1 заметка с тегом

логика РСС

О регистрации

17 июля 2013, 18:16

Среди разработчиков есть мнение, что они обязаны следить за безопасностью пользователей, заставляя их совершать те или иные действия, например, при регистрации.

Вместо просторных дверей с ковриком «Вэлкам» они городят ров, который надо преодолевать вплавь, многометровый земляной вал с противотанковыми ежами и узкие ворота переодически поливаемые кипящей смолой. Ради мнимой безопасности и пары ошибок на тысячу регистраций разработчики заставляют страдать всех.

Происходит так из-за того, что сознание многих разработчиков застряло во временах, когда люди не знали правила игры в интернете. Всех надо было обучать и нянчится с каждым.

Рассмотрим каждую преграду на пути нормального пользователя:

Подтвердите пароль

Решаемая задача: защита от ввода неверного пароля.

Почему это решение плохо: ничто не мешает допустить два раза опечатку в пароле. Если пользователь использует один и тот же пароль везде, то его пальцы запоминают пароль до автоматизма. В результате чего пользователь не застрахован о того, чтобы два раза подряд набрать пароль passwird-passwird, опечатавшись из-за быстрого набора. Или другой случай — клавиатура барахлит и кнопка не срабатывает. В этом случае пользовать зарегистрируется с неправильным паролем passwrd-passwrd и даже не узнает об этом. Продвинутые ребята вообще генерят себе пароли или копируют из файликов, поэтому для них подтверждение пароля не нужно совершенно. А ведь некоторые особо заботливые разработчики запрещают в формах копипаст!

Хорошее решение: оставлять поле пароля незасекреченным. Звучит кощунственно, но давайте подумаем о том, в какой среде проходит регистрация. Регистрация — не вход, которой производится в совершенно любой обстановке, например, когда сзади кто-то стоит. Регистрируются обычно в обстановке спокойной, когда никто не смотрит. Поэтому звездить поле не обязательно. По умолчанию поле регистрации должно быть рассекречено и секретиться по желанию пользователя, на случай если всё-таки кто-то может подсмотреть. В этом случае все проблемы с опечатками отпадут сами собой.

Ваш пароль должен...

Решаемая задача: спровоцировать использование более устойчивых к взлому паролей.

Почему решение плохо: потому что разработчик для пользователя, а не наоборот. Пользователь не должен танцевать под дудку программистов и менять свой привычки ради их понимания безопасности. Ведь всем не угодишь: у кого-то «Безопасный пароль» — просто минимум N символов, кто-то хочет цифры в пароле, кто-то заставляет ещё и заглавную букву использовать. Вот и получается, все кому не лень безапелляционно принуждают пользователя к безопасности. Ради этой мнимой безопасности тот вынужден помнить пяток паролей (да, не все пользуются ван-пасвордом). Либо выписывать на листик и клеить на рамку монитора — верх безопасности. Причём нет никакой возможности запомнить, какой пароль от Фейсбука, а какой от Твиттера. Вот и приходится вместо наслаждения сервисом несколько минут перебирать пароли, постоянно получая подзатыльники от разработчика «Пароль не подходит!».

Хорошее решение: рекомендации по безопасности необязательные к исполнению:

Повторите адрес почты

Решаемая задача: не выяснена, предположительно, чтобы не допустить опечатки в адресе почты.

Почему это решение плохо: из-за проблем опечаток, описанных в разделе про подтверждение пароля. Кроме того сама проблема надумана. В отличие от пароля, который скрыт звёздочками, почта не скрыта. Поэтому очень маловероятно, что нормальный человек сможет опечататься. Но разработчики ради этих единичных случаев строят преграды на пути всех остальных.

Хорошее решение проблемы: на этапе активации писать адрес почты, на который ушло письмо с активационной ссылкой, и дать возможность сменить почту на случай, если в адресе опечатка:

Разработчик не должен ничего заставлять, только советовать и предоставлять возможность исправить возникшую ошибку.