東東導讀：作者舉出幾個例子來說明顯示密碼卻不見得有助于安全,相反會帶來體驗不好,甚至錯失商機,作者引述幾個調查結果做出結論,說到密碼掩碼只是設計者的一廂情愿.另外還提到為什么Web和APP登錄體驗不同,以及在Web中保存密碼和自動填充的安全考慮設計,真的深入細節.

2012年我概述過為什么我們應該讓人們在登錄應用時能夠看到他們的密碼——尤其在移動設備上。如今兩年過后，大量的安裝啟用已經發布，我在這里給出一個摘要是關于為什么和怎樣顯示密碼以及之后會發生什么。

為什么顯示密碼

密碼一直充斥著可用性問題。因為過度復雜的安全需求（最小的字符數，一些標點符號，至少一名法國國王的生日（原文：the birthdate of at least one French king，我猜它想說的是安全問題））和難以使用的輸入欄，密碼登錄經常導致用戶沮喪和錯失商機。

周邊82%的人都會忘了他們的密碼。因此密碼恢復是對內聯網幫助臺的首要請求。如果人們在一個電商網站結賬時試圖恢復密碼，那么75%的人將不會完成他們的購買。換句話說，密碼是雙刃劍。而且這種情況在手機自身窄小的屏幕和不精確的手指操作上更糟糕。

密碼掩碼使復雜的輸入過程更加困難的同時卻無助于提高安全性-特別在手機上可見觸摸鍵盤直接放在每個輸入框下面，突出每個你按下的鍵。這些反饋顯示的密碼字符尺寸比大部分輸入字段都大。實際上，掩碼字符在那些偷窺的眼睛上并沒有真正隱藏密碼。如果你懷疑有偷聽者在注視你的屏幕，只要將你的手機移到他們的視線外。

隱藏/顯示密碼

所有這些原因等等，我們選擇把密碼以可讀文本顯示在Polar（線上民意調查服務Polar）的登錄屏幕上。一個簡單的隱藏功能顯示在密碼框右側，你可以在需要的情況下將密碼馬上轉換為一連串的????。

雖然我很有自信地在為了增加可用性和輕松訪問做著正確的事情，但我還在擔心用戶看到他們的密碼以明文顯示的方式時反映消極，盡管可以將它們掩蔽。畢竟這么多年來的登錄表單已經讓用戶習慣地覺得掩碼字段意味著安全字段。

因此每當我們聽說人們不僅使用可見的密碼啟動軟件并且成功登錄的時候，我會感到驚喜。Steven Hoober分享了他如何為20M　Sprint的顧客撤掉密碼掩蔽——沒有問題，有效度量。Mike Lee告訴我們雅虎如何默認顯示密碼會帶來雙位數（百分比）的改善（包括其他改變）而毫無安全問題。

很快我發現密碼掩碼僅是一個慣例而已。這種設計模式一直在我們身邊這么長時間但是沒人認真思考過這種模式的合理性。我們就只是走形式地在組合一個登錄框時默認增加密碼掩碼。錯失商機和可用性問題自然隨之而來。

設計解決方案

最近更多的公司已經開始帶著批判的眼光看待密碼掩碼問題，以及推出幾個不同的辦法來處理它。PayPal和Foursquare采取了類似我們在Polar使用的隱藏/顯示的文本交互方式。

LinkedIn、Adobe和Twitter選擇通過點擊一個張眼/閉眼的按鈕來讓人們顯示或隱藏密碼。雖然這類的視覺符號比起文本而言不夠直白，但是它可能帶來的好處就是避開不同語言下文本翻譯的字符長度問題（因為全世界的人都知道它表達什么意思）。

微軟在這方面的處理可能稱得上是最奇怪的實現。在Window8系統，你必須按下它們的眼睛按鈕才能看到你的密碼。一旦你移開指針，掩碼再次出現，你的密碼將不會可見。真是笨拙的做法。

Amazon已經在它們的登錄表單上反復迭代修改。他們的進展是：從不能看見你的密碼，到允許你通過一個明確的功能（點擊復選框）顯示密碼，再到默認顯示你的密碼，同時允許你點擊隱藏它。

雖然這些解決方案都有贊成者和反對者，但更重要的收獲是微軟、Adobe、Twitter、LinkedIn、PayPal、Amazon以及更多公司都意識到這個登錄屏幕上面的問題并且設計相應的方案。

細節是設計的靈魂

好吧，既然那么多公司開始讓人們在嘗試登錄過程中看見自己的密碼。那太好了，但這不一定意味著每家公司都應該去復制他們的接口。這里考慮是什么使我們起初選擇屏蔽密碼以及很可能涉及到更多有問題的設計“模式”，例如安全問題。

相反，值得我們去花時間的是研制正確的解決方案。特別是當你思考一個甚至細微的設計細節會引起很大的影響。舉個例子，大家可以看一下Jack Holmes的研究，它分析了撤掉密碼掩碼所帶來的影響。

在Jack的測試中，當密碼以明文的方式默認顯示在電商表單時，60%的調查對象表示會開始懷疑這個網站，只有45%的調查對象認為沒有掩蔽的密碼會帶來使用上的方便。相比之下，當增加一個簡單的復選框來提示可視密碼設為啟動時，100%的調查對象會注意到這個復選框，并且解讀明文密碼的功能。

從60%的懷疑率到100%認為一個復選框帶來的方便，細節真的是設計的靈魂?，F在沒有人在懷疑Amazon的登錄框有這樣一個復選框。

網絡VS本地

看了這些案例，很多公司現在讓人們登錄手機應用的時候看見自己的密碼。然而同樣的做法在網頁上很少發生。為什么同樣設備下，人們在原生應用登錄比在網頁瀏覽器上登錄更加輕松？

這再次歸結為安全問題。尤其是，如果：

1、你能夠拿到我的設備

2、并且解鎖它

3、如果你導航到一個網站

4、這個網站在瀏覽器上自動保存了我的密碼

5、然后網站允許你在登錄窗口看到我的密碼

6、現在你能看到我的密碼

網頁瀏覽器這種密碼保存和自動填充可視密碼的功能混在一起會引起安全問題。一種可以減免的辦法是當你發現瀏覽器填充密碼時隱藏密碼框。之后如果有人嘗試瀏覽，去掉密碼字符條目，強迫重新登錄。

遺憾的是實現這個解決方案所需的設計和開發工作開始大于潛在的好處。著手展望未來的密碼框能徹底減輕登錄問題更有意義。

超越密碼

Amazon在他們的手機登錄窗口沒有停過迭代改善。在他們最新的iOS迭代版本中，他們完全去除了輸入密碼的必要。登錄你的賬戶，只需要觸動你的蘋果手機的home鍵，用蘋果的Touch ID來鑒別你的指紋。

打車服務Uber則更進一步。不用注冊賬號，創建一個密碼，然后輸入你的付款信息就能預定和付款，你只需要把你的手機放在手機的Touch ID傳感器上。不需要表單和密碼。

雖然Touch ID是一種僅限于蘋果最新iOS設備的解決方案，設置一個新的登錄欄目來減少單點觸控的影響程度也是一種方法。給出選項，用戶將如何決定是登錄還是結賬？通過冗長復雜的的表單、費勁的密碼輸入要求和掩蔽？還是只需一次觸控。

從這個角度上看…未來的登錄表單和密碼框將會相當簡潔哦！

轉載于：互聯網早讀課