Попытки аутентификации заканчиваются неудачей из-за того, что пользователь забыл пароль или логин (адрес электронной почты). Большинство веб-сайтов не говорят пользователю, что конкретно он вводит неправильно. Вместо этого человек видит фразу «Неправильный логин или пароль».
Понятно, что такие меры вводили для защиты. Если злоумышленнику сказать, что почтовый адрес неправильный, то он попробует другой. Если сказать, что адрес правильный, то он начнёт перебирать пароли.
По мнению разработчика и специалиста по юзабилити Кевина Бурка, это крайне глупый подход. Подразумевается, что злоумышленнику не дают узнать, зарегистрирован ли конкретный адрес электронной почты в системе. Но узнать это можно совершенно элементарно, попытавшись создать новую учётную запись с таким же адресом. Если адрес зарегистрирован, то система скажет, что он занят.
Так зачем же эти глупые меры безопасности, справедливо вопрошает Кевин?
Как специалист по юзабилити он знает, что такая псевдозащита создаёт лишние проблемы для обычных пользователей, которые действительно не могут вспомнить, под каким адресом они регистрировались и сомневаются, правильно ли вводят пароль. Если человек очень редко заходит на сайт, то он действительно может забыть, под каким логином регистрировался. Так почему бы прямо не сказать ему, что пароль введён правильно, а имя пользователя — нет?
В качестве меры для защиты от злоумышленников Кевин Бурк рассматривает такой вариант: при попытке регистрации с адресом электронной почты не говорить, что адрес занят, а высылать ссылку для завершения регистрации на этот адрес электронной почты. Но с точки зрения UX это не самый лучший способ. Эффективными мерами были бы задержка между попытками аутентификации (против брутфорса), разъяснение пользователям необходимости использовать надёжные пароли, интеграция с парольными менеджерами и двухфакторная аутентификация.