Впервые пароль мы открыли при регистрации на Вебораме. С тех пор коллеги из Аймобилки развили идею, чтобы учесть интересы бдительных граждан:

Уважаемые советчики, укажите известные вам сайты, где используется подобный подход. Это поможет защищать идею перед клиентами и распространять её дальше.

Комментарии

Я продолжаю с этим соглашаться: кредитные карты намного важнее многих паролей. Тем не менее их номера никто звёздочками при вводе не прячет и повторять не просит.

Однако при попытке поменять форму регистрации на большом сайте (5000 регистраций в день), мы столкнулись с тем, что люди слишком торопятся и делают опечатки. Форма осталась прежней, с двумя стандартными паролями и двумя полями адреса.

Есть ещё мысль перенести перепроверки на другой этап жизни аккаунта. Поживём-увидим.

Якоб Нильсен как раз прошлым летом призвал отказаться от маскировки паролей:

Jakob Nielsen, «Stop Password Masking» (http://www.useit.com/alertbox/passwords.html), June 23, 2009.

Надо скрывать пароль, так как иначе браузер может его сохранить и предложить ввести ещё раз (хотя это исправляется) или пароль можно будет посмотреть, нажав кнопку «Назад».

Если у сайта есть удобное восстановление пароля, то повторное поле для пароля не нужно — не надо усложнять форму на 33% ради 5% ошибок.

На самом деле в 70% случаев поле «пароль» тоже не нужно — наиболее популярные владельцы почты (Google, Яндекс, Mail.ru) предлагают авторизацию по OpenID. Пользователю, конечно же, не нужно знать об OpenID,— просто когда он введёт «…@gmail.com», скрыть поле «пароль» и показать кнопку «Войти через Google».

Лучше всего вводить пароль как на айфоне: последний введённый символ открыт, а предыдущие за звёздами. Реализацию этого способа подсказывает Джо Кларк на АЛА — http://www.alistapart.com/articles/the-problem-with-passwords/

Я сделал UserScript (пользовательский скрипт?) и расширение для Гугл Хрома, которое показывает пароль, когда фокус находится на нём. Скрипт не мешает браузеру запоминать пароль — перед отправкой формы текстовое поле превращается обратно в поле для пароля.

Страница с примером: http://nv.github.com/show-password-on-focus.js/

Расширение для Хрома: https://chrome.google.com/extensions/detail/ogjaejebjmifpkiaafdnnpkkjnmopmhn

Скрипт для остальных браузеров: http://userscripts.org/scripts/show/68664

Мы в клиентской части своей биллинговой системы для интернет-провайдера сделали ввод пароля в открытом виде более двух лет назад, кроме того, мы ещё и убрали ограничения на количество и тип символов в логине и пароле. Результат отличный — количество обращений в клиентскую службу с просьбой «сбросить» пароль сократилось раз в пять. Причем я ни разу не слышал от клиентов претензий на тему «небезопасности» подобной схемы.

Такой подход используется не только в вебе. Например, в Oktell.

Странно, но я считал, что повтор пароля (в варианте со звездочками) нужен, чтобы не придумавали одноразовый пароль (беспорядочный набор символов) или чтобы не допустить опечатку. Эта проблема не решается и в случае с «открытым» полем ввода.

От этой беды, если она, конечно не надумана, может спасти повторный ввод пароля на последнем этапе регистрации или в конце формы.

Пароль при регистрации обязательно должны вводить два раза и он должен скрываться. Например, если вы сидите в интернет-кафе (легко можно повернуться назад и посмотреть чужой пароль). Или если вы ещё маленький (родители таким же образом могут посмотреть пароль). Никогда бы не поддержал открытый пароль.

Иншопу как на Айфоне сделал: http://inshop.ru/

> Но вот многие люди испытывают дискомфорт, наблюдая свой пароль в виде символов, а не звездочек.

Вот именно это и останавливает. Мы, например, запустили сайт меньше недели назад и вчера получили просьбу замаскировать пароль звёздами. То есть понятно, что так удобнее, но непривычность является (пока) более сильным аргументом против. С другой стороны, на сайтах с продвинутой аудиторией такой подход может быть оправданным.

И потом, пароли вводятся намного чаще данных кредитки, так что риск показать личную информацию примерно одинаков.

Я вам расскажу как делал раньше и как делаю сейчас, чтобы просто посмотреть на проблему со стороны пользователя.

Раньше у меня везде был один и тот же пароль. И вбивал я этот один и тот же пароль сотни раз. Так что ошибка при вводе могла произойти только в очень редком случае (забыл сменить кодировку, пьяный, еще под чем-то).

Сейчас у меня для каждой регистрации свой пароль. Который я сначала генерирую в программе, которая все пароли хранит, а потом просто копирую его оттуда и два раза вставляю в форму регистрации.

Ни тогда, ни сейчас мне повтор пароля не был нужен. Я за одно поле. По поводу реализации уже здесь всё сказали: или кнопочка которая показывает/скрывает символы, или как на айфоне.

Вот тут тоже были варианты: http://groups.google.com/…/browse_thread/thread/7b219616716f6b8d/33c0c273d50fb60a

Мне возможность скрыть пароль (зелёный глаз у Артёма) кажется странной. Сделана она для параноиков, на экран которых через плечо смотрят коллеги. Если вдруг опасаешься, что пароль подсмотрят нечаянно, то закрывать его надо быстро, а в этот глаз пока мышью попадёшь. Значит, эта шутка для тех поклонников безопасности, которые никуда не спешат. Тогда уж быстрее ввести пароль и убрать эту форму с глаз долой. Наконец, если наш осторожный герой предусмотрителен, он заранее должен включить режим сокрытия, и вот это на Аймобилке ну совсем непонятно, пока не пощёлкаешь туда-сюда.

Хотя не спорю, решение вполне себе.

При регистрации нужно вводить пароль дважды, т. к. велика вероятность опечатки. Если сделать это в открытом виде, то пользователи будут копировать пароль из первого поля через буфер, этим самым дублируя опечатку. Так что открытый пароль при регистрации — зло.

При авторизации уж точно не нужно скрывать одноразовый пароль, высылаемый на мобильник (довольно распространенная авторизация). На 3115.ru мы именно так и делаем.

Данные карты и открытые пароли нельзя запоминать в браузере. Есть свойство autocomplete, но оно не поддерживается Оперой. Можно решить этот вопрос более сложно, но более верно — делать рандомное имя поля или же делать скрытые поля в форме.

Насчёт ограничения длины паролей я недавно написал опус http://blog.ritov.ru/2009/12/make-me-comfortable-but-dont-make-me.html

Алексей!

Интерфейсы для людей должны допускать возможность человеческой ошибки. Пытаться предотвратить ошибку, усложняя жизнь человеку — это тупик. Давайте сделаем два поля — тогда будут копипейстить — давайте запретим копипейст. В итоге мы понижаем КПД собственной системы — благодаря вашим препятствиям меньше людей пройдут регистрацию (если она вообще нужна, это предмет отдельного разговора).

Что значит допускать возможность ошибки? Значит не позволять наступать концу света, если человек ошибся. Есть функция восстановления пароля. Чуть выше Олег Волчков написал, что упрощение регистрации наоборот _сократило_ количество обращений к этой функции в пять раз.

Зачастую люди следуют правилам только потому, что они сложились когда-то давно — но все уже забыли почему. Есть притча о женщине, которая возмутилась, что её муж не обрезал концы окорока, когда был у мясника. Когда муж спросил, зачем, та ответила, что так всегда делала её мама, а уж она знает толк. В тот же вечер тёща пришла в гости и на соответствующий вопрос ответила, что концы окорока обрезала её мама. Позвонили бабушке: «Дочка, у нас была маленькая духовка».

Артём, вы меня убедили :-) Единственно, в качестве логина нужно использовать почту или телефон, иначе сложно будет восстанавливать пароль.

На днях встретил интересный способ авторизации в американском интернет-магазине. Фамилия + номер телефона. Оба этих поля обязательные при покупке, так что проблем нет. Пароля нет вообще!

Мне очень понравился такой принцип — просто платил, не регистрировался, ничего не получал на почту, но при этом имеешь аккаунт, в котором запомнен адрес доставки.

Странно, что «как на Айфоне» (последний открытый знак) для некоторых кажется решением в сторону поля с открытым паролем. Друзья, это всё те же звезды.

Известно, что так сделано на Айфоне только из-за отсутствия физической клавиатуры (с виртуальной случается больше ошибок). Это работает в сочетании с относительно низкой скоростью набора и тем, что «клавиатура» и набираемый текст находятся в едином поле зрения пользователя.

На «большом» компьютере показывать последний символ смысла нет совсем. Если вы владеете слепым методом набора текста, вы не будете успевать проверять буквы глазами. А если не владеете, вы всё равно будете смотреть на клавиатуру, а не на экран, в тот момент когда на нём будут мелькать буквы. (А есть ещё те, кто владеет, но из-за паролей за звёздами привык подглядывать на клавиатуру, чтобы не ошибаться).

Поэтому, либо показываем всё, либо не показываем ничего.

Люди, которые боятся кражи пароля, боятся его кражи любым образом. Если человек действительно печётся о собственной безопасности, он придумывает сложный пароль вида gbljh@c, который при беглом взгляде запомнить весьма трудно. Считаю что надо делать одно поле и открытое. В любом случае паранойя возникает на стороне клиента и разработчику с ней почти невозможно бороться.

Необходимо оценивать ещё и важность самого аккаунта. Делать ввод при регистрации открытым в тех же Яндекс-деньгах нельзя, я считаю.

На регистрации пароль нужно делать видимым во избежание ошибки, потому как для большинства пользователей восстановление пароля — это очень большой стресс.

В Windows Vista и 7 пароль для входа в сеть изначально не скрывается.

А те, кто по-настоящему боятся подглядывания должны, набирая пароль, ещё накрывать клавиатуру чёрным мешком.

В этом англоязычном посте неплохо описаны преимущества и недостатки нескольких вариантов:
http://www.viget.com/advance/password-fields-are-annoying/