网站首页 > 文章精选 正文
如果登陆时输错了用户名(通常是邮箱)或者密码,大部分系统会弹出这么一句话:Invalid Username or Password(无效的用户名或密码)。系统不会告诉你究竟是哪一个输错了,因为他们是特意被设计成这样的,就像下面这些例子:
这样做的原因,是出于安全性,如果有人恶意尝试破解,试错时具体告诉他们密码错了就意味着邮箱是对的 (账户存在),无形中为他们排除了一个选项。
遗憾的是,这种设计显然低估了人们的智商。
99.9% 的网站只允许一个邮箱注册一个账号,所以如果你真的想知道某个账户存不存在,只要试着用相同的邮箱再注册一遍就可以了,如果注册失败了,就说明用户名是对的。
也就是说,“无效的用户名或密码”这句话的设计根本达不到预想的安全防御目的。这样的设计不仅没有安全价值,更重要的是,它把普通用户登陆时的用户体验搞得很糟糕。
用户登陆输错用户名或密码导致系统报错,这时系统如果不回给用户一个准确的反馈信息,既不告诉你是用户名出错,还是密码出错,对用户来说完全无益于改正输入错误,是一个非常糟糕的体验。
“无效的用户名或密码”这个设计,不能说是安全性和用户体验之间的一种权衡,因为它本身不存在安全性的优点。
真正在安全性和用户体验之间做出的权衡设计应该是这样的:你可以保留登陆系统里的“无效的用户名或密码”这种防试错方式,但是当用户尝试用邮箱注册时,系统应该往邮箱里发送一封可以直接完成剩余注册过程的邮件,这样除了真正拥有该邮箱的用户,其他人都无法知道这个邮箱是否注册过账户。
如今为了登陆安全,越来越多的网站开始使用其他设计方法:比如使用动态条形码技术的双重验证;与LastPass或者1Password等第三方密码管理软件的结合;与 iPhone 手机Touch ID的指纹识别技术结合;甚至是直接舍弃密码的无密码登陆系统等。
但现在太多的网站还保留着“无效的用户名或密码”这种蹩脚的设计。
这其实是一个非常小的细节,但背后的设计逻辑是很有问题的。这反映出网站系统的设计就应该是要多方位配合的,像这种预防试错的登陆系统,如果没有注册系统的配合就是形同虚设,白白拉低用户体验而已。
前twilio的 API 工程师KEVIN BURKE在一篇文章里提出了这个问题,我认为还是很有启发的,欢迎感兴趣的同学发邮件和我讨论:suxiaoqiang#36kr.com。
[本文参考以下来源:kev.inburke.com]
猜你喜欢
- 2024-11-28 C++基础之命名空间和引用的使用方法
- 2024-11-28 Kubernetes笔记(四):详解Namespace与资源限制
- 2024-11-28 「零基础学Python」Python中变量的定义与使用
- 2024-11-28 零基础教学,用python爬虫框架“Scrapy”来解锁一个小成就
- 2024-11-28 RocketMQ源码分析之NameServer启动流程(一)
- 2024-11-28 Docker学习11 容器原理 Network Namespace每天几分钟进步一点点
- 2024-11-28 12.11图:蔡徐坤、杨超越、刘惜君、INTO1、时代少年团、NAME
- 2024-11-28 阅读代码深入原理22——RocketMQ之NameServer
- 2024-11-28 k8s命名空间Namespace介绍使用,以及用kubens插件管理namespace
- 2024-11-28 云计算核心技术Docker教程:解决Windows下docker端口映射问题
你 发表评论:
欢迎- 12-04关于身份证号编码规则,遇到一个奇怪的人:
- 12-04Excel如何验证身份证号码是否正确?
- 12-04网络平台常用的三种身份证验证方式
- 12-04我用 Python 算出了同事的身份证号码!| 原力计划
- 12-04关于身份证(>15位数字的计算方法)
- 12-04在wps表格中用公式校验身份证号
- 12-04Excel中身份证号录入正确性校验公式
- 12-04Ps 2021在M1 mac上导出PN 格式发生未知错误的解决方法
- 最近发表
- 标签列表
-
- react官网 (408)
- esd文件 (378)
- 更新目录 (379)
- 数据抓取 (373)
- pip换源 (412)
- display:none (369)
- img文件怎么打开 (475)
- a标签怎么去掉下划线 (376)
- git拉取代码 (435)
- 图片代码 (411)
- user-select (415)
- 访问github (415)
- 服务主机本地系统cpu占用高 (401)
- e.target (437)
- pycharm主题 (395)
- 火狐浏览器插件 (408)
- file.exists (413)
- js文件 (425)
- ip更换 (389)
- mssql和mysql区别 (366)
- 755权限 (389)
- requesttimeout (384)
- mysql默认密码 (398)
- pcm文件 (387)
- ipython和python区别 (387)
- 最新留言
-
本文暂时没有评论,来添加一个吧(●'◡'●)