация стоит скрывать пароль, например в банкоматах. Как бы широко вы не закрывали экран, подглядеть четырёхзначное число очень легко, даже проходя мимо, дело только остается за малым, забрать карточку :) Так что шифрование пароля изживает себя.
5 раз за! При разработке оптимизированной регистрации в ЛК (личном кабинете клиента), я увеличил поля ввода в несколько раз (примерно как на хабре логинка) и открыл поле пароля (из-за чего потратил много времени и сил, на доказательство того что прятать его нет необходимости).
P.S. Генн, что-то ты действительно и в твиттер постишь и в фейсбуке коментишь и на ластфм мелодии льёшь, а в скайпе тебя нема ;)
Cinic, ну, вот он я! Просто с айфона в Скайпе сижу редко, а сегодня был вне дома ;)
Буквально через пол часа после прочтения поста, у нас на работе завязалась дискуссия: “Зачем открывать данное поле?” Ведь наша компания работает с клиентами, а у них скорее всего возникнут вопросы: “А зачем так сделали?”, “А безопасно ли это?”, “Ааааа, меня похакали ;)”.
И я пришёл к выводу, что можно реализовать возможность “скрывать / открывать” символы в данном поле (и именно в такой последовательности ;) ).
Cinic, для небольшой и компактной формы логина такой чекбокс явно будет перебором, зато в профайле пользователя вполне можно сделать раздел «Привет, у меня паранойя», в котором он сможет попросить забывать его пароль, заставлять логиниться каждый раз и прятать от его глаз пароль. О! Кстати, на многих формах уже сейчас есть чекбокс с чем-то вроде I’m using public computer and want to be secure as it possible, который, в принципе, и указывает на то, что пароль стоит прятать, а не только не запоминать.
А если форма как на хабре и занимает практически экран? :)
Cinic, я на это сайте был два раза в жизни и оба раза не испытал удовольствия. Ради того, чтобы ответить на твой вопрос, я отправился туда в третий раз. Пробравшись через тернистый логотип к ссылке «Вход», я смело нажал на левую кнопки мышки, ожидая увидеть обычный вменяемый div, который просто появится рядом с курсором или в самой середине окна. Оказалось, что Вход — отдельная страница. Да что я рассказываю, ты и сам знаешь ;)
Да, в такой огромной форме можно поставить справа от поля ввода или сразу под ним чекбокс «Я никого не боюсь, покажите мне то, что я ввожу». Ведь суть этих гипертрофированных полей ввода как раз и заключается в том, чтобы пользователь не испытывал дискомфорта, вводя тексты. Как можно ошибиться вводя точки? Они всегда точки, независимо от размера. Так что в форме логина на называнный тобой сайт, прятать пароль просто странно — зачем тогда было делать поле ввода на половину экрана нетбука? ;)
I love my mac ;)
Я и сам не могу понять для чего все эти прятки. Даёшь движение интернет без паранойи?
И так я решил что все последующие макеты, которые будут попадать ко мне в вёрстку, я буду делать с открытым полем пароля.