web-dev-qa-db-fra.com

Y a-t-il des études d'utilisabilité sur les indicateurs de résistance des mots de passe?

J'ai mis en place un compteur de force de mot de passe pour un formulaire d'inscription, et dans l'ensemble, cela fonctionne très bien. Il se connecte à notre base de données pour les "règles" (nombre de caractères requis, mélange de lettres et de chiffres, etc.) et utilise ces informations pour afficher un compteur en direct qui indique à l'utilisateur la force de son mot de passe. Le compteur utilise une échelle codée par couleur en 5 étapes: "faible" (rouge), "faible" (orange), "moyen" (orange plus clair), "fort" (jaune), "très fort" (vert).

Ce qui m'intéresse, c'est ceci: peu importe ce que vous tapez, le compteur affiche immédiatement "faible" (rouge) car vous n'avez pas encore tapé le nombre minimum de caractères. Est-il possible que cela ait un effet négatif sur la conversion? C'est presque comme être coupable jusqu'à ce que son innocence soit prouvée - on vous dit tout de suite que votre mot de passe n'est pas satisfaisant avant même que vous ayez la chance de finir de le taper.

7
daGUY

Pas une étude d'utilisabilité - mais une suggestion de toute façon:

Vous pouvez indiquer à vos utilisateurs qu'au moins 'n' caractères sont requis (bien que je sois contre l'idée de limiter les charges de prérequis aux utilisateurs en général), puis de ne pas réellement calculer/afficher la force du mot de passe à moins que l'utilisateur n'ait entré au moins autant de personnages.

Si 'n' n'est pas grand, (12 serait trop grand, mais 6 devrait être ok comme une longueur minimum) et la plupart des mots de passe atteindront ou dépasseront généralement 'n' alors cela devrait fonctionner ok - mais comme toujours - testez avec de vrais utilisateurs.

De cette façon, les gens pourraient ajouter quelques chiffres ou caractères différents pour prendre le mot de passe jusqu'à une longueur de 8 ou 10 disons, dans le but d'atteindre une force plus élevée, ce qui est généralement ce qui se passe dans ce scénario de toute façon.

Éditer:

Voici un bon exemple de Lulu.com, où le message initial pour la force du mot de passe ne concerne pas la force du mot de passe, mais une indication grisée, mais visible qu'il est actuellement trop court - une fois que vous avez dépassé la condition `` trop courte '' (6 caractères dans ce cas) - vous pouvez alors indiquer la force. La longueur minimale requise s'affiche.

enter image description here

enter image description here

enter image description here

7
Roger Attrill

Ce ne sont pas des études d'utilisabilité en soi, mais discutent de la façon dont les gens utilisent réellement les mots de passe et de leurs implications sur la charge cognitive des utilisateurs. Ils sont tous co-écrits par Cormac Herley, qui est chercheur principal chez Microsoft Research.

Est-ce que des mots de passe Web forts permettent d'accomplir quelque chose?

Nous constatons que des mots de passe relativement faibles, environ 20 bits environ, sont suffisants pour rendre irréalistes les attaques par force brute sur un seul compte tant qu'une règle de type "trois coups" est en place.

ne étude à grande échelle des habitudes de mot de passe Web

L'étude a impliqué un demi-million d'utilisateurs sur une période de trois mois.

7
dreww

Vous jugez un peu trop tôt le mot de passe de l'utilisateur. De plus, un mot de passe qui ne répond pas à vos exigences de mot de passe minimum n'est pas "faible", il n'est pas valide, le message devrait l'indiquer. Si je suis d'accord avec un mot de passe faible et que le formulaire me dit que le mot de passe est "faible" mais pas "invalide", je pourrais simplement cliquer sur OK et essayer de continuer.

N'appelez pas un mot de passe invalide "faible", affichez quelque chose comme "7 caractères supplémentaires" ou "8 caractères requis" jusqu'à ce qu'ils atteignent la force minimale, vous pouvez alors commencer à afficher les messages de force du mot de passe.

En ce qui concerne "Coupable jusqu'à preuve du contraire", il est préférable de continuer à juger le mot de passe qu'ils tapent pendant qu'ils le tapent, malgré cette situation. Imaginez à quel point ce serait ennuyeux si le mot de passe n'était vérifié qu'après avoir cliqué sur le champ du mot de passe; Je ne saurais pas si mon mot de passe était bon ou pas avant qu'il ne soit trop tard! Frustration!

3
Ben Brocka

Les mots de passe ont généralement des règles. Le besoin de l'utilisateur de savoir quelles règles n'ont pas encore été respectées, et non si le mot de passe est fort/faible. Alors, pourquoi ne pas leur montrer que 4 des 6 règles de mot de passe sont remplies et montrer celles qui ne sont pas encore remplies.

1
A'n' user