Vraag:
Moeten gebruikers vanuit veiligheidsoogpunt worden gevraagd om hun wachtwoord te bevestigen bij het registreren?
Celeritas
2013-01-30 00:40:13 UTC
view on stackexchange narkive permalink

Is het raadzaam om gebruikers hun wachtwoord opnieuw te laten typen om te bevestigen dat het correct is? Over Gebruikerservaring lijkt de algemene consensus nee te zijn, maar ik vraag me af of dit gevolgen heeft voor de beveiliging.

BEWERKEN: mijn twee cent is dat sommige gebruikers er niet toe zouden leiden het gevoel hebben dat de site onveilig of onprofessioneel is?

EDIT 2: Eerlijk gezegd ging de vraag die op UX werd gesteld over een wachtwoord dat in platte tekst wordt weergegeven (dus minder waarschijnlijk dat er een fout wordt gemaakt), verandert dit de antwoorden?

Persoonlijk denk ik dat de UX-trend naar een enkel veld verkeerd is. In de zin dat het geen enkele gebruiker kan schelen als u hem vraagt ​​zijn wachtwoord te herhalen. Dit is een eenmalige activiteit voor de meeste gebruikers, als ze een account willen, spelen ze mee. Ze zullen niet zomaar een woedende bui krijgen en weggaan, alleen daarom. De UX-jongens zeggen dat het resetten van een wachtwoord tegenwoordig een triviale zaak is. Het maakt niet uit hoe u het bekijkt, het opnieuw instellen van uw wachtwoord is veel meer pijn dan het een keer herhalen wanneer u het aanmaakt / wijzigt.
Heeft u het over het aanmaken van een nieuw wachtwoord, of als onderdeel van het hoofdverificatiedialoogvenster? Creatie: ja; login: irritante ergernis.
@Kaz, Kunt u zich ten minste één geldige reden voorstellen om het wachtwoord bij het inloggen te moeten bevestigen?
Ja, ik * kan * me een geldige reden voorstellen. Stel dat de gebruikersinterface te maken heeft met een authenticatiemodule die het account zal uitschakelen na bijvoorbeeld drie ongeldige. Door de gebruiker hetzelfde te laten typen, kan het aantal fouten worden verminderd.
Hoe zit het met het scenario waarbij de gebruiker het wachtwoord kopieert en plakt om te voorkomen dat hij het twee keer moet typen? (Ik denk niet dat het zo ongewoon is.)
Vijf antwoorden:
Rory Alsop
2013-01-30 00:51:46 UTC
view on stackexchange narkive permalink

De echte reden om een ​​gebruiker zijn wachtwoord twee keer te laten typen, is om te voorkomen dat hij het verkeerd invoert. Het is heel gemakkelijk om bij het typen van een nieuw wachtwoord een hoofdletter onjuist te krijgen, of per ongeluk de letter naast het wachtwoord te typen je denkt dat je aan het typen bent.

Als dit zou gebeuren, zou de gebruiker geen toegang kunnen krijgen tot zijn account, op welk punt zwakkere vormen van beveiliging, zoals het opnieuw instellen van een wachtwoord, een rol kunnen spelen.

Twee keer typen is een snelle controle of de gebruiker consistent genoeg is om het twee keer hetzelfde te krijgen - dus ze hebben het waarschijnlijk correct.

Bovendien maakt het twee keer typen van het wachtwoord het gemakkelijk om het te onthouden.
@Vorac: Je zou een (zwakke) claim kunnen indienen voor * makkelijker *, maar het blijft ver achter bij * gemakkelijk te onthouden *. Met uitzonderingen voor savants, maar ze zullen het onthouden nadat ze het een keer hebben getypt.
Iszi
2013-01-30 01:41:49 UTC
view on stackexchange narkive permalink

Er is een belangrijk punt dat hier nauwelijks wordt aangeraakt, en wat meer wordt behandeld in de UX-thread die u heeft gelinkt, die ik graag zou willen benadrukken.

Het wachtwoordbevestigingsveld op zichzelf, dient geen beveiligings doel. Het dient echter als een bruikbaarheid -supplement om hoofdpijn te verminderen die anders zou kunnen worden veroorzaakt door iets dat een beveiligingsfunctie is.

De reden dat we hebben Gebruikers bevestigen hun wachtwoord omdat ze hun wachtwoord niet op het scherm kunnen zien wanneer ze het invoeren. De reden waarom we hen niet toestaan ​​het wachtwoord op het scherm te zien, is om te voorkomen dat schoudersurfers, beveiligingscamera's, gedeelde desktopgebruikers en schermopnametools het wachtwoord kunnen zien.

Als het wachtwoordveld zou moeten niet gemaskeerd blijven, dan zou het redelijk zijn om zonder wachtwoordbevestiging te doen. U kunt dit al in actie zien in sommige toepassingen (KeePass is een voorbeeld) waarmee u het wachtwoordveld selectief kunt maskeren / ontmaskeren. In die toepassingen is het wachtwoordbevestigingsveld alleen ingeschakeld als het wachtwoord is gemaskeerd.

Het doel van het wachtwoordbevestigingsvenster is als een gezondheidscontrole voor de gebruiker. Het is niet te vertrouwen dat gebruikers hun wachtwoord 100% van de tijd foutloos invoeren, en veel minder als ze het wachtwoord niet visueel kunnen verifiëren voordat het wordt verzonden. Het is echter zeer onwaarschijnlijk dat een gebruiker zijn wachtwoord twee keer achter elkaar op dezelfde manier "vetvingert". Hierdoor kan een gebruiker er relatief zeker van zijn dat hij het wachtwoord instelt op wat hij denkt te zijn, zonder de veiligheid in gevaar te brengen door het op het scherm weer te geven.

Natuurlijk moet worden begrepen dat dit het geval is. alleen nodig in de registratiefase. Dit komt omdat je tijdens de installatie maar één kans hebt om je wachtwoord in te stellen voordat je eraan vastzit. Bij het inloggen krijg je meerdere pogingen. Een eenmalige fout bij het inloggen is veel minder duur dan het zou zijn (zonder het bevestigingsveld) bij het registreren.

Thomas Pornin
2013-01-30 00:54:21 UTC
view on stackexchange narkive permalink

Het is het beste om gebruikers hun wachtwoord twee keer te laten typen, omdat:

  1. ze het verkeerd hebben getypt, en ze zouden het niet weten omdat het wachtwoord is " verborgen "op hun display (het is maar een hoop '*');
  2. als de gebruiker serieus is in zijn veiligheid, dan heeft hij een geheel nieuw wachtwoord gegenereerd dat hij zal moeten uit het hoofd leren. Dit soort geheugen zit in de spieren (eigenlijk in de hersencellen die de spieren direct beheren). Door de gebruiker zijn gloednieuwe wachtwoord tweemaal te laten typen, betekent dit dat de kans halvering wordt gehalveerd dat hij het over tien minuten vergeten is.

We vereisen niet dat de gebruikers het wachtwoord driemaal invoeren, omdat ze dan boos zouden worden.

Voeg toe aan # 1: * ... zoals het hoort. *
@Iszi: Ja, maar vergeet niet [Polynomial's antwoord] (http://security.stackexchange.com/a/23339/13239) over of wachtwoorden moeten worden gemaskeerd. Wachtwoorden moeten standaard worden gemaskeerd, maar de gebruiker moet de mogelijkheid hebben om deze te bekijken. (Apple's compromis op hun handheld-apparaten is behoorlijk: het laatst getypte teken is zichtbaar, maar alle andere zijn gemaskeerd.)
Hoe zit het met het hebben van een van die 'wachtwoordsterkte'-meters, en hoe hoger de sterkte, hoe vaker ze het moeten herhalen. d.w.z. als de wachtwoordsterkte 80% hoger is, moeten ze het 8 keer typen. Je zou het zelfs exponentieel kunnen maken. 1 herhaal op 10%, 4 keer op 20%, 8 op 30%, etc., 256 keer op 80% en 1024 keer op 100%. Dit zorgt ervoor dat gebruikers hun wachtwoorden onthouden, en ze zullen u er later voor bedanken.
Klinkt als een geweldige manier om ervoor te zorgen dat alle wachtwoorden zwak zijn.
@JonathanGarber Naar mijn mening vind ik het leuk wat Windows 8 deed met hun inlogscherm. Een knop verwijdert de passChar (de '*') en verandert het tekstvak in echte tekst. Dit duurt slechts totdat u de knop loslaat, zodat u deze ingedrukt kunt houden zolang u wilt, of helemaal niet.
tylerl
2013-01-30 15:12:07 UTC
view on stackexchange narkive permalink

Er is hier een belangrijk punt:

Het bevestigingsvak bestaat specifiek omdat het wachtwoordvak traditioneel uw invoer maskeert. De vraag is niet bevestig je of niet , de vraag is maskeer je het wachtwoord of niet . Als u de wachtwoordinvoer maskeert, moet bevestigen, anders kan de gebruiker onjuist invoeren en niet weten. Maar als u het wachtwoord weergeeft terwijl de gebruiker het invoert, kan hij zelf zien of hij het correct heeft ingevoerd.

Het voordeel van het maskeren van het wachtwoord is dat het deze gevoelige informatie verbergt voor omstanders die aan het surfen zijn. Het nadeel is dat het moeilijker wordt om te bevestigen dat je het ding correct hebt getypt.

De algemene consensus is dat het beter is om je aan de kant van de veiligheid te vergissen, en de meeste gebruikers verwachten inderdaad dat je dat doet. Als u ze een ongemaskeerd wachtwoordveld geeft, krijgen gebruikers over het algemeen de indruk dat u niet weet wat u doet.

KyleM
2013-01-30 21:33:21 UTC
view on stackexchange narkive permalink

Dit heeft niets te maken met beveiliging, maar met gebruikerservaring. Uw gebruikers zullen gefrustreerd raken als ze niet kunnen inloggen op hun nieuwe account omdat ze het wachtwoord verkeerd hebben getypt bij het registreren. Het veld voor het opnieuw typen van het wachtwoord is er om te controleren of de gebruiker het de eerste keer correct heeft getypt. Het heeft niet veel met beveiliging te maken, want het heeft geen invloed op de rest - je kunt bij de client kijken of de wachtwoorden overeenkomen; het hoeft niet via het web of zoiets te worden verzonden.



Deze Q&A is automatisch vertaald vanuit de Engelse taal.De originele inhoud is beschikbaar op stackexchange, waarvoor we bedanken voor de cc by-sa 3.0-licentie waaronder het wordt gedistribueerd.
Loading...