Er is een belangrijk punt dat hier nauwelijks wordt aangeraakt, en wat meer wordt behandeld in de UX-thread die u heeft gelinkt, die ik graag zou willen benadrukken.
Het wachtwoordbevestigingsveld op zichzelf, dient geen beveiligings doel. Het dient echter als een bruikbaarheid -supplement om hoofdpijn te verminderen die anders zou kunnen worden veroorzaakt door iets dat een beveiligingsfunctie is.
De reden dat we hebben Gebruikers bevestigen hun wachtwoord omdat ze hun wachtwoord niet op het scherm kunnen zien wanneer ze het invoeren. De reden waarom we hen niet toestaan het wachtwoord op het scherm te zien, is om te voorkomen dat schoudersurfers, beveiligingscamera's, gedeelde desktopgebruikers en schermopnametools het wachtwoord kunnen zien.
Als het wachtwoordveld zou moeten niet gemaskeerd blijven, dan zou het redelijk zijn om zonder wachtwoordbevestiging te doen. U kunt dit al in actie zien in sommige toepassingen (KeePass is een voorbeeld) waarmee u het wachtwoordveld selectief kunt maskeren / ontmaskeren. In die toepassingen is het wachtwoordbevestigingsveld alleen ingeschakeld als het wachtwoord is gemaskeerd.
Het doel van het wachtwoordbevestigingsvenster is als een gezondheidscontrole voor de gebruiker. Het is niet te vertrouwen dat gebruikers hun wachtwoord 100% van de tijd foutloos invoeren, en veel minder als ze het wachtwoord niet visueel kunnen verifiëren voordat het wordt verzonden. Het is echter zeer onwaarschijnlijk dat een gebruiker zijn wachtwoord twee keer achter elkaar op dezelfde manier "vetvingert". Hierdoor kan een gebruiker er relatief zeker van zijn dat hij het wachtwoord instelt op wat hij denkt te zijn, zonder de veiligheid in gevaar te brengen door het op het scherm weer te geven.
Natuurlijk moet worden begrepen dat dit het geval is. alleen nodig in de registratiefase. Dit komt omdat je tijdens de installatie maar één kans hebt om je wachtwoord in te stellen voordat je eraan vastzit. Bij het inloggen krijg je meerdere pogingen. Een eenmalige fout bij het inloggen is veel minder duur dan het zou zijn (zonder het bevestigingsveld) bij het registreren.