¿Es necesario un campo "repetir contraseña" en una página de registro?
Posible duplicado:
¿Por qué debemos pedir la contraseña dos veces durante el registro?
Al diseñar una página de registro nueva y simplificada, tuve una discusión con un colega sobre la necesidad del campo "repetir contraseña".
Diseñamos el proceso de registro de tal manera que el usuario iniciará sesión automáticamente después de completar el proceso de verificación por correo electrónico. Entonces, al menos inicialmente no será necesario que el usuario ingrese su contraseña. Por lo tanto, el usuario solo 'verificará' la contraseña cuando inicie sesión por segunda vez en caso de que omitamos el campo "repetir contraseña".
Tenemos una opción de "recuperación de contraseña" para que, en el peor de los casos, el usuario pueda pasar por ese proceso en caso de que haya escrito mal la contraseña al registrarse. Pero, de nuevo, ¿con qué frecuencia escribe incorrectamente su contraseña?
Incluso los grandes jugadores no parecen estar de acuerdo en qué forma es la mejor ...
No es necesario volver a escribir la contraseña:
- Gorjeo
- Facebook (aunque requieren volver a escribir su correo electrónico)
- Dropbox
Necesita volver a escribir la contraseña:
- Yahoo
¿Es esto necesario?
No soy un experto en interfaz de usuario, pero creo que en muchos casos es innecesario. Ciertamente, según mi propia experiencia, es raro que ingrese una contraseña incorrectamente. Una mejor solución es no tener una contraseña en absoluto. Use uno de los crecientes proveedores de autenticación (por ejemplo, OpenId, Google, Facebook, Twitter, etc.). ¿Por qué el usuario necesita otra contraseña para su aplicación o sitio?
Los usuarios técnicos de su aplicación utilizarán un generador de contraseñas y/o mecanismo de almacenamiento. Los usuarios no técnicos usarán una de las contraseñas desechables favoritas que usan para muchos sitios/aplicaciones diferentes. Es mejor integrarse con un sistema de autenticación que ya usan. También puede haber otros beneficios adicionales para su aplicación, como la integración en Google Apps si usa la autenticación de Google.
Si elige solicitar al usuario que proporcione una nueva contraseña para su aplicación, al menos no borre el campo de contraseña en el error de entrada de formulario. Nada es más irritante que borrar un campo de contraseña porque comete un error en alguna otra parte del formulario. Corrige el error de reenvío y luego hay un error nuevamente porque falta la contraseña. Esto me vuelve loco. Si le preocupa repetir la contraseña del usuario en el HTML, no lo haga. Hay muchas otras opciones. Cifrarlo en el formulario, recordarlo en estado de sesión, usar una contraseña tonta en el HTML. Lo que sea, ¡simplemente no obligue al usuario a ingresarlo nuevamente!
Microsoft tiene una manera bastante ingeniosa de resolver esto: la casilla de verificación de contraseña de desenmascarar (creo que se conecta a WiFi en Windows 7 y Vista). Realmente creo que es lo mejor de ambos mundos.
Personalmente no tengo personas mirando por encima de mi hombro las 24 horas, los 7 días de la semana; y tampoco la mayoría de los usuarios. Además, puede escribir la contraseña y simplemente desenmascarar/enmascarar para verificarla brevemente.
No es un requisito, especialmente si tiene una forma de restablecerlo. Apuesto a que mucha gente usa cortar y pegar de todos modos. Tiendo a pensar que inscribirse en cualquier cosa debería ser lo más fácil posible. JMHO.
La pregunta se reduce a "cuál es el costo de una contraseña mal escrita". Con algunos sistemas, el costo es alto, y por eso le piden que vuelva a escribir. Por ejemplo, si está configurando una cuenta en un ISP (no gratuito), entonces no poder acceder a su cuenta probablemente implica pasar por una carga completa de pasos de verificación de identificación con soporte técnico.
Con muchos sistemas gratuitos en línea, el costo de un tipo de contraseña es bajo. Si escribiste mal tu contraseña de Twitter, lo peor que puede pasar es que tengas que crear una cuenta por segunda vez. Del mismo modo, si lo escribe incorrectamente en Facebook y tienen su correo electrónico, puede solicitar un restablecimiento de contraseña, por lo que solicitan su correo electrónico dos veces y no su contraseña.
Como la mayoría de los sistemas se convierten en el segundo tipo, en lugar del primero, las repeticiones de contraseñas se volverán más raras.
Sí a veces. ¿Por qué? Porque a veces no verificas los detalles de un usuario cuando se registran, lo que significa que si olvidan su contraseña, es más difícil permitirles acceder nuevamente.
Reddit y Yahoo no verifican las direcciones de correo electrónico (en absoluto), por lo que es más importante que el usuario no olvide su contraseña. Es por eso que tienen dos cuadros de contraseña.
Twitter y Facebook no dan a los usuarios acceso completo si no han verificado su dirección de correo electrónico. Como desean que sus usuarios sean verificados, idealmente, es más importante obtener sus datos de contacto correctos que su contraseña.
¡Espero haber respondido a tu pregunta!
¿Alguna vez ha creado un archivo comprimido protegido por contraseña?.
al crear un archivo comprimido protegido por contraseña con winrar, hay una opción "mostrar contraseña". Si marca esa opción, no necesita volver a escribir la contraseña. Porque cuando la contraseña no está visible es una alta probabilidad de que el usuario pueda cometer un error. y terminará con una contraseña incorrecta.
la mayoría de los usuarios no son ingenieros de software.
Me he alejado de los campos de contraseña enmascarados. Si el usuario ve lo que está escribiendo, puede recordarlo mejor (aplicación visual), puede ver si hay errores tipográficos, no hay necesidad de volver a escribirlo, y mi opinión personal es que es menos estresante usuario.
El punto de pedirle a un usuario que escriba su contraseña dos veces es asegurarse de que no haya errores de ortografía accidentales en su contraseña. Si omite este paso y deletreaban algo incorrecto, tendrían que pasar por un proceso completo de recuperación/cambio de contraseña, que puede llevar un tiempo dependiendo de los requisitos de seguridad/habilidades del usuario.
Personalmente, creo que solo un usuario que tiene que pasar por la recuperación de contraseña debido a un carácter adicional/carácter perdido/etc. es demasiado. Especialmente cuando volver a escribir la contraseña es un paso tan fácil. Por supuesto, algunas personas copiarán y pegarán el primero en el segundo, pero es su culpa. Hice todo lo posible para ayudar al usuario a evitar ese problema.
Es en gran parte subjetivo y depende en gran medida de cómo esté diseñado su proceso de registro. Si se confirma el correo electrónico y tiene un proceso sólido de "recuperación de contraseña", probablemente sugiera que no.
Si tiene control total sobre la interfaz de usuario (es decir, no web), también puede considerar permitir al usuario la opción de ver lo que está escribiendo (á la esto )
Así que creo que casi siempre la respuesta es: depende.
Como han dicho otros: si no va a enviar la contraseña al usuario o hacer que la recuperación sea muy fácil, tener una contraseña doble puede ser una forma efectiva de evitar errores del usuario (errores tipográficos específicamente). He caído presa de los errores tipográficos en varias ocasiones; Creo que con los requisitos para las letras mayúsculas aumenta el número de errores tipográficos, pero no tengo nada más que mi propia evidencia anecdótica para probarlo.
No creo que deba tomar esta decisión en función del costo percibido: si tengo que crear una nueva cuenta, ya no obtengo mi nombre/nombre de usuario preferido y termino con una extraña suma numérica, que en sí misma se vuelve difícil de recordar. Además, el costo percibido para cualquiera de nosotros probablemente será menor que el usuario promedio.
Realmente me gusta el método de iPhone de mostrarme solo el último personaje que escribí. Realiza un trabajo bastante bueno al proporcionar información y ofuscación en las cantidades adecuadas para las personas que probablemente ingresen contraseñas en lugares públicos.
Todavía uso la doble contraseña, prefiero equivocarme al limitar el error del usuario; No es tan malo como el doble correo electrónico.
Inicialmente pensé "si sus usuarios no son muy inteligentes, un campo de contraseña de repetición les ayuda a evitar errores". Pero, por otro lado, los usuarios que no son expertos en informática podrían estar terriblemente confundidos por el segundo campo. Después de todo, en el mundo real, no existen campos repetidos.
Creo que la mejor opción, pero más difícil de implementar, es no repetir, sino incluir un cuadro de "no enmascarar mi contraseña".
Trabajé en un proyecto donde los usuarios no tenían que repetir la contraseña. Un día recibimos un correo electrónico enojado de un usuario que afirmó que mostramos su contraseña, en texto claro, en la esquina superior derecha.
Resultó que cuando se inscribió había ingresado su contraseña, y luego, sin mirar hacia arriba, pasó al siguiente campo y repitió su contraseña. Excepto que el campo era 'Nombre'.
No era estúpido, ni estaba prestando atención. Estaba mostrando algo por lo que los diseñadores deberíamos luchar: habituación . Es como un interruptor turbo en la cabeza del usuario, excepto que no siempre puedes controlar las cosas a alta velocidad.
Hay al menos dos cosas rotas aquí
- Tener que crear una cuenta en primer lugar (usar openid, google, etc.)
- Uso de contraseñas para la autenticación (todavía no hay una solución real)
¡Buena pregunta! He estado pensando en dos ideas:
Comience ocultando la contraseña. Dele al tipo un botón de alternar que mostrará/volverá a ocultar la contraseña tal como la ha ingresado hasta ahora.
Un tiempo de espera oculto podría funcionar: proporcione un botón que revelará la contraseña durante aproximadamente medio segundo y luego vuelva a ocultarla.
En ambos casos, el usuario ingresa la contraseña solo una vez. Y ve un mensaje (no necesariamente un mensaje, pero tal vez debería serlo) para revelar e inspeccionar la contraseña antes de enviarla. Como respaldo, siempre hay (creo) el correo electrónico del tipo para restablecer la contraseña.
pete
No no es necesario.
Depende de cuán importante sea la seguridad del sitio web, qué impresión tiene sobre la seguridad que le da al usuario y cuán estrictos son sus requisitos de contraseña.
Para los sitios web que requieren que las contraseñas contengan ciertos patrones/números/letras, lo mejor es que el usuario repita la contraseña, ya que mi experiencia ha sido que están creando una nueva contraseña. Entonces, lo que piensan que escribieron podría no ser lo que ingresaron.
Para los sitios web de ocio, ¿es realmente importante la seguridad? Lo más probable es que no, y puede estar tratando con el golpear y ejecutar registro de usuario. Por lo tanto, reducir el esfuerzo y el tiempo ayuda a mejorar sus números de conversión de registro.
Para los sitios web que ofrecen servicios pagos, el usuario ya ha tomado/completado la decisión de compra. Registrarse es solo el proceso que deben completar para acceder al servicio. La solicitud doble ayuda a generar confianza en que pueden acceder a este servicio por el que pagaron más adelante. Nadie quiere restablecer su contraseña por algo por lo que $ pagaron $.