Почти ежедневно я сталкиваюсь с необходимостью регистрации в разных сервисах. Некоторые из них хранят важные персональные данные, те же Госуслуги, клиент-банк или личный кабинет налогоплательщика. Но есть и такие, которые не знают обо мне ничего супер-важного. Максимум, собирают телефон и email, которые я итак не слишком-то скрываю. При этом, почти все сервисы просят невероятно сложный пароль:
- Не менее 6-8 символов
- Маленькие и заглавные буквы
- Числа и специальные символы
Знакомо? Оставлю тут пару соображений с точки зрения пользователя.
Не все сервисы одинаково важны
Одно дело встречать подобные требования к паролю на Госуслугах или в личном кабинете налогоплательщика. Совсем другое, когда меня заставляют изощряться там, где это не нужно. Например, когда я пытаюсь подключить бесплатную пробную подписку какого-то информационного или обучающего ресурса.
Как и большинство пользователей, я не собираюсь возвращаться на ресурс после окончания пробного периода (средняя конверсия из триала в платную подписку всего 35%).
Так зачем же заставлять пользователя сразу придумывать сложный пароль? Когда можно предусмотреть другой сценарий: предлагать пользователю усложнить пароль или подключить двухфакторную аутентификацию только тогда, когда в сервисе появляются персданные или данные об оплате.
А если сервис в целом не заточен на сбор и хранение таких данных, не стоит усложнять клиентский путь по привычке или потому что «все так делают, мы чем хуже». Всё должно быть обоснованным.
Кстати, с точки зрения безопасности, использование цифр и специальных символов (@#=?\) обосновано. Но мы всё дальше уходим от десктопа в сторону мобильных устройств. А вот набрать сложный пароль на телефоне – это уже ежедневная трата драгоценных секунд и минут. Просто представьте пользователя, который вынужден сидеть и переключать клавиатуру туда-сюда.
Чем сложнее, тем легче
Не секрет, что чем сложнее пароль, тем легче его забыть. Чтобы упростить себе жизнь, пользователь точно пойдёт одним из этих путей (других я просто не знаю):
1) Если не сильно бдит за безопасность – будет придумывать простые пароли.
2) Если бдит чуть сильнее – придумает надёжный пароль, но будет использовать его везде. Что, как известно, не сильно лучше первого варианта.
3) Если бдит хорошо – создаст систему генерации паролей для каждого ресурса. Пример такой системы неплохо описан в этой статье.
Получается следующая картина: я среднестатистический пользователь, не сильно бдящий за безопасность (а таких большинство). Чем больше с меня требуют сложные пароли, с цифрами и спецсимволами, тем чаще я буду упрощать их или использовать везде один и тот же.
Забавный парадокс.
Самое главное не ставить один и тот же пароль на все,но это очень тяжело сделать