居振梁[暴龙]

居振梁[暴龙]的博客

他的个人主页  他的博客

一定需要这种“悲观策略”的“密码确认”机制吗

居振梁[暴龙]  2009年09月28日 星期一 13:09 | 2141次浏览 | 13条评论

我们在注册一个网站或者在其他桌面应用、终端程序里注册一个帐号的时候,总是要输入两次密码,这里我们只讨论网站注册这个环境,因为其他情况如在自己电脑上新建一个Unix帐号改密码要找回来很麻烦,不是谁都知道怎么做的。

更深入的讨论在这里:http://groups.google.com/group/pongba/browse_thread/thread/741238ee46eda138

输入两次密码,现在没人不知道是“为了防止用户在不知道的情况下输错了”,从而多了一个改正的机会。但是这个策略一定有必要吗?观点如下:
1.我就从来都是一次输入正确的,相信大部分常用网络的人也是;
2.即是输入错了,现在的“找回密码”功能也是很完善和普及的,操作也不麻烦(我是说现在注册一下都要邮件认证,找回密码再来一次修改密码的确认邮件也未尝不可);
3.实际上,不常用网络的人比常用网络的人要多得多,而且那些人输错的可能性也很大,但是不得不考虑另外一个问题:为什么我们要注册帐号呢?因为我们需要那个网站提供的资源,但是我们并不想长期待在那里,或者大部分时候只是潜水,这时候注册显得很没必要,但有些管理员偏要注册才能看!以上可能性并不少见,于是乎,在此网站注册本身就可能让用户感觉不爽,很多人干脆就随便搞个密码,然后很快忘掉,而网络常客(可能还会有意识无意识的)去构思一个密码,以使其方便下次再有可能需要,当然这样构思的密码也不容易忘记,除非时间长了”构思算法“有所改变。

很明显,我不认为”确认密码“这个”悲观式策略"一定必要,甚至有点多余,麻烦了一大批人。
何不干脆就乐观点,假设大家都不会输错,(那万一输错了,可以参考上面2),这也不是很麻烦,况且忘记密码的也同样大有人在。当然仅就注册一次要确认也并不是什么特别大的负担,但问题就出在(参考上面的3)。

接下来是我认为“不确认密码”的补偿策略:
1.我猜,不考虑这是一个惯例,而仅就客观上说,连续输入两次可能本身也有点暗示作用,告诉用户注意不要输错,那我们可以以醒目的文字提醒用户“本网站注册密码不需要确认”;
2.考虑到用户习惯,“确认密码”框仍然还在,但是可以留空,并且同样一醒目的文字提醒用户“你真的不确认密码”;
3.这个有一定的安全隐患,就是在激活邮件里以明文形式提醒用户你的输入的密码是这个,可能并非你自己所想,然后给个改密码的链接。

评论

我的评论:

发表评论

请 登录 后发表评论。还没有在Zeuux哲思注册吗?现在 注册 !
杨其斌

回复 杨其斌  2009年10月13日 星期二 21:11

事前保证正确,总好过事后弥补,这是第一点
这个世界上总是粗心的人比较多,比如说我,这是第二点。
实上,人类就是会不断地犯错,因此有个double check的机制是很好的,double check无法百分之百地发现所有的错误,但却能发现百分之九十九的错误,我们的身边有大量的这样的例子存在,比如说我们的编译环境。

1条回复

  • 居振梁[暴龙]

    回复 居振梁[暴龙]  2009年10月13日 星期二 21:54

    比较有说服力的回复,谢谢。
    好在此帖发过两个星期的今天,我在重新整理这个问题。明天会再贴出来。

    0条回复

電波系山寨文化科学家

回复 電波系山寨文化科学家  2009年09月29日 星期二 17:17

嘴上无毛,办事不牢.

0条回复

张宇杰

回复 张宇杰  2009年09月28日 星期一 18:37

我属于经常输错那一群。

0条回复

曾睿

回复 曾睿  2009年09月28日 星期一 17:10

这个,是需要的。。

因为相对于确认一次密码来说,找回密码更麻烦。

0条回复

刘磊(V.L.)

回复 刘磊(V.L.)  2009年09月28日 星期一 13:21

只要“有人”,就有存在的必要呀。

7条回复

      • 刘磊(V.L.)

        回复 刘磊(V.L.)  2009年09月30日 星期三 08:27

        1.我是同意曾睿的看法,密码找回更复杂。
        2.如果你始终自信自己的指法没有问题就去试试上网本的键盘,很容易按错键。
        3.所有这里面都充斥着“我认为”太以自身为标准了,你就没想过老年人、小孩也上网吗?他们的指法并不熟练。
        4.网站的目标用户针对大众不是单个个体,所以符合大众的各个层次就是正确的。呵呵

        2条回复

          • 居振梁[暴龙]

            回复 居振梁[暴龙]  2009年09月30日 星期三 09:15

            “密码确认”能保证他们“不会忘记密码”吗?注册就输错和注册以后忘记密码,这不是同一个问题吗?况且很多情况的注册本身就很没必要,那些网站大多是想提高注册数。

            且文章第一句我就说了,想Unix用户密码这类找回很麻烦的事不是本文讨论的范围,这就是说如果找回真是“复杂”的,我也同意“确认”。

            这篇文章是我写的,我当然是给我的观点了,我的观点“我认为”又怎么了呢
            我是在提出观点,不是在论述

            1条回复

              • 刘磊(V.L.)

                回复 刘磊(V.L.)  2009年09月30日 星期三 09:18

                网站找回密码也很复杂。如果想要用户数,在数据库里面导数据就形了。呵呵。

                既然是观点,就有对错之分,这里就不就不下评语了

                0条回复

  • 居振梁[暴龙]

    回复 居振梁[暴龙]  2009年09月28日 星期一 14:01

    但是即使不确认,也不影响那些人啊?
    “忘记密码”的人也大有人在,现在这类找回密码的手段也早已普及了,
    为什么要因为个别人而让大家也一起麻烦?

    2条回复

暂时没有评论

Zeuux © 2024

京ICP备05028076号