为什么在账号发生错误时,往往是提醒“用户名或密码错误”而不提醒“账号不存在”呢?在登录过程中出现的账号或者密码错误该如何正确引导呢?

用户名密码安全策略(登录过程中账号)(1)

开胃菜

账号发生错误时,为何不提醒“账号不存在”,而是提醒“用户名或密码错误”?

密码错误时会有哪几个点影响用户体验?

  1. 输入前预防错误
  2. 输入后错误类型提醒:醒目,预测下一步操作
  3. 忘记密码:多次输入错误应为忘记密码,需要明确找回密码/其他登录方式引导

案例

滴滴出行

  1. 输入前预防:已输入密码位数小于6,登录按钮不可操作;密码默认密文,点击小眼睛可查看(可能操作)
  2. 输入后错误类型提醒:账号和密码输入分开,故不存在账号错误(账号错误会默认注册)“手机号或密码错误”提醒一直显示并红色强调;同时清空密码(下一步操作)
  3. 忘记密码:输入错误2次后,自动跳转验证码登录

用户名密码安全策略(登录过程中账号)(2)

知乎

  1. 输入前预防:密码输入默认明文,点击小眼睛可隐藏
  2. 输入后错误类型提醒:账号或密码错误均提示“输入6-128位密码”,2s后消失;密码默认明文,可看到已输入内容;
  3. 多次输入错误,重复1、2

用户名密码安全策略(登录过程中账号)(3)

QQ

  1. 输入前预防:密码默认密文,点击小眼睛可查看
  2. 输入后错误类型提醒:账号或密码错误均弹窗提醒“账号或密码错误,请重新输入”
  3. 多次输入错误,重复1、2

用户名密码安全策略(登录过程中账号)(4)

新浪

  1. 输入前预防:无
  2. 输入后错误类型提醒:账号或密码错误均提示“账号或密码错误,请重新输入”并一直显示、红色强调
  3. 第二次输入错误则弹窗提醒“登录失败,是否找回密码?”可找回密码或取消

用户名密码安全策略(登录过程中账号)(5)

用户名密码安全策略(登录过程中账号)(6)

微信

  1. 输入前预防:输入时屏蔽最先输入的字符,显示刚刚输入的字符
  2. 输入后错误类型提醒:账号已知、密码错误则弹窗“账号或密码错误,请重新填写” ;账号未知情况下弹窗提示告知帐号密码组合规则
  3. 第二次输入错误则弹窗提醒“ 密码错误,找回或重置密码?”可找回密码或取消

用户名密码安全策略(登录过程中账号)(7)

用户名密码安全策略(登录过程中账号)(8)

用户名密码安全策略(登录过程中账号)(9)

用户名密码安全策略(登录过程中账号)(10)

印象笔记

  1. 输入前预防:密码密文输入点击小眼睛可查看;已输入密码位数不足弹窗提醒;
  2. 输入后错误类型提醒:默认帐号分开验证,但有切换入口,分别告知密码错误或帐号错误,提供下一步的可能操作
  3. 多次错误同2

用户名密码安全策略(登录过程中账号)(11)

用户名密码安全策略(登录过程中账号)(12)

回到问题

Q:账号发生错误时,为何不提醒“账号不存在”等类似文案,而是提醒同密码错误同理“用户名或密码错误”?

A:以上软件除了印象笔记有区分错误类型外,其他软件均无区分。网上搜集原因如下:

之前看过一篇文章,专门讨论怎样优化登录功能的用户体验。文章里提到,最佳的提示方式是清楚地告诉用户到底是用户名错了,还是密码错了,从而引导用户去修改。这种提示方式固然是将用户体验做的很好,但这其中却隐藏了安全隐患:如果盗用账号密码,岂不是成功率更高了?比如知道帐号正确的情况下,可暴力破解密码。

个人觉得,安全信息还是非常重要的,就算你的产品用户数很少,但万一被网络破解捎带了,首先失去的用户的信任。所以安全妥协于体验。(初期体验优于安全,后期翻转的同样不适用,因为初期用户的习惯已经被培养起来了)

总结

A的操作路径为:软件显示密码错误–>查看已输入的密码–>错误则删除重新填写\正确则尝试别的密码—>2次错误则继续尝试或找回密码

B的操作路径为:软件显示密码错误—>直接删除重新输入—>3次错误则找回密码

取长补短,最终确定为:

输入前预防:输入时,屏蔽最先输入的字符,显示刚刚输入的字符(考虑错误率 安全性);已输入密码位数小于n则登录按钮不可操作;

输入错误时:红色一直显示“用户名或密码错误” (醒目,不用多此一举点击“确定”),并灰色斜体显示已输入的密码(防止被瞄到);

多次错误:第二次依旧错误,则弹窗提示 “登录失败,是否找回密码?”引导找回密码操作(预测下一步操作)

作者:乌龟会飞,爱健身爱吃火锅的产品小白,渴望能用做C端产品的心去做B端产品,在自圆其说和自我打压中持续人格分裂。

本文由 @乌龟会飞 原创发布于人人都是产品经理。未经许可,禁止转载。

题图来自PEXELS,基于CC0协议

,