it-swarm.com.de

Gibt es Usability-Studien zu Kennwortstärkemessgeräten?

Ich habe ein Kennwortstärkemessgerät für ein Anmeldeformular zusammengestellt, und insgesamt funktioniert es sehr gut. Es wird in unsere Datenbank für die "Regeln" (Anzahl der erforderlichen Zeichen, Mischung aus Buchstaben und Zahlen usw.) eingebunden und verwendet diese Informationen, um eine Live-Anzeige anzuzeigen, die dem Benutzer mitteilt, wie sicher sein Kennwort ist. Das Messgerät verwendet eine 5-stufige farbcodierte Skala: "schwach" (rot), "niedrig" (orange), "mittel" (heller orange), "stark" (gelb), "sehr stark" (grün).

Was mich interessiert, ist Folgendes: Unabhängig von Ihrer Eingabe zeigt das Messgerät sofort "schwach" (rot) an, da Sie noch nicht die Mindestanzahl von Zeichen eingegeben haben. Ist es möglich, dass sich dies negativ auf die Conversion auswirkt? Es ist fast so, als wäre man schuldig, bis seine Unschuld bewiesen ist - man sagt sofort, dass sein Passwort unbefriedigend ist, bevor Sie überhaupt die Möglichkeit haben, es vollständig zu tippen.

7
daGUY

Keine Usability-Studie - aber trotzdem ein Vorschlag:

Sie könnten Ihren Benutzern anzeigen, dass mindestens 'n' Zeichen erforderlich sind (obwohl ich gegen die Idee bin, den Benutzern im Allgemeinen eine Menge Voraussetzungen aufzuerlegen), und dann die Kennwortstärke nur dann tatsächlich berechnen/anzeigen, wenn der Benutzer mindestens eingegeben hat so viele Zeichen.

Wenn 'n' nicht groß ist (12 wäre zu groß, aber 6 sollte als Minimum Länge in Ordnung sein) und die meisten Passwörter normalerweise 'n' erreichen oder überschreiten, sollte es in Ordnung sein - aber wie immer - testen Sie mit echten Benutzern.

Auf diese Weise können Benutzer einige weitere verschiedene Ziffern oder Zeichen hinzufügen, um das Kennwort auf eine Länge von beispielsweise 8 oder 10 zu bringen, um eine höhere Stärke zu erreichen, was in diesem Szenario normalerweise ohnehin der Fall ist.

Bearbeiten:

Hier ist ein gutes Beispiel von Lulu.com, bei dem es bei der ersten Meldung zur Kennwortstärke nicht um die Stärke des Kennworts geht, sondern um einen abgeblendeten, aber sichtbaren Hinweis darauf, dass es derzeit zu kurz ist - sobald Sie die Voraussetzung "zu kurz" überschritten haben (In diesem Fall 6 Zeichen) - dann können Sie die Stärke angeben. Die minimal erforderliche Länge wird angezeigt.

enter image description here

enter image description here

enter image description here

7
Roger Attrill

Hierbei handelt es sich nicht um Usability-Studien an sich, sondern um die Art und Weise, wie Benutzer Passwörter tatsächlich verwenden, und ihre Auswirkungen auf die kognitive Belastung der Benutzer. Sie werden alle von Cormac Herley, einem Principal Researcher bei Microsoft Research, gemeinsam verfasst.

Erreichen starke Webkennwörter etwas?

Wir finden, dass relativ schwache Passwörter, etwa 20 Bit, ausreichen, um Brute-Force-Angriffe auf ein einzelnes Konto unrealistisch zu machen, solange eine Regel vom Typ "Drei Treffer" vorhanden ist.

Eine groß angelegte Studie über Web-Passwort-Gewohnheiten

An der Studie nahmen über einen Zeitraum von drei Monaten eine halbe Million Benutzer teil.

7
dreww

Sie beurteilen das Passwort des Benutzers etwas zu früh. Außerdem ist ein Passwort, das nicht Ihren Mindestkennwortanforderungen entspricht, nicht "schwach", sondern ungültig. Die Nachricht sollte dies anzeigen. Wenn ich mit einem schwachen Passwort einverstanden bin und das Formular mir sagt, dass das Passwort "schwach", aber nicht "ungültig" ist, kann ich einfach auf "OK" klicken und versuchen, fortzufahren.

Nennen Sie ein ungültiges Passwort nicht "schwach", sondern zeigen Sie etwas mit dem Effekt "7 weitere Zeichen" oder "8 Zeichen erforderlich" an, bis die Mindeststärke erreicht ist. Anschließend können Sie die Meldungen zur Passwortstärke anzeigen.

In Bezug auf "Schuldig bis nachweislich unschuldig" ist es trotz dieser Situation am besten, das eingegebene Passwort während der Eingabe weiter zu beurteilen. Stellen Sie sich vor, wie ärgerlich es wäre, wenn das Passwort erst überprüft würde, nachdem ich aus dem Passwortfeld geklickt habe. Ich würde nicht wissen, ob mein Passwort gut war oder nicht, bis es zu spät ist! Frustration!

3
Ben Brocka

Passwörter haben im Allgemeinen Regeln. Der Benutzer muss wissen, welche Regeln noch nicht erfüllt wurden und nicht, ob das Passwort stark/schwach ist. Zeigen Sie ihnen also, dass 4 von 6 Passwortregeln erfüllt sind, und zeigen Sie die Regeln an, die noch nicht erfüllt sind.

1
A'n' user