Как правильно создать логин: Мои логин и пароль — что это такое, как создать и где хранить?

Как придумать логин и пароль для Скайпа: советы и рекомендации

Одна из самых распространенных проблем, с которыми сталкиваются пользователи этого клиента, касается регистрации. Сложности начинаются с момента когда следует придумать логин: поскольку в сервисе зарегистрировано более 250 миллионов людей, с первого раза создать никнейм, который будет отличаться от всех существующих — довольно сложно. Пароль для Скайпа выбрать гораздо легче, но здесь не следует пренебрегать правилами безопасности, отдавая предпочтение слишком короткому или простому сочетанию символов.

Об этих двух параметрах мы и поговорим далее.

Как придумать пароль для Скайпа

Чем сложнее будет выбранный набор символов, тем труднее посторонним людям будет его запомнить или взломать при помощи специальных утилит.

Хороший пароль должен быть:

• без популярных слов и названий чего-либо;
• сочетающим буквы и цифры;
• длинной не менее 6-8 знаков;
• не содержащим личных сведений;
• не повторяющим имя домена.

Существует несколько способов для создания хорошей защиты аккаунта:

1. Генерирование сложного пароля для Скайпа, который невозможно запомнить.
2. Самостоятельно придумать комбинацию, которая будет тяжелой, но легко запоминающейся.

Для создания замысловатого и не запоминающегося кода следует воспользоваться любым из генераторов. Самыми популярными считаются сервисы KeyPass и Onlinepasswordgenerator. Они необходимы для создания сложных паролей и позволяют запоминать данные для авторизации в разных приложениях.

Если вы хотите самостоятельно создать пароль в Скайп, можете использовать ассоциации, рифмы и прочие, понятные только вам сочетания. Следует избегать имен детей, супругов, домашних животных, марки вашего авто и пр.

Как создать логин в Скайпе

Логин — это слово, использующееся для входа в собственную учетную запись, а также для того, чтобы другие пользователи смогли найти вас и добавить в список контактов. Помните, что данная информация не подлежит изменению, поэтому её следует выбирать обдуманно. Мы составили несколько советов, которые вам помогут создать логин в Скайпе:

1. Чтобы никнейм проще читался, некоторые буквы из него можно сделать заглавными.
2. При составлении логина используются исключительно латинские символы.
3. Уникальность — это обязательное условие. Программа автоматически проверит созданный логин и оповестит, есть ли такой у другого пользователя.
4. Обратите внимание, что никнейм — это не имя и фамилия. Эти сведения вносятся в отдельную графу русскими буквами.
5. Если вы хотите совместить несколько слов, их следует разделить точкой, знаком подчеркивания или дефисом.
6. Старайтесь подобрать такое слово, которое будет не только приятно звучать, но и легко писаться.

10 советов по улучшению страницы входа и процесса

4 минуты на прочтение

Скорее всего, вы будете использовать страницу входа и обрабатывать почти каждый день. От входа на свой компьютер до входа в свой любимый сайт в социальных сетях — они очень важны в современной жизни. Однако, несмотря на то, что они настолько распространены, меня продолжает удивлять, что существует так много плохо спроектированных процессов входа в систему и страниц входа в систему. Убедитесь, что ваша страница входа не создает ненужных препятствий для ваших пользователей, следуя этим 10 основным советам по созданию лучшей страницы входа и процесса.

1. Дайте понять, куда входить

Когда пользователи заходят на веб-сайт или в приложение и уже имеют учетную запись, сразу должно быть понятно, куда они идут для входа в систему. Вместо того, чтобы предоставлять ссылку «Войти» или «Войти» (термин «Войти», вероятно, более распространен, чем «Вход», но пользователи обычно понимают и то, и другое), лучше показать поля ввода, чтобы пользователи могли входить напрямую со страницы.

Если для использования веб-сайта необходимо войти в систему, то это должно быть центральным элементом страницы.Не заставляйте пользователей охотиться за входом в систему, как Evernote, на своей домашней странице.

2. Различить вход в систему от регистрации

На все большем количестве веб-сайтов поля ввода для входа в систему (адрес электронной почты и пароль) очень похожи, если не совсем идентичны полям ввода регистрации (адрес электронной почты и пароль). Поэтому важно четко различать их и свести к минимуму вероятность того, что пользователи случайно попытаются войти в систему через регистрационную форму.Один из способов сделать это — заставить пользователей вводить свой пароль дважды при регистрации (это всегда хорошая идея, поскольку пароли маскируются при входе) или отображать только одну форму за раз. Конечно, не делайте того, что делает AxShare, показывая их рядом. Много раз я случайно пытался войти на сайт через регистрационную форму.

3. Разрешить пользователям входить в систему с внешней учетной записью (например, Facebook)

Зачем заставлять пользователей запоминать еще один набор данных для входа, если теперь им легко разрешить вход через внешнюю учетную запись, такую ​​как учетная запись Facebook, Google или LinkedIn? Конечно, не всем это понравится, но это отличный способ позволить пользователям легко входить на ваш веб-сайт или в приложение с учетной записью, которую они используют изо дня в день.

4. Используйте адрес электронной почты, а не имя пользователя

Это конкретное мое разочарование по поводу удобства использования — а именно веб-сайты, предлагающие пользователям входить в систему под именем пользователя, а не с адресом электронной почты. У меня два основных адреса электронной почты (мой личный и рабочий), но много, много разных имен пользователей для разных веб-сайтов. Поскольку имена пользователей должны быть уникальными, неизменно выбирается предпочтительное имя пользователя, поэтому пользователи в конечном итоге регистрируются с новым именем, которое они никогда не запомнят.Если ваш сайт или приложение использует имена пользователей, например Twitter, по крайней мере, позвольте пользователям входить в систему с их адресом электронной почты.

5. Разрешить пользователям видеть свой пароль (если они хотят)

Распространенная проблема, когда пользователи пытаются войти в систему, — это неправильный ввод пароля. Это очень просто сделать, поскольку поле пароля, конечно, замаскировано. Полезная функция состоит в том, чтобы позволить пользователям видеть пароль, который они ввели (если они хотят), установив флажок показывать пароль.Разумеется, этот флажок по умолчанию должен быть снят (т.е.пароль по умолчанию всегда замаскирован). Это особенно полезно для мобильных страниц входа в систему, так как на неудобной мобильной клавиатуре слишком легко получить неправильную клавишу.

6. Сообщите пользователям, установлен ли Caps Lock на

Еще один простой способ помочь пользователям правильно ввести пароль — предупредить их, если их кнопка Caps Lock включена.

7.Упростите, если пользователи забудут свой пароль

Так же, как каждый иногда забывает имена людей, их кошелек или годовщину (я бы рекомендовал вам избегать этого!), Пользователи забудут свой пароль. Позвольте мне повторить это для любых аналитиков безопасности. ЛЮДИ ЗАБЫВАЮТ СВОЙ ПАРОЛЬ.

Поэтому очень важно, чтобы, если пользователи действительно забыли свой пароль (а они забудут), это хорошо обработано процессом входа в систему. Для начала всегда имейте четкую ссылку «Забыли пароль?» Для пользователей.Если вы хотите, чтобы страница входа была как можно более чистой, возможно, вы могли бы показывать эту ссылку только при неправильном вводе пароля или в фокусе поля пароля, но в идеале она всегда должна быть там. Не заставляйте пользователей повторно вводить свой адрес электронной почты на странице с забытым паролем, и что бы вы ни делали, не отправляйте пароль по электронной почте (это понятно) или временный пароль по электронной почте. Лучше всего отправить ссылку для сброса пароля на зарегистрированный адрес электронной почты. Кроме того, убедитесь, что электронное письмо для сброса пароля отправляется как можно быстрее — нет ничего хуже, чем ждать целую вечность, чтобы войти в систему, потому что письмо с забытым паролем приходит целую вечность …

Если безопасность особенно важна, вместо того, чтобы заставлять пользователей звонить в службу поддержки для сброса пароля (в этом особенно виноваты сайты B2B), возможно, попросите несколько вопросов безопасности, которые можно использовать перед сбросом пароля.Просто будьте разумны с вопросами безопасности, которые вы задаете. Например, информация о первом человеке, которого вы поцеловали (верьте или нет, я видел), вероятно, не самая легкая информация для запоминания для большинства людей!

8. Предупредите пользователей перед блокировкой их учетной записи

Для предотвращения атак методом грубой силы учетные записи пользователей часто временно блокируются после ряда неудачных попыток входа в систему. Это, конечно, необходимая мера безопасности, но обязательно предупредите пользователей, прежде чем их учетная запись будет заблокирована.Например, если он будет заблокирован на 10 минут после 5 неудачных попыток входа в систему, предупредите пользователя после третьей попытки, что его учетная запись будет заблокирована на 10 минут после еще 2 неудачных попыток входа в систему.

9. Держать пользователей в системе

Прошли те времена, когда доступ в Интернет с общедоступного компьютера (вспомните те бурные дни в Интернет-кафе!), Так что вместо того, чтобы иметь опцию «Держать меня в системе», лучше просто автоматически держать пользователей в системе на веб-сайте или в приложении в течение некоторого времени. установить период (если, конечно, безопасность не является реальной проблемой, такой как банковские приложения и веб-сайты).Конечно, иногда компьютер используется совместно (например, семейный ноутбук), поэтому по-прежнему очень важно, чтобы пользователи могли легко войти в систему как другой пользователь, если им нужно.

10. Запоминать пользователей, когда они возвращают

Когда пользователю действительно необходимо повторно войти в свою учетную запись, убедитесь, что его данные сохранены, где это возможно. Убедитесь, что браузеры могут предварительно заполнить поля (например, адрес электронной почты) и, если возможно, запомнить данные своей учетной записи, чтобы пользователям оставалось только вводить свой пароль.

См. Также

9 правил надежных паролей: как создать и запомнить учетные данные для входа

Надежные пароли могут помочь защитить ваши данные

Ключом к вашей сетевой безопасности является наличие надежных паролей, но задача состоит в том, чтобы создать отдельные пароли, которые вы действительно можете запомнить, иначе вы можете попасть в плохую привычку использовать одни и те же учетные данные для входа в несколько учетных записей.Согласно LogMeIn, компании, стоящей за менеджером паролей LastPass, вы можете очень легко получить 85 паролей для всех своих учетных записей, если посчитать все свои социальные сети, потоковую передачу, банковские счета и приложения.

Если ваши данные будут скомпрометированы, использование слабых паролей может иметь серьезные последствия, например кражу личных данных. Компании сообщили о ошеломляющих 5 183 утечках данных в 2019 году, в результате которых была раскрыта личная информация, такая как домашние адреса и учетные данные, которые можно легко использовать для кражи вашей личности или совершения мошенничества.И это бледнеет по сравнению с более чем 555 миллионами украденных паролей, которые хакеры опубликовали в даркнете с 2017 года.

Для большинства из нас нет защиты личности в мире после паролей. А пока попробуйте эти передовые методы, которые помогут свести к минимуму риск раскрытия ваших данных. Читайте дальше, чтобы узнать, как создавать лучшие пароли и управлять ими, как получать уведомления в случае их взлома, а также вы узнаете об одном важном совете, чтобы сделать ваши логины еще более безопасными. А вот три старых правила паролей, которые сегодня оказались бессмысленными.

Подробнее: Лучшие менеджеры паролей на 2020 год и способы их использования

Используйте менеджер паролей, чтобы отслеживать свои пароли

Надежные пароли длиннее восьми символов, их трудно угадать, и они содержат множество символов, цифры и специальные символы. Лучшие из них сложно запомнить, особенно если вы используете отдельный логин для каждого сайта (что рекомендуется). Здесь на помощь приходят менеджеры паролей.

Надежный менеджер паролей, такой как 1Password или LastPass, может создавать и хранить для вас надежные и длинные пароли.Они работают на вашем компьютере и телефоне.

Хороший менеджер паролей поможет вам отслеживать данные для входа.

Небольшая оговорка заключается в том, что вам все равно придется запоминать один мастер-пароль, который разблокирует все ваши другие пароли. Так что сделайте его настолько сильным, насколько это возможно (и более конкретные советы по этому поводу см. Ниже).

Браузеры, такие как Google Chrome и Mozilla Firefox, также поставляются с менеджерами паролей, но наш дочерний сайт TechRepublic обеспокоен тем, как браузеры защищают пароли, которые они хранят, и рекомендует вместо этого использовать специальное приложение.

Менеджеры паролей с их единственными мастер-паролями, конечно же, очевидные цели для хакеров. И менеджеры паролей не идеальны. LastPass исправил ошибку в сентябре прошлого года, которая могла раскрыть учетные данные клиента. К чести компании, компания не скрывала возможной уязвимости и действий, которые она предпримет в случае взлома.

Да, вы можете записать свои учетные данные для входа. На самом деле

Мы знаем: эта рекомендация противоречит всему, что нам говорили о защите себя в Интернете.Но менеджеры паролей подходят не всем, и некоторые ведущие эксперты по безопасности, такие как Electronic Frontier Foundation, полагают, что хранение вашей информации для входа на физический лист бумаги или в записную книжку является жизнеспособным способом отслеживания ваших учетных данных.

И мы говорим о настоящей, старомодной бумаге, а не об электронном документе, таком как файл Word или электронная таблица Google, потому что, если кто-то получит доступ к вашему компьютеру или онлайн-аккаунтам, он также может получить доступ к этому электронному файлу паролей. .

Некоторым людям лучше всего хранить пароли на листе бумаги или в записной книжке.

Конечно, кто-то может ворваться в ваш дом и уйти с паролями на всю вашу жизнь, но это маловероятно. На работе или дома мы рекомендуем хранить этот лист бумаги в надежном месте — например, в запертом ящике стола или шкафу — и вне поля зрения.Ограничьте количество людей, которые знают, где находятся ваши пароли, особенно к вашим финансовым сайтам.

Если вы часто путешествуете, ношение паролей с собой представляет больший риск, если вы потеряете свой ноутбук.

Узнайте, были ли украдены ваши пароли

Вы не всегда можете предотвратить утечку ваших паролей через утечку данных или злонамеренный взлом. Но вы можете в любое время проверить наличие намеков на то, что ваши учетные записи могут быть скомпрометированы.

Mozilla Firefox Monitor и Google Password Checkup могут показать вам, какие из ваших адресов электронной почты и паролей были скомпрометированы в результате утечки данных, чтобы вы могли принять меры.Have I Been Pwned также может показать вам, были ли раскрыты ваши электронные письма и пароли. Если вы обнаружите, что вас взломали, см. Наше руководство о том, как защитить себя.

Сейчас играет: Смотри: Ваши учетные данные для входа в дарквеб? Выяснить…

2:08

Избегайте общих слов и комбинаций символов в своем пароле

Цель состоит в том, чтобы создать пароль, который никто другой не узнает или не сможет легко угадать.Держитесь подальше от общих слов, таких как «пароль», фраз, таких как «мой пароль», и предсказуемых последовательностей символов, таких как «qwerty» или «thequickbrownfox».

Также избегайте использования своего имени, прозвища, имени вашего питомца, дня рождения или годовщины, названия улицы или всего, что связано с вами, что кто-то может узнать из социальных сетей, или из искреннего разговора с незнакомцем в самолете или в баре.

Более длинные пароли лучше: 8 символов — это отправная точка

8 символов — отличное место для начала при создании надежного пароля, но более длинные входы лучше.Фонд Electronic Frontier Foundation и эксперт по безопасности Брайан Кербс, среди многих других, советуют использовать парольную фразу, состоящую из трех или четырех случайных слов, для дополнительной безопасности. Однако более длинную парольную фразу, состоящую из несвязанных слов, может быть трудно запомнить, поэтому вам следует подумать об использовании диспетчера паролей.

Не перерабатывайте свои пароли

Стоит повторить, что повторное использование паролей для разных учетных записей — ужасная идея. Если кто-то обнаружит ваш повторно используемый пароль для одной учетной записи, у него будет ключ ко всем другим учетным записям, для которых вы используете этот пароль.

То же самое касается изменения пароля root, который изменяется с добавлением префикса или суффикса. Например, PasswordOne, PasswordTwo (оба они плохи по нескольким причинам).

Выбирая уникальный пароль для каждой учетной записи, хакеры, взламывающие одну учетную запись, не могут использовать его для доступа ко всем остальным.

Избегайте использования паролей, о которых известно, что они украдены

Хакеры могут легко использовать ранее украденные или иным образом раскрытые пароли в автоматических попытках входа в систему, называемых заполнением учетных данных, для взлома учетной записи.Если вы хотите проверить, был ли пароль, который вы собираетесь использовать, уже был раскрыт во время взлома, перейдите в раздел Have I Been Pwned и введите пароль.

Нет необходимости периодически сбрасывать пароль

В течение многих лет смена паролей каждые 60 или 90 дней была общепринятой практикой, потому что, по их мнению, именно столько времени требуется, чтобы взломать пароль.

Но теперь Microsoft рекомендует не менять их периодически, если вы не подозреваете, что ваши пароли раскрыты.Причина? Многие из нас, вынужденные менять свои пароли каждые несколько месяцев, впадут в дурную привычку создавать легко запоминающиеся пароли или записывать их на стикерах и помещать их на наши мониторы.

Используйте двухфакторную аутентификацию (2FA)… но старайтесь избегать кодов текстовых сообщений

Если воры украдут ваш пароль, вы все равно можете помешать им получить доступ к вашей учетной записи с помощью двухфакторной аутентификации (также называемой двухэтапной проверкой) или 2FA), мера безопасности, которая требует, чтобы вы вводили вторую часть информации, которая есть только у вас (обычно одноразовый код), прежде чем приложение или служба выполнит вход в систему.

Приложение Google Authenticator повышает вашу безопасность.

Таким образом, даже если хакер обнаружит ваши пароли, без вашего доверенного устройства (например, вашего телефона) и кода подтверждения, подтверждающего, что это действительно вы, они не смогут получить доступ к вашей учетной записи.

Хотя получение этих кодов в текстовом сообщении на мобильный телефон или при звонке на стационарный телефон является обычным и удобным, хакеру достаточно просто украсть ваш номер телефона с помощью мошенничества с заменой SIM-карты, а затем перехватить ваш проверочный код.

Намного более безопасный способ получить коды подтверждения — это создать и получить их самостоятельно с помощью приложения для проверки подлинности, такого как Authy, Google Authenticator или Microsoft Authenticator. После настройки вы можете зарегистрировать свое устройство или браузер, чтобы вам не приходилось проверять его каждый раз при входе в систему.

Когда дело доходит до защиты паролем, проактивность — лучшая защита. Это включает в себя знание того, находятся ли ваша электронная почта и пароли в темной сети. И если вы обнаружите, что ваши данные были раскрыты, мы расскажем, что делать, если хакеры получили доступ к вашим банковским счетам и счетам кредитных карт.

Подробнее : Специальный отчет: выигрышная стратегия для кибербезопасности (бесплатный PDF) (TechRepublic)

10 советов по созданию отличного дизайна страницы входа

Дизайн страницы входа — важная часть UX-пути вашего сайта. Хороший дизайн помогает привлечь посетителей на ваш сайт и превратить новых посетителей в потенциальных клиентов. Это также дает вернувшимся пользователям простой способ войти на ваш сайт.

Вы хотите, чтобы он был бесшовным, привлекательным и простым в использовании.

Мы хотим помочь. Давайте рассмотрим лучшие советы и рекомендации по созданию хорошего дизайна страницы входа в систему и дадим вам множество отличных примеров, которые могут вас вдохновить.

10 советов и примеров по дизайну страницы входа

Мы учли, что вы должны и чего не должны делать, когда дело касается дизайна страницы с логотипом.

Не все советы и примеры применимы к вашему веб-сайту. Уловка состоит в том, чтобы выбрать то, что подходит именно вам.

Совет 1. Сделайте это очевидным

Вы не хотите заставлять пользователя искать область входа в систему. Чем дольше им придется смотреть, тем больше они будут разочарованы. Чем больше они расстроены, тем меньше вероятность, что они войдут в систему.

Прекрасным примером является страница входа в Gmail.

Все впереди и по центру. Вы точно знаете, где вам нужно войти в систему и что ввести в поля, и если у вас нет учетной записи Gmail, вы можете легко создать ее правой кнопкой мыши, нажав «Создать учетную запись.”

Сделайте свою зону входа очевидной, чтобы пользователям было как можно проще входить в систему.

Совет 2. Используйте социальный вход

Вход через социальные сети быстро становится способом входа пользователей в свои учетные записи в Интернете.

Фактически, 88% пользователей говорят, что они использовали учетные записи социальных сетей (Источник), а 86% пользователей говорят, что их беспокоила необходимость создавать новые учетные записи на веб-сайтах (Источник).

И не зря. Создание нескольких учетных записей для разных веб-сайтов отнимает много времени и сбивает с толку.Сложно запомнить кучу разных паролей и имен пользователей.

Вход через социальные сети позволяет избежать всего этого, позволяя пользователям создавать учетные записи, используя информацию из одной из своих учетных записей в социальных сетях.

Вот отличный пример от Medium. Платформа для ведения блогов позволяет пользователям входить в систему с помощью Twitter, Facebook или Google.

Некоторые предлагают только одну социальную платформу, например настольный магазин ролевых игр DM’s Guild:

Страница входа в гильдию DM.

Есть даже сайты социальных сетей, которые позволяют использовать социальный логин:

Экран входа в Pinterest

Социальный вход создает простой и интуитивно понятный дизайн страницы входа для вашего пользователя.

Хотите больше подобных сообщений в своем почтовом ящике? Подпишитесь на наш еженедельный дайджест.

Совет 3. ПОЦЕЛУЙ (Будь простым, глупым)

Ваша страница входа должна быть простой и понятной для ваших пользователей.

Например, посмотрите дизайн страницы входа в Instagram:

Обновленная страница входа в Instagram.

Два поля ввода вместе с возможностью входа в систему через Facebook. Это простой, эффективный и удобный интерфейс для пользователей.

Итак, когда вы создаете дизайн страницы входа в систему, имейте в виду, что вы хотите ПОЦЕЛУЙ: Сделайте это простым, глупым.

Совет 4. Различайте регистрацию и вход в систему

Если пользователь заходит на ваш веб-сайт, чтобы зарегистрироваться или если он возвращается, чтобы войти в систему, вы хотите, чтобы он четко указал, куда ему следует перейти.

Помогите им, выделив поле входа в систему отдельно от поля регистрации.

Прекрасный пример — Facebook.

Обратите внимание, как поле регистрации находится впереди и в центре.Новые пользователи могут зарегистрироваться прямо на странице, в то время как вернувшиеся пользователи могут использовать поля вверху для входа в систему. Видите, как раздел «вход» выделен темно-синей рамкой, полностью отделенной от остальной части страницы?

Использование разных цветов, макетов и копирования — простой способ сделать поля входа в систему отличными от полей регистрации. Это не обязательно должно быть сложно.

Вот пример от Dribbble простого изменения, которое имеет решающее значение.

Опять же, использование границ дает тонкую, но полезную разницу.

Совет 5. Пропустите имя пользователя

Избавьте вашего пользователя от необходимости придумывать и запоминать имя пользователя для вашего веб-сайта. Вместо этого предложите им зарегистрироваться, используя их адрес электронной почты или номер телефона.

Ваш пользователь действительно хочет придумать имя пользователя? Или для них это просто очередная рутинная работа по регистрации и авторизации на вашем сайте?

LinkedIn дает пользователям возможность войти в систему, используя свой номер телефона или адрес электронной почты.

Это вдвойне замечательно, потому что пользователи могут забыть, какой адрес электронной почты они использовали для входа на ваш сайт. Дайте им возможность использовать свой номер телефона, и они смогут легко войти в систему.

Совет 6. Покажите им пароль

Предоставление пользователям возможности видеть свой пароль при вводе гарантирует, что они смогут легко войти на ваш веб-сайт с первой попытки — вместо того, чтобы делать кучу опечаток.

WordPress позволяет пользователям видеть свой пароль по мере его ввода.Все, что нужно сделать пользователям, — это нажать на значок глаза в поле пароля, и они смогут его увидеть.

Sony также делает то же самое с дизайном своей страницы входа в Playstation Network.

Страница входа в Sony PlayStation Network.

Как вариант, вы можете установить флажок «Показать пароль» для достижения той же цели.

Источник: FourthBottle

Совет 7. Помните своих пользователей

Есть ли что-нибудь более разочаровывающее, чем возвращение на сайт, на который вы вошли ранее, только для того, чтобы обнаружить, что вам нужно снова войти в систему?

Когда пользователь вернется на ваш веб-сайт, убедитесь, что он уже вошел в систему или что определенные поля для него предварительно заполнены для упрощения входа.

Google отлично с этим справляется. Когда пользователям нужно снова войти в YouTube, Gmail, Google Drive или любой другой бренд Google, их информация запоминается, что упрощает процесс входа в систему.

Экран Gmail «Выберите учетную запись».

Ally Bank позволяет пользователям устанавливать флажок «Сохранить имя пользователя», позволяя веб-сайту заполнять свое имя пользователя, как только они попадают на веб-сайт. Это еще один отличный метод запоминания ваших пользователей.

Страница входа в Ally Bank.

Совет 8. Сделайте восстановление пароля безболезненным

Иногда ваши пользователи забывают свои данные для входа. Когда это произойдет, сделайте процесс восстановления максимально безболезненным.

Chase Bank имеет внизу кнопку на случай, если пользователи забудут свое имя пользователя и пароль.

Страница входа в Chase Bank.

Веб-сайт I-Pass автомагистрали Illinois Tollway также включает две отдельные ссылки на случай, если пользователи забудут свое имя пользователя или пароль.

Страница входа в систему I-Pass от Illinois Tollway.

Evernote делает кое-что умное и сообщает пользователю, как давно они изменили свой пароль.

Этот небольшой ход может оживить воспоминания пользователей и помочь им вспомнить свой пароль.

Сделайте очевидным, куда пользователи должны пойти, если они забудут свои данные для входа. Вы сделаете неприятную ситуацию менее неприятной — и ваши пользователи будут любить вас за это.

Совет 9. Сообщите пользователям, что их клавиша Caps Lock находится на

Мы все были в этом: разочаровывающе набирали и снова набирали пароль, но безрезультатно, только чтобы обнаружить, что вы все время оставляли заглавные буквы.

Предотвратите возникновение такой ситуации с помощью предупреждения вашего пользователя, что у них заблокированы заглавные буквы, когда они это делают.

Прекрасный пример этого — WordPress. Небольшой красный предупреждающий символ появляется, когда у пользователя включен режим Caps Lock.

WordPress позволяет узнать, когда у вас включен Caps Lock, пока вы пытаетесь войти в систему. Источник: Jaspreet Chahal

Браузер Microsoft Edge также дает пользователям возможность включить уведомления, когда у них включен Caps Lock во время набора текста.

Совет 10. Вход без пароля

Дайте своим мобильным пользователям возможность входить в систему без необходимости запоминать или вводить свой пароль.

Например, Charles Schwab Bank позволяет своим пользователям входить в систему с помощью сканера отпечатков пальцев на своем телефоне.

Аналогичным образом, Ally Bank позволяет пользователям iOS использовать Face ID для входа в свои учетные записи.

БОНУСНЫЙ СОВЕТ: Сделайте свою страницу входа в систему потрясающей с помощью InVision

Чтобы сделать действительно выделяющийся дизайн страницы входа в систему, вам нужны правильные инструменты.

К счастью, мы здесь, чтобы помочь.

Зарегистрируйтесь и получите бесплатную учетную запись InVision сегодня и создайте свой первый дизайн страницы входа.

Stitch Fix использовал InVision Cloud для прототипа Style Shuffle

Рекомендации по форме регистрации

Помогите своим пользователям зарегистрироваться, войти в систему и управлять данными своей учетной записи с минимумом хлопот.

9 декабря 2020 г. • Обновлено 11 декабря 2020 г.

Если пользователям когда-либо понадобится входить на ваш сайт, то правильный дизайн формы регистрации имеет решающее значение.Это особенно актуально для людей с плохой связью, мобильных, спешащих или находящихся в стрессе. Плохо оформленные формы регистрации имеют высокий показатель отказов. Каждый отказ может означать потерю и недовольство пользователя, а не просто упущенную возможность регистрации.

Вот пример очень простой формы регистрации, которая демонстрирует все передовые практики:

Контрольный список #

Избегайте входа в систему, если можете #

Перед тем, как внедрить форму регистрации, попросите пользователей создайте аккаунт на своем сайте, подумайте, действительно ли вам это нужно.По возможности вам следует избегать блокировки функций после входа в систему.

Лучшая форма регистрации — это не форма регистрации!

Попросив пользователя создать учетную запись, вы встаете между ними и тем, чего они пытаются достичь. Вы просите об одолжении и просите пользователя доверить вам личные данные. Каждый пароль и элемент данных, которые вы храните, несут в себе «долг» за конфиденциальность и безопасность, становясь для вашего сайта издержками и ответственностью.

Если основной причиной, по которой вы просите пользователей создать учетную запись, является сохранение информации между сеансами навигации или просмотра, рассмотрите возможность использования хранилища на стороне клиента.Для торговых сайтов принуждение пользователей к созданию учетной записи для совершения покупки считается основной причиной отказа от корзины покупок. Вы должны сделать гостевую кассу по умолчанию.

Сделайте вход очевидным #

Сделайте очевидным, как создать учетную запись на своем сайте, например, с помощью кнопки Login или Sign in в правом верхнем углу страницы. Избегайте использования неоднозначного значка или расплывчатых формулировок («Присоединяйтесь!», «Присоединяйтесь к нам») и не скрывайте логин в навигационном меню.Эксперт по юзабилити Стив Круг резюмировал этот подход к юзабилити веб-сайта: «Не заставляйте меня думать! Если вам нужно убедить других в своей веб-команде, используйте аналитику, чтобы показать влияние различных вариантов.

Вам может быть интересно, добавить ли кнопку (или ссылку) для создания учетной записи и еще одну для существующих пользователей для входа в систему. Многие популярные сайты теперь просто отображают одну кнопку Войти .Когда пользователь нажимает на нее, он также получает ссылку для создания учетной записи, если это необходимо. Сейчас это обычная модель, и ваши пользователи, вероятно, ее поймут, но вы можете использовать аналитику взаимодействия, чтобы отслеживать, работает ли одна кнопка лучше всего.

Не забудьте связать учетные записи для пользователей, которые регистрируются через поставщика удостоверений, например Google, и которые также регистрируются с использованием электронной почты и пароля.Это легко сделать, если вы можете получить доступ к адресу электронной почты пользователя из данных профиля от поставщика удостоверений и сопоставить эти две учетные записи. В приведенном ниже коде показано, как получить доступ к данным электронной почты для пользователя, выполнившего вход в Google.

  
 if (auth3.isSignedIn.get ()) {
 var profile = auth3.currentUser.get (). GetBasicProfile (); 
 console.log (`Электронная почта: $ {profile.getEmail ()}`); 
}  

После того, как пользователь вошел в систему, проясните, как получить доступ к сведениям об учетной записи. В частности, объясните, как менять или сбрасывать пароли.

Сократить беспорядок формы #

В процессе регистрации ваша задача — минимизировать сложность и сосредоточить внимание пользователя. Избавьтесь от беспорядка. Сейчас не время отвлекаться и искушений!

При регистрации просите как можно меньше. Собирайте дополнительные данные пользователя (например, имя и адрес) только тогда, когда вам это нужно, и когда пользователь видит явную выгоду от предоставления этих данных. Помните, что каждый элемент данных, который вы передаете и храните, влечет за собой расходы и ответственность.

Не дублируйте вводимые данные только для того, чтобы пользователи правильно указали свои контактные данные. Это замедляет заполнение формы и не имеет смысла, если поля формы заполняются автоматически. Вместо этого отправьте код подтверждения пользователю после того, как он введет свои контактные данные, а затем продолжите создание учетной записи, как только он ответит. Это обычная схема регистрации: пользователи к ней привыкли.

Вы можете рассмотреть вариант входа без пароля, отправив пользователям код каждый раз, когда они входят в систему на новом устройстве или в браузере.Такие сайты, как Slack и Medium, используют его версию.

Как и в случае с федеративным входом в систему, это дает дополнительное преимущество, заключающееся в том, что вам не нужно управлять паролями пользователей.

Учитывайте длину сеанса #

Какой бы подход вы ни выбрали для идентификации пользователя, вам необходимо принять осторожное решение о продолжительности сеанса: как долго пользователь остается в системе и что может привести к его выходу из системы.

Подумайте, работают ли ваши пользователи на мобильных устройствах или на настольных компьютерах, а также используют ли они общий доступ на рабочем столе или совместно используют устройства.

Вы можете обойти некоторые проблемы, связанные с общими устройствами, путем принудительной повторной аутентификации для конфиденциальных функций, например, при совершении покупки или обновлении учетной записи. Вы можете узнать больше о способах реализации повторной аутентификации в Codelab Your First WebAuthn App.

Помогите менеджерам паролей безопасно предлагать и хранить пароли #

Вы можете помочь сторонним и встроенным менеджерам паролей браузера предлагать и сохранять пароли, чтобы пользователям не приходилось самостоятельно выбирать, запоминать или вводить пароли.Менеджеры паролей хорошо работают в современных браузерах, синхронизируя учетные записи на разных устройствах, в разных платформах и веб-приложениях, а также для новых устройств.

Это делает чрезвычайно важным правильное кодирование форм подписки, в частности, использование правильных значений автозаполнения. Для форм регистрации используйте autocomplete = "new-password" для новых паролей и по возможности добавляйте правильные значения автозаполнения в другие поля формы, например autocomplete = "email" и autocomplete = "tel" .Вы также можете помочь менеджерам паролей, используя разные значения name и id в формах регистрации и входа, для самого элемента form , а также для любого ввода , выберите и textarea элементы.

Вам также следует использовать соответствующий атрибут типа , чтобы обеспечить правильную клавиатуру на мобильном устройстве и включить базовую встроенную проверку в браузере. Дополнительную информацию можно найти в разделе «Рекомендации по оплате и адресной форме».

Передовые практики форм входа содержат много дополнительных советов о том, как улучшить дизайн, макет и доступность форм, а также как правильно кодировать формы, чтобы воспользоваться преимуществами встроенных функций браузера.

Убедитесь, что пользователи вводят безопасные пароли #

Включение менеджеров паролей предлагать пароли — лучший вариант, и вам следует поощрять пользователей принимать надежные пароли, предлагаемые браузерами и сторонними менеджерами браузеров.

Однако многие пользователи хотят вводить свои собственные пароли, поэтому вам необходимо внедрить правила надежности пароля.Национальный институт стандартов и технологий США объясняет, как избежать использования небезопасных паролей.

Предупреждение : в формах регистрации на некоторых сайтах есть правила проверки паролей, которые не позволяют использовать надежные пароли, генерируемые браузером и сторонними менеджерами паролей. Убедитесь, что ваш сайт этого не делает, так как он прерывает заполнение формы, раздражает пользователей и требует от пользователей придумывать свои собственные пароли, которые могут быть менее безопасными, чем пароли, созданные менеджерами паролей.

Не разрешать взломанные пароли #

Какие бы правила вы ни выбрали для паролей, вы никогда не должны разрешать использование паролей, которые были обнаружены при нарушениях безопасности.

После того, как пользователь ввел пароль, необходимо убедиться, что это не тот пароль, который уже был взломан. Сайт Have I Been Pwned предоставляет API для проверки пароля, или вы можете запустить его самостоятельно.

Диспетчер паролей Google также позволяет проверить, не был ли взломан какой-либо из существующих паролей.

Если вы отклоняете пароль, предложенный пользователем, укажите, почему он был отклонен. Покажите проблемы в строке и объясните, как их исправить, как только пользователь ввел значение, а не после того, как он отправил форму регистрации и должен был дождаться ответа от вашего сервера.

Не запрещать вставку пароля #

На некоторых сайтах не разрешается вставка текста во ввод пароля.

Запрещение вставки паролей раздражает пользователей, поощряет запоминание паролей (и, следовательно, их легче взломать) и, по мнению таких организаций, как Национальный центр кибербезопасности Великобритании, может фактически снизить безопасность. Пользователи узнают, что вставка запрещена только после того, как они попытаются вставить свой пароль, поэтому запрет вставки пароля не позволяет избежать уязвимостей буфера обмена.

Никогда не храните и не передавайте пароли в виде обычного текста #

Не забудьте солить и хэшировать пароли — и не пытайтесь изобрести собственный алгоритм хеширования!

Не принудительно обновлять пароли #

Не заставлять пользователей обновлять пароли произвольно.

Принудительное обновление паролей может быть дорогостоящим для ИТ-отделов, раздражать пользователей и не сильно влиять на безопасность. Это также может побудить людей использовать незащищенные запоминающиеся пароли или вести физический учет паролей.

Вместо принудительного обновления пароля следует отслеживать необычную активность учетной записи и предупреждать пользователей. Если возможно, вам также следует следить за паролями, которые могут быть скомпрометированы из-за утечки данных.

Вы также должны предоставить своим пользователям доступ к истории входа в учетную запись, показывая им, где и когда произошел вход.

Упростите изменение или сброс паролей #

Сделайте очевидным для пользователей, где и как обновить пароль своей учетной записи.На некоторых сайтах это на удивление сложно.

Вы, конечно, также должны упростить для пользователей сброс пароля , если они его забудут. Проект Open Web Application Security Project предоставляет подробные инструкции о том, как обращаться с утерянными паролями.

Для обеспечения безопасности вашего бизнеса и ваших пользователей особенно важно помочь пользователям изменить свой пароль, если они обнаружат, что он был взломан. Чтобы упростить эту задачу, вы должны добавить на свой сайт URL-адрес /.well-known/change-password , который перенаправляет на вашу страницу управления паролями.Это позволяет менеджерам паролей направлять ваших пользователей прямо на страницу, где они могут изменить свой пароль для вашего сайта. Эта функция теперь реализована в Safari, Chrome и появится в других браузерах. Помогите пользователям легко менять пароли, добавив известный URL-адрес для смены паролей, объясняющий, как это реализовать.

Вы также должны упростить пользователям удаление своей учетной записи, если они этого хотят.

Предлагать вход через сторонних поставщиков удостоверений #

Многие пользователи предпочитают входить на веб-сайты, используя адрес электронной почты и форму для регистрации с паролем.Однако вы также должны разрешить пользователям входить в систему через стороннего поставщика удостоверений, также известного как федеративный вход.

У этого подхода есть несколько преимуществ. Для пользователей, которые создают учетную запись с использованием федеративного входа в систему, вам не нужно запрашивать, сообщать или хранить пароли.

Вы также можете получить доступ к дополнительной проверенной информации профиля из интегрированного входа в систему, например, по адресу электронной почты, что означает, что пользователю не нужно вводить эти данные, и вам не нужно выполнять проверку самостоятельно.Федеративный вход также может упростить пользователям задачу, когда они получат новое устройство.

Интеграция входа через Google в ваше веб-приложение объясняет, как добавить федеративный вход в параметры регистрации. Доступны многие другие платформы идентификации.

«Первый день работы», когда вы приобретаете новое устройство, становится все более важным. Пользователи ожидают входа в систему с нескольких устройств, включая телефон, ноутбук, настольный компьютер, планшет, телевизор или из автомобиля. Если ваши формы регистрации и входа не работают гладко, это момент, когда вы рискуете потерять пользователей или, по крайней мере, потерять с ними контакт, пока они не будут снова настроены.Вам нужно сделать так, чтобы пользователи новых устройств могли быстро и легко начать работу на вашем сайте. Это еще одна область, в которой может помочь федеративный вход.

Упростите переключение учетных записей #

Многие пользователи используют общие устройства и переключаются между учетными записями с помощью одного и того же браузера. Независимо от того, имеют ли пользователи доступ к федеративному входу в систему или нет, вы должны упростить переключение учетных записей.

Рассмотрите возможность предложения многофакторной аутентификации #

Многофакторная аутентификация означает, что пользователи обеспечивают аутентификацию более чем одним способом.Например, помимо требования, чтобы пользователь установил пароль, вы также можете принудительно выполнить проверку с помощью одноразового пароля, отправленного по электронной почте или текстового SMS-сообщения, или с помощью одноразового кода на основе приложения, ключа безопасности или Датчик отпечатков пальцев. Передовые практики SMS OTP и Включение строгой аутентификации с помощью WebAuthn объясняют, как реализовать многофакторную аутентификацию.

Вам непременно следует предложить (или обеспечить) многофакторную аутентификацию, если ваш сайт обрабатывает личную или конфиденциальную информацию.

Будьте осторожны с именами пользователей #

Не настаивайте на имени пользователя, пока оно вам не понадобится. Разрешите пользователям регистрироваться и входить в систему, используя только адрес электронной почты (или номер телефона) и пароль — или федеративный вход, если они предпочитают. Не заставляйте их выбирать и запоминать имя пользователя.

Если вашему сайту требуются имена пользователей, не навязывайте им необоснованные правила и не мешайте пользователям обновлять свое имя пользователя. На вашем сервере вы должны создать уникальный идентификатор для каждой учетной записи пользователя, а не идентификатор, основанный на личных данных, таких как имя пользователя.

Также не забудьте использовать autocomplete = "username" для имен пользователей.

Протестируйте на различных устройствах, платформах, браузерах и версиях #

Протестируйте формы регистрации на платформах, наиболее распространенных среди ваших пользователей. Функциональные возможности элементов формы могут различаться, а различия в размере области просмотра могут вызвать проблемы с макетом. BrowserStack позволяет бесплатно тестировать проекты с открытым исходным кодом на различных устройствах и браузерах.

Внедрение аналитики и реального мониторинга пользователей #

Вам нужны полевые данные, а также лабораторные данные, чтобы понять, как пользователи воспринимают ваши формы регистрации.Аналитика и мониторинг реальных пользователей (RUM) предоставляют данные о реальном опыте пользователей, например о том, сколько времени требуется для загрузки страниц регистрации, с какими компонентами пользовательского интерфейса взаимодействуют (или нет) пользователи и сколько времени требуется пользователям для завершения процедуры подписи. вверх.

Небольшие изменения могут существенно повлиять на показатели заполнения регистрационных форм. Аналитика и RUM позволяют вам оптимизировать и определять приоритеты изменений, а также отслеживать ваш сайт на предмет проблем, которые не обнаруживаются при локальном тестировании.

Продолжайте учиться #

Фото @ecowarriorprincess на Unsplash.

6 главных советов по безопасному процессу входа в систему

Мы проводим больше времени в Интернете, чем когда-либо прежде, постоянно создавая новые учетные записи на всех типах веб-сайтов и приложений. И хотя веб-разработчики всегда ищут новые и улучшенные способы обеспечения безопасности на своих сайтах, конкретные способы входа в систему не сильно изменились с годами.

На самом деле традиционный вход в систему с использованием имени пользователя и пароля не очень безопасен, особенно потому, что многие пользователи продолжают использовать слабые и скомпрометированные учетные данные.Кроме того, веб-сайты не применяют действительно эффективных правил создания паролей, предпочитая простоту использования безопасности.

Есть определенные способы, которыми вы можете начать сдвигать процесс входа на ваш сайт в правильном направлении, делая его более удобным и безопасным для ваших пользователей. Здесь мы рассмотрим шесть современных рекомендаций по обеспечению максимальной эффективности процесса входа в систему:

1. Разрешите пользователям просматривать свои современные пароли.
2. Уведомлять пользователей о подозрительном поведении при входе.
3. Ограничить количество попыток входа в систему.
4. Откажитесь от современных средств проверки надежности паролей.
5. Обновите современные требования к паролям.
6. Изучите современные альтернативы паролям.

Имена пользователей и пароли по-прежнему являются наиболее распространенным способом получения доступа к нашим онлайн-счетам, но являются ли они лучшим способом? (Ответ — нет, но мы пока не будем вдаваться в подробности. Мы рассмотрим некоторые инновационные решения для входа в систему в конце этой статьи.) А пока давайте погрузимся в некоторые из этих передовых методов для более безопасного имени пользователя и система входа с паролем.

1. Разрешить пользователям просматривать свой современный пароль.

Когда пришло время войти в учетную запись, мы все видели, что наш пароль отображается на экране в виде нескольких точек. Замена символов точками — это процесс, который используют большинство веб-сайтов для защиты ваших учетных данных от блуждающих глаз, но он также открывает новый диапазон уязвимостей.

Хотя это благие намерения, которое, безусловно, может иногда пригодиться, важно, чтобы вы предоставили возможность отключить эту функцию, чтобы пользователи могли просматривать свои пароли по мере их ввода.

Если вы спрашиваете себя , почему , вот две основные причины.

В целях безопасности

Поскольку пользователи не видят ошибок, они с большей вероятностью создадут простой пароль, чтобы не ошибиться.

Подумайте об этом так: с длинным сложным паролем вам придется надеяться, что вы правильно введете все символы, или вам придется заново вводить свои учетные данные, что может сделать процесс входа в систему очень быстрым- потребляющий.Вместо того, чтобы непреднамеренно побуждать пользователей создавать «простые» учетные данные, просто дайте им возможность показывать свои пароли по мере их ввода.

Это позволяет пользователям дважды проверить, что их пароли не содержат ошибок, не только при входе в систему, но и при создании новой учетной записи.

Для пользовательского интерфейса

Представьте, что вы вводите пароль для доступа к учетной записи в социальной сети, и ваш палец скользит. Вы не уверены, что нажали правильную клавишу! И поскольку все, что он показывает вам, это эти маленькие точки, вам нужно стереть весь свой пароль и попробовать еще раз.Мы все там были, и это может сильно расстраивать с точки зрения удобства использования.

Если бы у вас была возможность увидеть свой пароль на экране, вы могли бы легко определить, ошиблись ли вы, — и измените только необходимые символы. Вместо этого вам придется полностью повторять ввод пароля столько раз, сколько потребуется, чтобы ввести его правильно.

Пользователи тяготеют к простым паролям, отчасти потому, что их легко запомнить, но также потому, что они не хотят рисковать, набирая неправильный пароль.Предлагая простой вариант просмотра пароля, вы устраняете серьезное препятствие для пользовательского интерфейса и безопасности! Однако полезно иметь возможность отключить эту функцию в ситуациях, когда они не хотят, чтобы их пароль был виден — в случае этих любопытных глаз.

2. Сообщите пользователям о подозрительном поведении при входе в систему.

Мониторинг безопасности вашего сайта должен быть постоянным главным приоритетом. В конце концов, информирование пользователей о том, что вы подозреваете, что их учетные записи могут быть скомпрометированы, — это единственный ответственный способ защитить их конфиденциальные данные.Если вы внимательно отслеживаете подозрительную активность в Интернете, вы с большей вероятностью поймаете проблему и решите ее до того, как она выйдет из-под контроля.

Например, важно уведомлять пользователей о попытках входа в систему с подозрительным паролем и именем пользователя. Заранее уведомив пользователей, вы предотвратите взлом большего числа аккаунтов и защитите конфиденциальную информацию от неавторизованных пользователей.

Пользователи должны быть проинформированы о потенциально взломанной учетной записи, если:

• За короткий период времени было несколько попыток входа в их учетную запись.
• В вашей организации произошла утечка данных.
• Значительные изменения внесены в настройки учетной записи пользователя.
• Сделан запрос на смену пароля.
• Пароль учетной записи изменен.

Лучший способ уведомить пользователей — через связанный адрес электронной почты или текстовое сообщение. Помимо уведомления пользователей об этой активности, вы также должны предоставить им рекомендуемые шаги, чтобы сделать их учетные записи более безопасными.

Например, поощрите пользователей изменять свои учетные данные, используя актуальные инструкции по созданию безопасного пароля.Кроме того, если ваш веб-сайт предлагает альтернативы входа без пароля, обязательно рекламируйте это как более простой и безопасный способ управления учетной записью!

Если вы подозреваете, что учетная запись пользователя подвергается серьезному риску потери конфиденциальной информации, заблокируйте учетную запись до тех пор, пока вы не получите от пользователя дополнительную аутентификацию. Если вы будете чрезмерно осторожны с информацией ваших пользователей и отслеживать вносимые изменения, любой несанкционированный доступ можно пресечь в зародыше, прежде чем хакер нанесет серьезный ущерб.

Plus, вы завоюете доверие своих пользователей, продемонстрировав им, что безопасность для вас важнее всего. Это не только поможет выделить ваш продукт или услугу, но и снизит вероятность того, что ваша компания станет жертвой утечки данных. Пользователи всегда ищут наиболее безопасный вариант, а хакеры, скорее всего, его избегнут. Это беспроигрышный вариант!

3. Ограничьте количество попыток входа в систему.

Когда дело доходит до подозрительной активности, есть также несколько способов закрыть этих потенциальных мошенников до того, как им когда-либо будет предоставлен доступ к учетной записи.

Одна из стратегий, используемых хакерами для взлома пароля, называется атакой грубой силы. По сути, это означает, что хакер будет использовать программное обеспечение для прохождения каждой комбинации паролей, пока она не найдет совпадение. Поскольку эти компьютерные программы могут выполнять миллиарды предположений каждую секунду, процесс может занять от пары минут до нескольких лет в зависимости от надежности пароля.

Если на вашем веб-сайте нет ограничений на количество попыток входа пользователя в систему, это может значительно облегчить работу хакера .

Таким образом, важно установить ограничения на количество попыток входа в систему и запросов на сброс пароля для каждого пользователя. Чтобы реализовать эту стратегию, обязательно установите протоколы, определяющие, когда следует ограничивать доступ к учетной записи или предпринимать дополнительные шаги для предотвращения злонамеренного поведения на вашем сайте.

Вот несколько вещей, о которых следует помнить:

• Дайте пользователям максимум 5 попыток подбора пароля в минуту. Посмотрим правде в глаза: мы все забыли свой пароль, и иногда нам нужно несколько попыток, чтобы получить его правильно.Однако это ограничение будет помечать хакеров, использующих компьютерные программы для атаки методом грубой силы. После первых 5 попыток просто заблокируйте учетную запись на 10 минут или около того.
• Ограничьте количество угадываний по IP-адресу до 20 в минуту. Предел для IP-адресов должен быть выше, поскольку общие офисы могут использовать один и тот же IP-адрес и иметь несколько пользователей, пытающихся войти в систему на вашем веб-сайте. Если вы часто замечаете большое количество попыток входа в систему с одного и того же IP-адреса, вам может потребоваться изучить и / или принять административное решение о блокировке этого IP-адреса.
• Принимать не более 2 запросов на сброс пароля для каждой учетной записи и 5 для каждого IP-адреса. Предоставление пользователям дополнительных возможностей для сброса пароля может привести к снижению безопасности учетных записей. Например, хакер может сделать несколько запросов, чтобы определить, какой адрес электронной почты привязан к учетной записи.

Конечно, это всего лишь предложения. Ваша организация должна скорректировать эти правила в соответствии с вашими конкретными потребностями. В качестве дополнительного шага, если учетная запись заблокирована по любой из вышеперечисленных причин, важно отправить пользователю электронное письмо с уведомлением о ситуации.Таким образом, если попытки не были предприняты этими пользователями, они могут предпринять следующие шаги для защиты своих учетных записей.

4. Откажитесь от современных средств проверки надежности паролей.

Популярный способ проверить надежность своих паролей — это онлайн-проверки, такие как «Насколько безопасен мой пароль», «Счетчик паролей» и «My1Login».Часто подобные инструменты можно встретить на веб-сайтах при создании новой учетной записи. Пользователи могут вводить свои пароли в инструмент и оценивать его по шкале от очень слабой до очень надежной. Иногда эти средства проверки измеряют силу, используя время, необходимое для взлома пароля.

К сожалению, средства проверки надежности паролей — не лучший способ оценить безопасность, потому что они непоследовательны и побуждают пользователей создавать учетные данные по предполагаемому шаблону. Кроме того, эти инструменты могут давать непоследовательные результаты или использовать устаревшие стандарты безопасности паролей, создавая у пользователей ложное чувство безопасности.Вместо этого организациям следует сосредоточиться на обучении пользователей надежным паролям, а не на соблюдении правил.

Как вы можете видеть на изображении выше, некоторые пароли, которые считаются нормальными или даже надежными, на самом деле очень слабые. Это происходит потому, что не существует установленного стандарта для создания безопасного пароля. Кроме того, многие средства проверки паролей включают такие стандарты, как:

• Включите хотя бы одну заглавную букву.
• Используйте цифры и символы.
• Создайте пароль длиной до 8 символов.

Эти требования часто приводят к очень шаблонным паролям, например «Jessica1234!» которые хакерам довольно легко угадать на основе типичных пользовательских шаблонов (даже если они соответствуют всем критериям программы проверки надежности). Вместо того, чтобы использовать конкретные требования, компании должны сосредоточиться на предоставлении пользователям универсальных стратегий, которые сделают пароли более надежными.

5. Обновите современные требования к паролям.

Как вы можете побудить пользователей создавать лучшие пароли?

Во-первых, ваша организация должна быть в курсе текущих рекомендаций по безопасности паролей.По мере создания новой технологии взлома паролей эти рекомендации могут меняться день ото дня.

Вместо того, чтобы давать пользователям набор требований, которые должны быть включены в их пароль, предоставьте рекомендации, основанные на самой последней информации.

Например, Национальный институт стандартов и технологий (NIST) часто публикует новые правила безопасности паролей. Вот что предлагается в их последнем отчете:

• Веб-сайты не должны требовать от пользователей частого изменения учетных данных .
• Пользователи должны создавать случайные пароли, поскольку они более безопасны.
• Более длинные пароли следует поощрять .
• Организации не должны применять правила композиции, такие как добавление прописных букв, цифр и т. Д.

В дополнение к этим рекомендациям организации также должны запускать любые новые пароли через систему, которая проверяет наиболее часто используемые пароли и учетные данные которые уже были нарушены. Например, если пользователь пытается создать учетную запись с паролем «123456», система предложит пользователю выбрать другой пароль.

Знаете ли вы, что шокирующие 98% учетных записей можно получить, используя 10 000 самых распространенных паролей? Запрещая пользователям создавать учетные записи с этими паролями, вы поощряете их укреплять учетные данные и защищать свою конфиденциальную информацию. Таким образом, вы можете защитить отдельных пользователей и всей организации одновременно.

6. Изучите современные альтернативы паролям.

Итак, каков же ответ на современную дилемму паролей? Кажется, что каждый пароль имеет свой собственный набор уязвимостей, что оставляет вашу организацию и ее пользователей уязвимыми для атак.

Вот почему аутентификация без пароля становится все более популярной как среди веб-разработчиков, так и среди пользователей.

Если ваша организация хочет вывести логин на новый уровень, вам обязательно стоит рассмотреть альтернативы пароля. Хотя существует несколько различных вариантов, основной процесс работает очень похоже на двухфакторную аутентификацию (когда код ключа отправляется на ваш телефон или электронную почту). Единственная разница в том, что на любом этапе процесса пароль не требуется!

Давайте рассмотрим два наиболее распространенных типа аутентификации без пароля.

Биометрия

Если у вас есть мобильный телефон, который позволяет разблокировать экран с помощью отпечатка пальца или распознавания лица, то вы уже знакомы с биометрией. От сканирования отпечатков пальцев, лица и радужной оболочки глаза до ДНК-скрининга — биометрия позволяет пользователям получать доступ к своим учетным записям, используя свои собственные биологические особенности.

Несмотря на множество преимуществ и удобств, биометрическая аутентификация по-прежнему имеет несколько заметных уязвимостей. Обзор того, как работают эти системы, может помочь получить больше контекста.

Во-первых, внедрение биометрии является дорогостоящим и может использоваться только людьми, имеющими совместимое устройство. Чтобы начать работу, организации должны покупать дорогостоящие технологии и поощрять пользователей покупать необходимые инструменты для их работы.

Кроме того, недавние исследования показывают, что воспроизведение отпечатков пальцев (хотя и сложно) возможно. Сканеры отпечатков пальцев смартфонов фактически записывают несколько изображений частей вашего отпечатка пальца. Если ваш палец совпадает с любым из этих изображений, вам предоставляется доступ.Создав «эталонный отпечаток» с чертами, характерными для большинства отпечатков пальцев, киберпреступники смогли получить доступ к учетным записям других людей. Даже технологию сканирования лица можно обмануть, сделав качественную фотографию.

Наконец, если другой человек действительно получит доступ к вашей учетной записи, пользователи не смогут изменить свои учетные данные, как если бы они делали традиционный пароль. Это не значит, что вы можете просто получить новый отпечаток пальца!

Аутентификация по электронной почте

Аутентификация по электронной почте — одна из наиболее универсальных и экономичных систем входа без пароля для реализации, и любой, у кого есть учетная запись электронной почты, может ее использовать.

Этот процесс очень похож на веб-сайты, которые позволяют пользователям входить в систему со своей учетной записью Facebook, поэтому этот процесс уже знаком большинству пользователей.

Вот как работает наше волшебное сообщение:

1. Пользователь перенаправляется на службу Swoop через протокол OAuth 2.0 для аутентификации.
2. В окне браузера пользователь нажимает кнопку «Отправить волшебное сообщение»: Кнопка активирует ссылку mailto, которая генерирует заранее написанное электронное письмо для отправки пользователем.
3. Пользователь отправляет электронное письмо: Здесь происходит волшебство. После отправки электронной почты сервер исходящей электронной почты генерирует и встраивает полностью зашифрованный цифровой ключ размером 1024/2048 бит в заголовок электронного письма. Сервер аутентификации Swoop следует криптографической процедуре с открытым ключом для расшифровки этого ключа. Каждое отправленное письмо получает уникальный ключ для этого сообщения. Уровень безопасности этих зашифрованных ключей несравним с традиционными паролями.
4. Пользователь вошел в свою учетную запись: Когда ключ расшифровывает и проходит все уровни проверки, сервер аутентификации Swoop дает указание веб-сайту открыть учетную запись пользователя и начать сеанс.Все это происходит в считанные секунды и значительно упрощает взаимодействие с пользователем.

В Swoop мы используем уникальный код, прикрепленный к каждому электронному письму, чтобы подтвердить личность пользователя. По сути, этот метод не позволяет хакерам получить доступ к вашей учетной записи, потому что им также потребуются учетные данные для вашей электронной почты. Даже если они преодолеют первую меру безопасности, система отметит любое обычное поведение и запросит второй метод аутентификации с помощью текстового сообщения.

Имея несколько способов создания современного входа в систему без пароля, ваша организация может избавиться от необходимости в пароле и создать более надежные учетные записи.

Надеюсь, эти советы вдохновили вас на обновление системы входа в систему с паролем и именем пользователя, чтобы сделать процесс более безопасным и удобным. Наше главное предложение, конечно же, — изучить лучшие варианты аутентификации без пароля, которые принесут ценные преимущества как вам, , так и , вашим пользователям.

Если вам нужна дополнительная информация о безопасности паролей, ознакомьтесь с этими дополнительными ресурсами:

Discover Flask, часть 2 — Создание страницы входа — Real Python

Добро пожаловать в настоящий Python Откройте для себя Flask серии …

Посетите discoverflask.com для обзора серии — ссылки на сообщения в блогах и видео.

В прошлый раз мы рассмотрели, как настроить базовую структуру Flask, а затем разработали статический сайт, стилизованный под Bootstrap. Во второй части серии мы добавим страницу входа для конечных пользователей, чтобы они могли входить в систему.

Основываясь на коде из предыдущего руководства, нам необходимо:

• Добавить маршрут для обработки запросов к URL-адресу входа; и
• Добавить шаблон для страницы входа

Добавить маршрут для обработки запросов к URL-адресу входа

Убедитесь, что ваш virtualenv активирован.Откройте app.py в редакторе кода и добавьте следующий маршрут:

  # Маршрут для обработки логики страницы входа
@ app.route ('/ login', methods = ['GET', 'POST'])
def login ():
    error = Нет
    если request.method == 'POST':
        если request.form ['имя пользователя']! = 'admin' или request.form ['пароль']! = 'admin':
            error = 'Неверные учетные данные. Пожалуйста, попробуйте еще раз.'
        еще:
            возврат перенаправления (url_for ('home'))
    вернуть render_template ('login.html', error = error)
  

Убедитесь, что вы также обновили импорт:

  из флакона импорт Flask, render_template, перенаправление, url_for, запрос
  

Итак, что происходит?

1. Во-первых, обратите внимание, что мы указали применимые HTTP-методы для маршрута, GET и POST, в качестве аргумента в декораторе маршрута.

2. GET — метод по умолчанию. Итак, если никакие методы явно не определены, Flask предполагает, что единственный доступный метод — это GET, как в случае с двумя предыдущими маршрутами, / и / welcome .

3. Для нового маршрута / login нам нужно указать метод POST, а также GET, чтобы конечные пользователи могли отправлять запрос POST со своими учетными данными для этой конечной точки / login .

4. Логика в функции login () проверяет правильность учетных данных.Если они верны, пользователь перенаправляется на основной маршрут, /, и если учетные данные неверны, возникает ошибка. Откуда берутся эти полномочия? Запрос POST, который вы увидите через минуту.

5. В случае запроса GET страница входа в систему просто отображается.

ПРИМЕЧАНИЕ : Функция url_for () генерирует конечную точку для предоставленного метода.

Добавить шаблон для страницы входа

Создайте новый файл с именем login.html , добавив его в каталог «templates»:

  
  
    
    
    
  
  
    

       
 Пожалуйста, войдите 
 
      

      

        
         
        
      
      {% if error%}
        
  Ошибка:  {{error}}
      {% endif%}
    
 

  

Время для быстрого теста…

1. Запустите сервер. Перейдите по адресу http: // localhost: 5000 / login.

2. Введите неверные учетные данные, затем нажмите «Вход». Вы должны получить такой ответ: «Ошибка: неверные учетные данные. Пожалуйста, попробуйте еще раз.»

3. Теперь используйте «admin» для имени пользователя и пароля, и вы должны быть перенаправлены на URL-адрес /.

4. Вы можете сказать, что здесь происходит? При отправке формы вместе с данными формы отправляется запрос POST: value = "{{request.form.username}}" и value = "{{request.form.password}} ", к контроллеру, app.py — который затем обрабатывает запрос и либо отвечает сообщением об ошибке, либо перенаправляет пользователя на URL-адрес /. Обязательно посмотрите сопроводительное видео чтобы разобраться в этом подробнее с помощью инструментов разработчика Chrome!

5. Наконец, у нас есть логика в наших шаблонах. Первоначально мы передали None для ошибки. Что ж, если ошибка не None, то мы отображаем фактическое сообщение об ошибке, которое передается в шаблон из представлений:

   Ошибка: {{error}}

   .Для получения информации о том, как это работает, ознакомьтесь с этим сообщением в блоге, чтобы узнать больше о движке шаблонов Jinja2.

Заключение

Как вы думаете? Все просто, правда? Пока не волнуйтесь, так как нам еще многое предстоит сделать в отношении управления пользователями…

Теперь, когда пользователи имеют возможность входить в систему, нам нужно защитить этот URL-адрес / от несанкционированного доступа. Другими словами, когда конечный пользователь попадает в эту конечную точку, если он еще не вошел в систему, он должен быть немедленно отправлен на страницу входа.В следующий раз. А пока попрактикуйтесь в jQuery.

Обязательно возьмите код и посмотрите видео.

Видео

Мастер Реальные навыки работы с Python с неограниченным доступом к настоящему Python

Присоединяйтесь к нам и получите доступ к сотням учебных пособий, практических видеокурсов и сообществу экспертов Python:

Повысьте свои навыки работы с Python »

Мастер Реальные навыки Python
С неограниченным доступом к настоящему Python

Присоединяйтесь к нам и получите доступ к сотням учебных пособий, практических видеокурсов и сообществу экспертов Python:

Повысьте свои навыки работы с Python »

Все, что вам нужно знать о создании удобного входа в систему

Лучшим способом входа в систему может быть тот, которого вы совсем не замечаете!

Проектирование потока входа в систему — ключевая часть многих проектов UX (User Experience).Вот что вам нужно знать о передовых методах входа в систему, в том числе о доступности и безопасности.

Хотя такие инновации, как Touch ID и Face ID меняют способы входа в наши сервисы, они далеки от того, чтобы стать повсеместными на разных устройствах и платформах. Экраны входа в систему — невероятно повсеместная часть нашего цифрового опыта ━ пользователи самостоятельно регистрируют аутентификацию 15 раз в среднем за рабочий день. Хорошо продуманные формы входа в систему по-прежнему будут важной частью роли дизайнера UX.

Будущее входа в систему одним нажатием уже наступило, но оно распределено неравномерно. Изображение предоставлено @lukew.

Формы входа в систему настолько обычны, что их легко создать. Несмотря на значительную стандартизацию пользовательского интерфейса входа в систему, на удивление много возможностей для улучшения многих из этих возможностей. Вот самые важные соображения:

Элементы экрана входа в систему

Экран входа в систему Kit and Ace содержит все основные знакомые элементы: поле адреса электронной почты, поле пароля, ссылку на забытый пароль и кнопку входа.

В Интернете и на мобильных устройствах существуют ключевые базовые элементы, которые необходимы для того, чтобы экран входа в систему был эффективным. Это:

• Поле имени пользователя / электронной почты.
• Поле пароля.
• Ссылка на забытый пароль.
• Кнопка входа.

Наряду с этим могут быть добавлены некоторые дополнительные элементы, в том числе:

• Показать вариант пароля.
• Оставить меня в системе опция.
• Возможность входа в социальные сети / другие учетные записи.

Будут включены эти элементы или нет, будет зависеть от контекста ━ например, поддерживает ли служба вход через учетные записи социальных сетей.

Общие передовые практики

Крайне маловероятно, что успешный вход в свою учетную запись будет основной задачей ваших пользователей. Люди надеются опубликовать обновление, получить доступ к персонализированному контенту, совершить покупку или, возможно, прочитать свою электронную почту. Вход в систему — это средство для достижения цели, поскольку пользователь часто пытается выполнить подзадачу в рамках более широкой цели.

Имея это в виду, крайне важно сделать вход в систему плавным и легким. Дополнительные препятствия на пути к задаче ваших пользователей увеличивают риск отказа от их задачи, что является плохой новостью для вашего цифрового опыта. Например, одно исследование UIE (Разработка пользовательского интерфейса) онлайн-ритейлера показало, что 75 процентов покупателей электронной коммерции не завершили свою покупку после того, как запросили свой пароль.

Вот что нужно учитывать при проектировании:

• Позвольте людям исследовать и понимать функциональность и содержание интерфейса, не требуя от них входа в систему.Нильсен Норман много писал о разочаровании, которое стены входа в систему создают для пользователей, и о том, как они нарушают принцип взаимности. Для сайтов электронной коммерции разрешение гостевой оплаты имеет решающее значение для предотвращения отказа от корзины.
• Четко отделите функцию входа от функции создания учетной записи или регистрации. Во многих случаях они до сих пор не различаются должным образом, из-за чего пользователи пытаются войти в систему через регистрационную форму или наоборот. Они должны визуально отличаться друг от друга и использовать четко дифференцированный язык, например «войти» и «зарегистрироваться», а не «войти» и «зарегистрироваться».
• Показывать поля формы входа сразу на сайте, а не скрывать их за кнопкой или на отдельной странице. Отсутствие отображения полей добавляет пользователям дополнительный шаг.

Vimeo скрывает поля формы входа в модальном окне, которое появляется, когда вы нажимаете опцию «Войти» вверху страницы.

Сравните это с Facebook, где поля формы входа всегда отображаются вверху их домашней страницы.

Создание доступного входа в систему

Учет доступности при разработке экрана входа в систему сделает взаимодействие с пользователем лучше для всех и гарантирует, что ни одна группа пользователей не будет исключена из доступа к приложению или веб-сайту.Согласно данным Центров по контролю и профилактике заболеваний за 2015 год, двадцать два процента взрослого населения США имеют какой-либо тип инвалидности. Зрительные, когнитивные и двигательные нарушения могут повлиять на то, как кто-то воспринимает веб-сайт или приложение, например, если кто-то страдает дальтонизмом или использует взаимодействие только с клавиатурой.

Вот несколько простых способов учета доступности:

• Убедитесь, что размер полей формы и сенсорных объектов, таких как кнопка входа, соответствует размеру.Рекомендации WCAG 2.0 рекомендуют минимальное касание, размер объекта 9 мм на 9 мм, с дополнительным окружающим неактивным пространством.
• Соответствующий цветовой контраст — важная часть визуальной доступности. Протестируйте дизайн с помощью такого приложения, как Color Contrast Analyzer, и встроенных инструментов Photoshop.
• Указание порядка взаимодействий с клавиатурой во время работы над пользовательским интерфейсом может гарантировать, что они не будут забыты во время разработки. Как только будет создана живая сборка, тестирование страницы входа с использованием только клавиатуры гарантирует, что опыт пользователей, полагающихся на взаимодействие с клавиатурой, будет учтен.

Photoshop имеет встроенные инструменты, которые покажут вам, как выглядит дизайн для людей с дальтонизмом типа протанопии или дейтеранопии ━ отличный способ проверить дизайн на визуальную доступность.

Поиск баланса между безопасностью и удобством использования

В пользовательском интерфейсе входа в систему существует фундаментальное противоречие между безопасностью и удобством использования. Учетные записи и логины, защищенные паролем, существуют для сохранения конфиденциальности информации, связанной с вашей уникальной личностью.Например, проблемы со входом в систему, такие как забытие пароля, — очень распространенное и очень неприятное явление, возникающее из-за этого напряжения.

Подходы к работе с этой проблемой включают:

• Если возможно, рассмотрите вариант «показать пароль» с настройкой по умолчанию для маскировки пароля. Это может повысить уверенность пользователей в том, что они не ошибаются при вводе пароля, особенно на мобильных устройствах. Однако этот вариант может быть небезопасным для пользователей в определенных контекстах, например, в банковских приложениях.
• Используйте специальные сообщения об ошибках, которые позволяют пользователям узнать, неверно ли имя пользователя или пароль. Хотя некоторые утверждают, что это небезопасная передовая практика, контраргументом является то, что регистрационные формы могут использоваться, чтобы выяснить, в каких электронных письмах зарегистрированы учетные записи.
• Подумайте о том, чтобы предложить варианты входа в систему с других сайтов, например, социальных сетей. Хотя некоторые люди не захотят использовать эту опцию, другие захотят уменьшить количество учетных записей и паролей, которые нужно запомнить.

MailChimp предлагает переключение отображения / скрытия пароля, которым могут управлять пользователи.

Войдите в систему и приступайте!

Экраны входа в систему — фундаментальная часть взаимодействия с пользователем, и лучшие из них настолько быстрые и безболезненные, что мы их почти не замечаем.