<<  Internet演变史 | 首页 | 密码保护信息的用户体验细节(安全邮箱篇)  >>

  • 2009-01-12 - [交互-体验-信息]

    版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
    http://lovelyrosa.blogbus.com/logs/33748890.html

         密码保护是注册过程中的关键环节,尤其是对帐户安全级别比较高的网站,尤其在账号被盗或者涉及安全登录等问题的情况下,密码保护问题作为用户身份识别信息,来通过帐号异常登录(如密码被盗,被封帐户被封等)等权限认证。最近做项目才发现这里有很多细节问题,严重影响了用户的体验,先记了下来以下几点,跟大家探讨。
     
    密码提示问题
     
         用户在注册时需要设置一个提示问题和对应的答案,多数用在重设密码之前的身份验证。这就要求问题和答案要唯一对应,不然给用户造成很多困惑。主要有以下关键的几点:
     
         1.提示问题要唯一,不要同时给出多个问题。
     
         QQ的注册页面,有个问题是“你的学号(或工号)是?”就很迷惑,对于那些只有学号或工号的用户还好,对于两个答案都拥有的用户就很迷惑,很可能他们在注册是随便输入一个,在找回的时候可要回想当初究竟填了那一种号码?
    我猜想当时的设计师会认为拥有学号的是学生,拥有工号的是上班族,这两个条件是互斥的,所以只能二选一。其实情况并不这么简单,就以我来举例,注册的qq时候我是学生,现在已经上班了。找回密码的时候可能早就忘了当时的学号了;或者有的人是在职的学生,同时拥有学号何工号;再或者我转了好几次学,换了n个工作,可能就存在不止一个学号或工号。。。总之,这两个问题在很多情况下不是互斥的,甚至是重叠的。
           
                        图1  qq的注册页面 
     
    另外,qq的密码保护问题有3个,看上去很恐怖。这些问题在验证的时候是只要填对一个问题就通过了呢?还是3个问题都要答对才通过?如果只这样,用户真的需要这么多保护障碍么? 
     
         2.提示问题不要含混不清。
     
        比如“我最好朋友的生日”就是一个例子。“最好的朋友”有很多限定条件,一个人也许不止有一个最好的朋友,也许前两年的朋友过了几年就成了关系很淡的朋友。这还不算,还要在此基础上价加上“生日” 这个条件(下面会提到这个问题),无疑是给用户雪上加霜。
     
         3. 不要让问题的答案有多种可能。多种可能的因素会有这些方面:
    • 不要让用户自己去定义格式 
    比如上面提到的“生日”的格式就有很多种:1982/09/08;1982年9月8号(日);1982-09-08;等等。我的建议是,如果一定要存在该问题,在答案填写的表单应该对应出现系统定义好的格式,而不单单是一个输入框。
    • 答案尽量在很长时间内保持不变
    比如“你的手机号码的后6位”等问题,有的人会经常更换手机号码,对那些不经常更换手机号的人来说,手机被盗啊,换了居住地点等外在条件也会有变号的影响。所以不建议作为选项;“你的身份证的后8位”就会比前者要好很多。
    •  答案不要有缩写或简写的可能
    比如“你大学毕业的学校”此类问题,答案会五花八门,以“西北工业大学”为例,就会有“西工大”“西北工大”“NWPU"等叫法,将问题改成”你毕业的大学的全称?“就好很多。
     
         4.个性化选择,让用户自己定义问题。
     
          
         图2 支付宝的自定义问题表单
     
    好了,今天先写这么多。睡。
     
    参考文献:
    1. ^ a b c d e f g h Levin, Josh (2008-01-30). "In What City Did You Honeymoon? And other monstrously stupid bank security questions". Slate.
    2. ^ Garry. "Designing Good Security Questions". Retrieved on 2008-01-30.
     
     

    随机文章:


    收藏到:Del.icio.us




    Tag:
    引用地址:
    蓉儿 发表于20:02:42 | 编辑 | 继续话题 | 转发 | 分享 0

    评论

  • 每次看见这种保护问题就想吐,完全没有遇到过真正有用处的时候,一点都不想填他们。上次丢了google的一个什么密码,给客服打电话,是核对的最近线上操作,然后就把密码给我了,感觉不错。
    michelle | 发表于2009-04-16 17:25:53 [回复]
  • 本质上的问题是绝大多数用户都很诚实,更不知道这个密码提示问题应该是一个什么意思。而设计者或者PM也不知道这个提示问题是什么意思。

    如果开展社会工程学攻击,绝大多数如实填写比如父母名字等的用户的密码都要被盗取了,这个简直比破解密码更容易。

    建议在提示上不光说清楚,更说一些例子。比如让说父亲的名字你输入母亲的。。。或者输入父亲的拼音去掉首字母等。。。

    但是,从更深一层来看,这个密码提示问题,在非严谨严肃的场合就是多此一举。
    Zheming Lin | 发表于2009-01-14 22:34:55 [回复]
  • 最烦就是密码保护问题,,一直很奇怪,,为啥不整个我。。。完全不想保护。。。这个选项。。
    郊区土匪 | 发表于2009-01-14 13:22:21 [回复]
  • 这个密码提示问题,应该填写一个只有你自己知道,其他人不知道的答案。是一个固定的规则。比如你都把答案倒着写。

    千万不要问什么答什么。关于这个密码提示问题,设计界有很大的误区,看你的这个评论,你也有同样的问题。

    http://en.wikipedia.org/wiki/Security_question
    蓉儿回复Zheming Lin说:
    感谢分享,学习了
    2009-01-14 22:24:39
    Zheming Lin | 发表于2009-01-14 08:37:14 [回复]
  • 一直质疑以提示问题的方式帮用户找回密码、作安全验证,如果登录都能忘记的人,一定就能记住提示问题及答案吗?似乎需要记忆量大于登录密码。感觉邮箱和手机的找加密码的方式,更易用与合理一些。
    楼上的方式值得借鉴,哈哈。
    行云流水泵 | 发表于2009-01-13 16:50:15 [回复]
  • 说得很实在啊。
    正是因为注册时有这些问题,所以我的方法是“问题随便选,答案随便填”,然后截图保存……
    angsion | 发表于2009-01-13 16:30:40 [回复]