簡化密碼設計的三個小秘籍

 　　用戶體驗，細節為王，今天推薦一篇看似簡單卻道理十足的文章，值得大家一起閱讀並且深思，我們是否在一些地方因為慣性思維錯過了提升產品體驗的點 >>>

　　感謝Ping++的@俞越 同學傾情相助，提供了譯文的初版，雖然還是要逐句理解進行錯譯修正和校對，和以前相比，也大大縮短了翻譯的時間。

　　譯者微信公眾號“開卷有譯”，歡迎關注唷。

　　摘要：

　　創建密碼的體驗總是不盡人意，設計師則可以通過如下三種方式來改進：事先告知密碼要求、允許顯示密碼，顯示密碼強度。

　　對大多數人而言，設置密碼的體驗已經20多年幾乎沒有任何變化了。這簡直太不可思議了，你可以想想近年來科技發展是多麼的迅速。想象一下1995年的手機，它的重量、天線、小小黑黑的顯示屏;再想象一下現在的智能手機，配備了大大的觸摸屏幕、高清相機、大容量的雲儲存，這是多麼不同的體驗。但是，當提到現在創建密碼的體驗，還是像1995年一樣復雜。(當然在這個停滯的用戶驗證領域，還是有那麼幾個突破者，例如密碼管理工具，用戶可以通過它來隨機生成一串字符用以加密和管理各種密碼，當然還有用生物識別技術的 Touch ID。)

　　我們肯定都體驗過以下三種令人沮喪的情景。而通過預見挫折並時刻用我們的設計語言來重塑，我們就能避免這些沮喪的體驗。

　　顯示密碼要求

　　設想你在一個購物網站上挑選好鞋子准備付款，完成你的初次購買體驗時，你被要求必須創建一個密碼。一個生硬的顯示著“創建密碼”的白色矩形框就展現在你面前。

　　你像以往一樣開始設置密碼，輸入hectorthecat然後繼續，結果跳出一句錯誤提示：“密碼必須包含一個大寫字母”;於是你改成Hectorthecat，錯誤提示又說“密碼必須包含一個數字”;Hectorthecat1——“密碼必須包含一個特殊字符”;Hectorthecat1%!——“不能包含空格或者%，< >”;Hectorthecat123!!!——“密碼不能包含升序或降序的連續字母或數字”(譯者注：耐心棒棒哒…)

　　於是你放棄，關掉網頁，到別處購買。

　　當一個系統在被使用前沒有顯示出要求時，用戶就像玩一場規則被隱藏的游戲，既不好玩也不公平。

　　解決方案：

　　顯示密碼創建要求，確保用戶在選中密碼輸入框時都能夠看見。如果你能成功減少技術限制，你只需要顯示更少的文字，更少的規則，對用戶來說也會創建的更快。

　　僅僅有密碼創建要求的鏈接是不夠的(絕大多數人不會注意到也不會點擊展開)。密碼創建要求應該在用戶創建時保持時刻可見。(你考慮要把密碼要求放到輸入框裡?千萬不要這麼做。)

　　在這些例子裡，密碼要求是默認可見的。設計師會根據不同的網頁采用不同的設計，但是每一個例子都能成功的在用戶輸入前傳達約束條件。

　　這些密碼要求在用戶激活密碼輸入框時顯示：Firefox.com (top left), PayPal.com, Alibaba.com。

　　顯示明文密碼

　　在復雜的密碼創建要求下，用戶的密碼必然也是很負責的，用戶需要添加些字符、符號直到它有效。在這個時候，密碼看起來並不是用戶想象中的密碼，而更像一串為了適應這個系統而生成的隨機符號。更糟糕的是，這串符號對用戶是隱藏的，因為絕大多數密碼是*遮蓋住的。如果想記住它，人們必須用短期記憶來承載這些信息，創建的同時增加了認知負擔。

　　遮蓋輸入字符的另一個缺點是使用戶無法感知打字錯誤。這點在用戶用移動設備或者平板電腦創建密碼時尤為重要。不出所料，研究也顯示用戶當在小型設備上打字時會比在電腦上打字犯更多的錯誤。

　　解決方案：

　　允許用戶輸入時顯示密碼。顯示密碼能協助記憶，並讓用戶檢查。在電腦上，可以默認隱藏密碼，在旁邊緊挨一個勾選框，寫上“顯示密碼”。在移動設備或者平板電腦上，默認顯示密碼，並允許讓用戶用“隱藏顯示”來切換。對於移動設備，因為用戶可以輕易地用自己的身體來遮擋屏幕，我們對於隱私的處理也可以更寬容些。還有，用戶也比較少在手機上創建與安全服務相關的賬號。

　　這些例子裡，允許用戶顯示密碼：Lan.com, Yahoo.com

　　顯示密碼強度表

　　強迫用戶提供符合詳細組合要求的密碼就像是讓他們去跳過馬戲團的障礙圈一樣。用戶順從了這個規則僅僅是因為網站強迫他們這樣做了，但是他們往往卻提供了一些容易被猜到的詞作為密碼。當用戶創建安全密碼僅僅是為了通過注冊流程時，密碼要求顯然就不是創建出安全密碼的必要條件。

　　解決方案：

　　通過顯示安全程度，激勵用戶創建更好的密碼

　　由Egelman et al. 在2013年的一項研究顯示，密碼強度表能激勵用戶創建強度更好的密碼。將密碼強度以視覺方式呈現出來，讓用戶看到還有提升的空間，這足以改變用戶創建密碼的動力。這樣做的好處是能得到一個更安全的密碼，而不是僅僅讓用戶越過設置密碼這個障礙。一個小小的動機上的轉變對安全性的提高帶來很大的影響。(另外，達成綠色的密碼強度條，給這個無聊的任務增加了一些些趣味性，這也是游戲化設計的一個優秀案例。)一般來說，讓用戶看到獲益是勸服用戶使用產品或服務的一個有效方式，在網頁中強烈推薦。

　　密碼強度表鼓勵用戶去創建更安全的密碼：Lan.com (top), Booking.com (bottom).

　　需要注意的是達成條件的進度指示與密碼強度表並不完全一樣。Apple.com 和 healthcare.gov 顯示你已經符合多少條件，還剩下多少沒有符合。一個輕微的變化就能夠讓用戶在輸入時更為主動。

　　這些密碼要求顯示用戶是否滿足所有標准：AppleID.Apple.com, Healthcare.gov.

　　總結

　　如上推薦的三種讓創建密碼更容易的方法，都是在用戶體驗和界面層面，都不需要過多的技術支持就可以實現。另外我強烈建議企業內的可用性擁趸者去簡化密碼創建要求。可用性專家通常在提出這些安全相關的需求時就受到非常嚴格的限制。大家似乎都公認沒有什麼能做的，但實際上並非如此。(其實安全性和可用性的矛盾已經由來已久。)

　　對IT和安全團隊來說，根據研究，符合標准規范的復雜密碼反而更容易受到攻擊。舉例來說，一項卡耐基梅隆大學的研究表明，“特定的密碼組合(長密碼)比傳統的復雜規則強度更為安全”，同時需要重申的是那些創建復雜密碼的用戶，經常把密碼儲存在一些不安全的地方(寫在便簽上、放在抽屜裡、壓在鍵盤下，或是儲存在電腦的某個文件裡)，這樣反而更容易洩露出去。

　　對產品及銷售團隊來說，他們再清楚不過的是，用戶很容易就被登錄牆和復雜密碼要求擋在系統之外，導致轉化率低下。如果吸引新用戶是個重要指標的話，注冊的流程越簡單越好。

　　通過在技術層面簡化密碼要求，業務層面增強用戶體驗，你一定能讓你的用戶更快更簡單地創建出既安全又符合要求的密碼。