如果登陸時輸錯了用戶名(通常是信箱)或者密碼,大部分系統會彈出這麼一句話:Invalid Username or Password(無效的用戶名或密碼)。
系統不會告訴你究竟是哪一個輸錯了,因為他們是特意被設計成這樣的。
這樣做的原因,是出於安全性,如果有人惡意嘗試破解,試錯時具體告訴他們密碼錯了就意味著信箱是對的 (帳戶存在),無形中為他們排除了一個選項。
遺憾的是,這種設計顯然低估了人們的智商。
99.9% 的網站只允許一個信箱註冊一個帳號,所以如果你真的想知道某個帳號存不存在,只要試著用相同的信箱再註冊一遍就可以了,如果註冊失敗了,就說明用戶名是對的。
也就是說,「無效的用戶名或密碼」這句話的設計根本達不到預想的安全防禦目的。這樣的設計不僅沒有安全價值,更重要的是,它把普通用戶登入時的用戶體驗搞得很糟糕。
用戶登入輸錯用戶名或密碼導致系統報錯,這時系統如果不回給用戶一個準確的回饋信息,既不告訴你是用戶名出錯,還是密碼出錯,對用戶來說完全無益於改正輸入錯誤,是一個非常糟糕的體驗。
「無效的用戶名或密碼」根本不存在安全性的優點。
真正在安全性和用戶體驗之間做出的權衡設計應該是這樣的:你可以保留登入系統裡的「無效的用戶名或密碼」這種防試錯方式,但是當用戶嘗試用信箱註冊時,系統應該往郵箱裡發送一封可以直接完成剩餘註冊過程的郵件,這樣除了真正擁有該信箱的用戶,其他人都無法知道這個郵箱是否註冊過帳戶。
如今為了登入安全,越來越多的網站開始使用其他設計方法:比如使用動態條形碼技術的雙重驗證;與 LastPass 或者 1Password 等第三方密碼管理軟體的結合;與 iPhone 手機 Touch ID 的指紋識別技術結合;甚至是直接捨棄密碼的無密碼登入系統等。
但現在太多的網站還保留著「無效的用戶名或密碼」這種蹩腳的設計。
這其實是一個非常小的細節,但背後的設計邏輯是很有問題的。這反映出網站系統的設計就應該是要多方位配合的,像這種預防試錯的登入系統,如果沒有註冊系統的配合就是形同虛設,白白拉低用戶體驗而已。
