Xpoint
   [напомнить пароль]

Между прочим, авторизация - это тоже юзабилити:)

Метки: [без меток]
2002-06-12 02:18:55 [обр] Давид Мзареулян(1/1003)[досье]

Между прочим, авторизация - это тоже юзабилити:) И она тоже может быть сделана юзабельно и неюзабельно...

Как сейчас (обычно) происходит регистрация на сайтах? Юзер придумывает себе логин и пароль, после чего сайт запоминает их, выставляет юзеру кукиш, и в следующий раз "узнаёт" его - т.е. юзеру не нужно каждый раз вводить логин/пароль. Если кукиш слетел, а пароль забылся, то юзер всегда может нажать на кнопку-напоминалку, и к нему придёт письмо с его логином/паролем.

Что в этом механизме коряво? Во-первых, то, что юзер, вообще-то, совершенно не обязан помнить пароль. Зачем? Его и так автоматически "узнаёт" сайт, да к тому же есть кнопка-напоминалка. Логически рассуждая, получается, что юзер вообще может не_знать пароля - ему он ни к чему! Пароль (да и логин) - это дело личных отношений браузера и сайта. От юзера требуется только наличие е-мэйла, чтобы в случае чего можно было возобносить авторизацию. Собственно, юзеру и логин-то ни к чему, если только он не участвует в наполнении сайта контентом (да и в этом случае можно обойтись без). Если он - именно пользователь (напр., покупатель в интернет-магазине, или пользователь веб-почты), то логин и пароль для него - два равнозначно бессмысленных слова. Реальная авторизация и идентификация всё равно происходит по адресу е-мэйл.

Так, может, пора назвать кошку кошкой? При регистрации можно спрашивать только e-mail - он же будет "логином", ключем идентификации пользователя. Пароль не сообщать (явно) вовсе - но хранить его в кукише. Если кукиш слетел - то по запросу юзера ("мой адрес vasya@poupkin.ru , я хочу авторизоваться") присылать ему письмо с "одноразовой" ссылкой, по переходу на которую кукиш (и авторизация с ним) будет восстановлен. И всё. Юзеру НЕ НАДО запоминать ни логин, ни пароль, ему не надо забивать голову не нужной ЕМУ информацией. Как по-вашему, это юзабельно?:)

спустя 5 часов [обр] Привидение+(2/795)[досье]
Юзабилити начинается там, где кончается технология.
В предложенном варианте слишком много достаточно редких, но тем не менее, узких мест.
Юзер не обязан иметь ни емейл, ни куки. И за одним компьютером может работать больше одного человека. Как ты представляешь себе эту схему в интернет-кафе?
Наворачивать условия - кликните здесь, если вы со своего компа, или здесь - если с чужого?
А если у меня честный корпоративный мейл без веб-интерфеса, а я в гостях?
спустя 14 часов [обр] ё(3/1328)[досье]
Давид Мзареулян: то есть, вы предлагаете что-то типа паспорта (который от мелкософта). Это плохо, как любой паспорт. На одном сайте я vasyapoupkin.ru, на другом suprerxaker, на третьем еще кто-нибудь. Т.е. вместо логинов-паролей я должен запоминать емайлы или принципиально отказываться от анонимности и везде ходить под самим собой, что, конечно, очень красиво, но не всегда удобно...
спустя 13 часов [обр] Дмитрий Юров(1/411)[досье]

Romik Chef: «Юзер не обязан иметь емейл,...»
Гоша: «Т.е. вместо логинов-паролей я должен запоминать емайлы...»

Вообще говоря, я с этим не согласен (а второе вообще вызывает недоумение).

Использование e-mail'а в качестве логина повсеместно применяемая практика. Это удобно и для пользователя и для разработчика. Во-первых, своё мыло (даже анонимное, Гоша) забыть гораздо сложнее, чем наспех придуманное имя пользователя (логин), особенно, если часть из опробованных логинов оказались занятыми. Эта схема абсолютно не зависит ни от места выхода в интернет, ни от настроек безопасности браузера.

В случаях с „честными“ корпоративными мейлами — нужно быть либо беспечным, либо чайником, чтобы везде указывать свой настойщий адрес. Но и в случае с инет-кафе — большинство подобных заведений имеют установленные на своей машине почтовые браузеры, раз уж веб-интерфейс вам не доступен.

Честно говоря, прочитав топик, я ожидал увидеть совсем другую тему. Я думал, господам будет интересно обсудить аспекты использования веб-форм и многостраничных „анкет“ при регистрации пользователя.

спустя 1 час 15 минут [обр] LookeR(13/1069)[досье]
Скажите мне для чего вообще нужна регистрация на конкретном сайте?
Тогда можно будет что-то обсуждать...
спустя 8 минут [обр] Дионис Сантин aka Человек с Ломом(0/406)[досье]

LookeR:
совершенно согласен...

регистрация нужна только в очень ограниченном количестве случаев...

распространенных два:

  1. магазины
  2. форумы

в первом случае идентификотором вообще может служить все что угодно вплоть до номера карты. НО: хранение пароля или какого-нибудь идентификатора того, что пользователь авторизован в cookies ОЧЕНЬ небезопасно. Это нам совершенно недавно доказал Дмитрий Попов.

во втором случае, мне лично, например, было бы очень неудобно называть Давида Мзареуляна как-нибудь типа "Многоуважаемый david@hiero.ru!"

спустя 17 минут [обр] VIG(5/839)[досье]

А вот я, например, куки вырубаю напрочь - разрешаю только сессионные.Вообще считаю это "изобретение" принципиально вредным явлением. Считаю недопустимым, если кто угодно с улицы может записать хоть байт постоянной информации.

В общем, на моем компе может быть записано только:

  1. По моему явному одноразовому разрешению;
  2. Теми, про кого мной явно указано, что доверяю (например, инсталлировал);
  3. В специально отведенные временные рабочие области с ограниченными правами и последующим уничтожением по завершении процесса.

Ну, или если кто через какую дыру залезет :-(


Уж на что схема логин-пароль слаба с точки зрения безопасности — так схема емейл-пароль на три порядка слабее. А уж без пароля ... возможные способы злонамеренного использования каждый может легко наизобретать самостоятельно ...


Аутентификация - очень серьезное дело, даже на вполне безобидных и никого не волнующих сайтах. Простая возможность сказать, что логин ХХХ1 с сайта 1 — это то же физическое_лицо, что и логин YYY2 с сайта 2, дорогого стоит и вполне выливается в много-много-миллиардный бизнес.

Вот почему, например, MS так яростно проталкивает идею паспорта, тоже маскируя ее под "юзабилити". И хотя я сторонник софта MS (терпеть не могу всякие опен-сорсы), в этом вопросе - радикально против.

спустя 25 минут [обр] Дмитрий Юров(1/411)[досье]

> Дионис Сантин (Aesop):
> Скажите мне для чего вообще нужна регистрация на конкретном сайте?

Для однозначного определения одного пользователя.

VIG:
Честно говоря, не вижу четкой связи между логинами и куками. При чем тут куки?

спустя 8 минут [обр] VIG(5/839)[досье]

Dmitriy W. Yurov:

См. постинг автора о предлагаемом механизме повышения "юзабилити", последний абзац.

спустя 12 минут [обр] LookeR(13/1069)[досье]

Dmitriy W. Yurov:
Определения и только?
Тогда, ИМХО, регистрация пользователю совсем не нужна... из соображений "личного характера".
И наоборот, нужна на столько серьезная, чтоб никто не мог посягнуть на информацию "личного характера".

Если сервис не нужен, то и пароль никто запоминать не будет.
Если нужен и важен, то и пароль запомнят и восстановят если надо будет.

E-mail - не пароль и не логин, т.к. известен большому числу людей.
E-mail, который никому не известен - тот же логин (набор символов).
Логин без пароля - абсурд.
Ссылка-авторизатор дубовыми пользователями будет запоминаться в Фавориты, далее скрипты, вирусы и т.п.

Автоматизация и упрощение процессов доступа к сервисам - опасная игра.
Хуже, когда не знаешь, как отлогиниться от сервиса...например, X-point.

спустя 3 минуты [обр] Давид Мзареулян(1/1003)[досье]
Господа, ваши взгляды на проблему кук и MS-паспортов весьма интересны, однако не имеют отношения к теме. Реальность такова, что на 90% community-сайтов для получения полной их функциональности от вас потребуют придумать логин (причём использовать ваш "стандартный" логин не удастся, потому что он наверняка давно занят) и пароль, который вы тут же забудете. Или - ещё хуже - пришлют по почте сгенерённый пароль типа LKHJ2G5K3G435, запоминать который не один нормальный человек не будет. Вторая часть реальности состоит в том, что после первой авторизаци вы можете смело забыть и логин и пароль, потому что куки по умолчанию у вас включены. И третья часть реальности - даже если кука отвалится, пароль всегда можно получить по почте. Понимаете, о чём я? В этой схеме само существование логина-пароля для юзера логически не обусловленно.
спустя 4 минуты [обр] Давид Мзареулян(1/1003)[досье]
И ещё - я нигде не сказал, что эта схема применима везде. Ни в коем случае.
спустя 6 минут [обр] Дмитрий Юров(1/411)[досье]

LookeR: если пользователю ничего не нужно на сайте, то и регистрация ему не нужна. О чем речь вообще?

Давид Мзареулян: ориентирование на сессионные куки вполне достаточно. Надеятся на постоянные куки в задаче с хранением важной информации такой, как пароль — безрассудно.

Ну и где тут юзабилити?

спустя 14 минут [обр] Давид Мзареулян(1/1003)[досье]

Dmitriy W. Yurov: В незабивании головы пользователя всякой ерундой и в экономии его внимания и кликов мыши.

Впрочем, ладно. Видимо, я не смог внятно сформулировать тему... пусть ещё полежит в подсознании, дозреет. Спасибо всем, тем не менее!

спустя 3 часа 13 минут [обр] Андрей Новиков(8/1242)[досье]
VIG: а какже Xpoint'овые куки?
спустя 1 час 24 минуты [обр] VIG(5/839)[досье]

Андрей Новиков: а они там разве есть? :-)) Никогда не задумывался ...

У меня разрешены только сессионные куки. А окошко "Избранное" XPointa висит себе постоянно среди пары-тройки десятков других, так что никаких проблем. Компутеры тоже включены 24х7, и на службе, и дома ... если только раз в месяц-другой перезагружаюсь, вхожу по новой - и все.

спустя 1 час [обр] Иван Михалычев[досье]

> Пароль (да и логин) - это дело личных отношений браузера и сайта.
Если считать, что сервис сайта должен быть доступен пользователю, где бы тот ни находился (за домашним компом, за ноутбуком, на работе, в кафе), то это логически неверно. Пароль и логин это дело личных отношений пользователя и сайта. И поскольку у одного броузера может быть несколько пользователей или у одного пользователя - несколько броузеров то ... :о)

Можно еще вспомнить о пользователях на диал-апе, для которых нажатие напоминалки с последующим залезанием в почту, ожиданием сообщения с паролем и переход по ссылке могут оказаться роскошью.

С другой стороны, а не изобретен ли уже велосипед? Для ленивых юзеров существует автозаполнение в броузере, кроме того, на многих сервисах рядом с полями для пароля есть тычки "Запомнить пароль", которые, если не ошибаюсь, делают именно то, о чем говорил Давид.
На мой взгляд - это и есть самое юзабельное решение, пользователь сам решит - нужно ему запоминать пароль или безопасность дороже.... надо только предупредить его не забыть..

спустя 3 часа 37 минут [обр] Yuri Pavlov(2/13)[досье]
А, все-таки, интересно, много ли людей попадаются на удочку login: e-mail; password:xxxx,
где в качестве пароля вводят свой НАСТОЯЩИЙ пароль?
Сейчас в интернете много начинающих пользователей (ламерами их не назовешь - есть настоящие проффесионалы своего дела), и они так буквально и понимают, что надо ввести e-mail и свой пароль :)
спустя 11 часов [обр] Дмитрий Юров(1/411)[досье]
Yuri Pavlov: вы имеете в виду пароль от e-mail?
спустя 3 часа 10 минут [обр] Andy Beily(3/37)[досье]

Давид Мзареулян:
"Во-первых, то, что юзер, вообще-то, совершенно не обязан помнить пароль" - а так же и PIN CODE своей кредитной карточки. Зачем? Засунул в банкомат, и денежка посыпалась. Ведь это дело карточки и банкомата. А?

"Пароль (да и логин) - это дело личных отношений браузера и сайта". Ошибаетесь уважаемый! Сайт должен распознать кого - пользователя или броузер, компьютер, сетку и т.д.?

Кукки. Тема по моему - бита-перебита. Строить ауторизацию не кукках ИМХО, признак полного невнимания к удобству пользователя. Почему?

  1. Отсечение от ресурса пользователей за файерволом. Корпоративные сети.
  2. Безопасность. Что тоже является составной частью удобства для пользователя.
  3. Юридический аспект. В Европейском Содружестве уже законодательно запрещены "печеньки". И в ближайшее время очередь за штатами.
  4. Хотим мы того или нет, но WinXP с IE6 занимает всё большую долю рынка. А в нем, кукки по умолчанию, все запрешены. Много ли пользователей кто "полезет" в настройки? Не думаю.

И как уже сказали, велосипед - изобретен. Вернее собран в результате долгих изысканий, проб и ошибок:
-логин - email
-пароль - выбирает пользователь
-для забывчивых - автопересылка пароля
-для Очень забывчивых = форма запроса на email и пароль.

....Ох и не скоро ещё компьютеры начнут индифицировать нас по глазам, отпечаткам и т.д. (В массовом порядке, а не в качестве разработки.

спустя 10 минут [обр] Дмитрий Юров(1/411)[досье]

Andy Beily, вот как раз определение пользователя с точностью до его УНИКАЛЬНОГО компьютера и есть „отказ от анонимности“. Именно поэтому комбинация email/пароль является наиболее удобной и для пользователя (анонимно), и для разработсчика (отчасти уникально). В основной своей массе задач, разумеется. В сложных системах без логина (буквенного, а не email) не обойтись.

И, всё-таки, это скорее «Теория», а не «Юзабилити»...

спустя 12 минут [обр] Давид Мзареулян(1/1003)[досье]

Andy Beily:
Чушь. Почти по всем пунктам чушь. Вы опять пишете "как должно быть", забывая про то "как есть".

Но в принципе, тему можно убивать.

спустя 2 часа 25 минут [обр] Andy Beily(3/37)[досье]
Давид Мзареулян: И где же чушь?
спустя 28 минут [обр] Давид Мзареулян(1/1003)[досье]
Andy Beily:
  1. Пин-код вам не напомнит никто и никогда. Пароль любой уважающий себя сайт умеет напоминать.
  2. В современной традиции community-сайтов распознаётся браузер пользователя, осуществившего регистрацию. Будто бы вы этого не знаете.
  3. Про куки - чушь полная, поскольку, а) что бы вы сами не считали по этому поводу, авторизация на куках работает на абсолютном большинстве сайтов, б) куки ПОЛНОСТЬЮ никем не запрещены и в) в XP+IE6 куки по умолчанию включены (с некоторыми ограничениями, на нашу задачу не влияющими)
спустя 6 часов [обр] Andy Beily(3/37)[досье]

Давид Мзареулян:

  1. "Логически рассуждая, получается, что юзер вообще может не_знать пароля - ему он ни к чему!" - это сказал не я!
  2. А зачем? Что, в зависимости от броузера вашим клиентам вы предлагаете разный контент?

3.а. - работалА. А сейчас "...любой уважающий себя сайт..." - быстренько, быстренько избавляется от этой зависимости.
3.б. - просто лень искать ссылку на документы.
3.в. - ну, нет слов! ("...жаренно. Печено.")

спустя 1 день 13 часов [обр] Привидение+(2/795)[досье]
Давид Мзареулян:
Тему действительно можно закрывать.
Идея хорошая, только ограниченная. А в полном варианте она в точности соответствует текущему состоянию.
Кто мешает присылать кроме ссылки в письме еще и пароль? Никто.
кто мешает на фронтпейдже делать форму для имени-пароля? Никто.
Кто мешает ставить галку "Захожу с чужого" ака "не ставьтекуку"? Никто.
спустя 1 день [обр] Алексей Волков, он же «Росомаха из Флориды»(17/468)[досье]
М Кто-нибудь возьмётся резюмировать высказанное?
спустя 1 месяц 18 дней [обр] Sergei Erjemin (webdragon)(3/182)[досье]

Не поянтно почему такое пикитирование из-за кук. Собственно ведь никто не заставлеят их использовать. Их можно отключать. Да и вариант с логированием только по е-майлу вполне приемлем. И вообще без логирования (только через куки)...

Штука в том, что в действительности все зависит... На разных ресурсах (даже примерно одного характера) можно (и нужно) пименять разные способы логирования. И если разобраться способ авторизации зависит от ресурса. Универсального способа нет, иначе он уже был бы повсеместно внедрен.

  1. бесплатная почтам — ну тут логин совпадает с майлом (практически) так что логи-прароль вполне норамальный вариант и ничего лучше даже и не придумаешь
  1. Рассылки, подписки и пр... Тут повсеместно логирование по e-mail. Оно и ясно т.к. адрес является единицей доставки. А подписчик должен знать кого подписывает...
  1. В магазинах можно все куками обложить... не хочешь — зопиминай, что в прошлую сессию накидал себе в карзину и регистрируйся заново...
  1. В банкинге — ставь приложение, генери ключевую дискету, очно регистрируй договор и ключ...

и т.д.

спустя 1 месяц 3 дня [обр] Дмитрий Котеров(2/912)[досье]

Мне лично кажется, что обсуждаемый вопрос — это не совсем вопрос юзабилити. И вот почему: я думаю, о преимуществах юзабилити какого-либо явления обычно говорят тогда, когда это явление многократно повторяется одним и тем же пользователем. (Правда, про юзабилити одноразовых вещей тоже можно упомянуть, но это все-таки уже другой вопрос, он скорее предназначен для привлечения и удержания посетителей.) Давайте рассмотрим проблему с этой стороны.

Вот, например, та схема, которая применяется сейчас на xpoint. И та схема, которую предлагает Давид. Отличаются ли они чем-нибудь в плане удобства для конечного пользователя?.. По-моему, нет (например, мне приходится вводить свой пароль в среднем не чаще раза в год). Но тогда какая разница?..

Зато у схемы Давида есть большой минус — «минус интернет-кафе», можно его так назвать. Он практически неразрешимый, потому что в той или иной степени требует запоминание хоть какого-то пароля (например, пароля к своей же почте).

Powered by POEM™ Engine Copyright © 2002-2005