Les gens s'attendent-ils à taper leurs mots de passe?
Je m'attends à ce que les gens doivent taper des mots de passe assez régulièrement. Parfois, si vous ne l'avez pas tapé depuis un moment mais que vous vous retrouvez confronté à une invite de connexion, vous pensez vous souvenir du mot de passe, le saisir et voir ce qui se passe. Si vous recevez une invite d'erreur ("mot de passe incorrect" ou message similaire), vous devez soit taper à nouveau le même mot de passe (vous pensez que vous devez avoir fait une faute de frappe), soit essayer l'un de vos autres mots de passe (en supposant que les gens ont une série d'anciens et de nouveaux mots de passe qu'ils utilisent de jour en jour). Dans ce scénario, être confronté à un message d'erreur n'est pas rare - il vous suffit de passer au mot de passe suivant ou de retaper votre mot de passe.
J'ai récemment remarqué qu'un détaillant/fournisseur de services en ligne retourne TOUJOURS un "mot de passe incorrect" si c'est la première fois que vous vous connectez à l'aide d'une nouvelle application/navigateur/appareil, même si vous avez correctement tapé le mot de passe lors de la tentative de connexion d'origine. . Je soupçonne qu'ils le font pour contrecarrer les attaques automatisées par mot de passe. Même si le mot de passe de l'utilisateur a été compromis, l'attaquant (automatisé) est moins susceptible de l'essayer deux fois - pensant plutôt que l'utilisateur a depuis changé son mot de passe et que ce mot de passe n'est plus valide.
Je n'ai commencé que récemment à utiliser un gestionnaire de mots de passe, et pour la première fois, j'ai pu confirmer que ce fournisseur de services le fait (étant donné que le gestionnaire de mots de passe est garanti d'avoir entré le mot de passe correct). Il suffit de saisir à nouveau le mot de passe (demander au gestionnaire de mots de passe de le remplir à nouveau), ainsi que de résoudre un casse-tête captcha (désormais supplémentaire), ce qui vous a permis d'accéder.
Donc, ma question: les gens s'attendent-ils à taper leurs mots de passe? Quelqu'un a-t-il effectué des études à cet égard? Est-ce que (échec/erreurs) fait tellement partie de l'expérience d'authentification que de l'exploiter pour contrecarrer l'automatisation attaques par mot de passe "acceptables"?
Je soupçonne que la raison pour laquelle le fournisseur "s'en tire" est que le mot de passe est (éventuellement) stocké par l'application/le navigateur local, de sorte que les tentatives de connexion ultérieures à partir de la même machine/du même appareil ne déclenchent pas ce comportement. Le pire des cas (du point de vue de l'utilisateur) est que vous étiez sûr d'avoir tapé correctement le mot de passe la première fois, puis de ne plus le taper (peut-être essayez-vous une variante à la place) et finissez par réinitialiser votre mot de passe. Le compte n'est jamais compromis, mais les gens réinitialisent simplement leurs mots de passe souvent. La partie étrange est qu'ils se blâment de se tromper en premier lieu, alors ne dirigez aucune négativité vers le fournisseur de services.
Je n'ai jamais rien vu de tel de la part d'autres sites/fournisseurs de services auparavant, mais j'ai pu reproduire les résultats avec l'aide de certains amis qui utilisent le même service.
Pour être clair, je sais qu'il existe de meilleures façons de gérer le processus d'authentification. Ma question concerne l'attente de l'utilisateur et l'attitude des gens à faire des fautes de frappe dans leurs mots de passe.
EDIT: Cela indique également la confiance implicite des utilisateurs dans les systèmes. Si un système dit que le mot de passe est incorrect, il doit "dire la vérité", n'est-ce pas? Les systèmes ne "mentent" jamais sur les mots de passe. Je trouve juste très intéressant que les gens pensent de cette façon. Je n'ai jamais pensé différemment, jusqu'à ce que je remarque qu'il est exploité par ce fournisseur de services (avec des millions d'utilisateurs dans le monde).
EDIT 2: Je suis d'accord que ce n'est pas "normal" de faire cela, mais la question n'est pas de savoir si c'est bien ou mal, mais plutôt ce que les gens s'attendent à ce qu'il se passe aux invites de mot de passe. mots de passe? Et si c'est souvent, s'attendent-ils à ce que cela se produise? Et s'ils s'attendent à ce que cela se produise, alors ce n'est peut-être pas une si mauvaise idée de tirer parti de cette faille dans l'attente des utilisateurs pour résoudre un autre problème. Mais d'abord, comment les utilisateurs perçoivent leur capacité de saisie de mot de passe? Comment le savez-vous?
Ce n'est pas que les gens s'attendent à à taper leur mot de passe, mais plutôt qu'ils sachent qu'ils ne sont pas des dactylographes parfaits et qu'ils savent donc qu'ils occasionnellement vont taper leur mot de passe. Je tape 140+ wpm et je fais des fautes de frappe quand je peux voir ce que je tape; Je fais certainement des fautes de frappe sur mes mots de passe que je ne vois pas aussi bien.
J'ai fait beaucoup de recherches d'utilisateurs sur l'authentification. D'après mon expérience, à peu près indépendamment du niveau d'expérience de l'utilisateur, il y a généralement deux chemins que les utilisateurs empruntent lorsqu'ils reçoivent un message d'erreur de mot de passe:
- Je dois avoir fait une faute de frappe, je ressaisirai le mot de passe. Cela est plus susceptible de se produire sur les systèmes auxquels ils se connectent fréquemment lorsqu'ils sont certains de connaître le nom d'utilisateur/mot de passe.
- Je ne sais pas quel nom d'utilisateur/mot de passe j'ai utilisé, je vais essayer un autre nom d'utilisateur/mot de passe. Cela est plus susceptible de se produire sur des systèmes auxquels ils ne se connectent pas fréquemment.
Le deuxième point a quelques variantes étroitement liées qui ne sont pas rares:
- Je viens de rentrer de vacances et je ne me souviens plus de mon mot de passe. Demandez à toute personne travaillant dans le domaine informatique de la hausse des demandes de réinitialisation de mot de passe qu'elle reçoit le lundi matin ou après les vacances courantes.
- Je viens de réinitialiser mon mot de passe et je l'ai accidentellement oublié. Quiconque travaille dans l'informatique peut également vous dire à quelle fréquence il reçoit plusieurs demandes consécutives pour changer le mot de passe d'un utilisateur.
Il existe de nombreuses raisons associées à une simple erreur humaine pour lesquelles les gens se trompent de nom d'utilisateur/mot de passe. Notez que j'inclus les deux moitiés de cette équation ici, car les utilisateurs peuvent se tromper. De nombreux systèmes ne précisent pas si l'erreur se trouve dans le nom d'utilisateur ou le mot de passe, pour des raisons de sécurité. Pour la plupart, les utilisateurs ne sont pas ennuyés par cela s'il s'agit d'une seule erreur. Ils saisiront à nouveau leur nom d'utilisateur/mot de passe, les corrigeront et continueront. Ils ne s'énervent généralement que si cela prend beaucoup de temps.
Je ne suis pas sûr d'avoir compris votre question. Cela semble se produire pour une application particulière qui, pour une raison quelconque, échoue toujours la première connexion, même si vous avez fourni les informations d'identification correctes.
Pourquoi font-ils cela? Je ne pense pas que cela augmente la sécurité en aucune façon, donc je soupçonne que cela pourrait être un bug. Ils s'attendent probablement à ce que certains cookies aient une valeur définie, et lors de votre première visite, ce cookie n'est pas défini.
Quoi qu'il en soit, je ne pense pas que quiconque le ferait exprès, d'autant plus que cela augmente le nombre d'étapes nécessaires pour se connecter et pourrait réduire les conversions. Vous voulez que vos processus de connexion et de connexion aient le minimum de friction, afin que les utilisateurs puissent accéder à ce qu'ils veulent sans avoir à lutter pour y arriver.
Pour répondre à la question: "Les gens s'attendent-ils à taper leur mot de passe?" La réponse est non! Attendre de votre utilisateur qu'il ne se souvienne pas de son propre mot de passe est dégradant. Traiter sévèrement votre utilisateur uniquement pour couvrir son incapacité à comprendre les bonnes pratiques de sécurité n'est pas le bon choix.
Oui, certaines personnes oublieront. Ce qui est beaucoup plus probable, c'est que la plupart des gens connaîtront fatigue des mots de passe et saisiront d'abord l'un de leurs dizaines d'autres mots de passe. Des méthodes doivent exister pour fournir de l'AIDE à ces utilisateurs, et non pour les faire jouer à des jeux.
Verrouiller un utilisateur après seulement trois tentatives est également un mauvais choix. Comme vous le mentionnez, votre deuxième tentative consiste généralement à retaper le même mot de passe. Si vous n'avez qu'une seule chance de plus qui n'est pas conviviale. Avoir une limite de tentatives est une méthode raisonnable pour empêcher les attaques de bots. Mais encore une fois, je dirai que mal traiter votre utilisateur n'est pas une excuse pour des pratiques de sécurité hostiles.
Sur la base de mon expérience avec différentes applications, en ligne et hors ligne, je dirais que les gens ne s'attendent pas seulement à taper leurs mots de passe, nous y sommes habitués et nous le savons. Je vais t'expliquer.
Certains points ont déjà été présentés, très clairement, comme oublier clairement l'utilisateur/mot de passe, et c'est probablement le scénario le plus courant, basé sur des statistiques sur la sécurité de nos mots de passe. Quelle est la relation, eh bien, de plus en plus de systèmes changent, obligeant l'utilisateur à avoir telle ou telle combinaison dans le champ du mot de passe, mais tous ne s'entendent pas sur les caractères, la longueur minimale, la longueur maximale, le caractère de départ, etc., donc beaucoup des personnes ont de légères variations du même mot de passe, mais, lequel était celui utilisé sur ce site particulier?
D'autres personnes ne tapent pas très bien et font des erreurs plus souvent, ce groupe est habitué à faire des erreurs, il va donc essayer à nouveau la même combinaison mais en faisant plus attention et en tapant plus lentement que la première fois.
De plus, il n'est presque pas nécessaire de vraiment se souvenir de tous les mots de passe, si vous en utilisez différents, car vous avez un mot de passe de réinitialisation/rappel sur presque tous les sites. Donc, si vous essayez d'utiliser un site que vous n'avez pas utilisé depuis longtemps et que vous échouez au mot de passe, vous pouvez presque immédiatement demander qu'il soit réinitialisé/envoyé à votre courrier. Oui, cela prend deux ou trois minutes, mais c'est un processus connu et il garantit que vous allez pouvoir utiliser le site/l'application.
Certainement, ce à quoi vous ne vous attendez jamais, c'est qu'un système de validation vous ment de manière flagrante, donc s'il dit que vous avez fait une erreur, vous supposez que vous avez fait une erreur, ou à tout le moins, qu'il y a eu un problème technique et le mot de passe reçu par le système était en quelque sorte mal.
Il y a des années, quand il n'y avait pas d'Internet, et que vous deviez vous connecter localement ou sur un réseau interne, tout le monde essayait de se souvenir, en quelque sorte, de leurs mots de passe, sinon, vous ne pourriez pas utiliser le programme ou vous devrez faire face à un technicien vous rappelant au moins d'écrire le mot de passe pour ne pas avoir à les appeler tous les lundis matin.
Donc, finalement, je dirais que personne, à première vue, ne s'attend à oublier le mot de passe/utilisateur, mais en interne, la plupart des gens savent que cela se produit et vivent avec.
Un bon design est honnête.
Ce comportement présente un certain nombre de risques pour la perte de temps d'un utilisateur et il existe de meilleures façons de contrecarrer les attaques automatisées. Pire encore, un utilisateur averti SAURAIT que le mot de passe tapé était correct, donc l'alarme leur donnera un faux positif leur indiquant que leur compte a été compromis alors qu'en fait il ne l'a pas été. Il y avait également le risque qu'un utilisateur novice passe en revue chaque mot de passe, car le mot de passe correct était dit incorrect.