web-dev-qa-db-ja.com

人々は自分のパスワードを間違って入力することを期待していますか?

私は人々がかなり定期的にパスワードを入力しなければならないことを期待します。しばらく入力していないのにログインプロンプトが表示されてしまう場合は、パスワードを覚えていて、それを入力して、どうなるか見てください。エラープロンプト(「パスワードが正しくない」などのメッセージ)が表示された場合は、同じパスワードをもう一度入力するか(タイプミスがあったと思われます)、他のパスワードのいずれかを試します(一連の古いパスワードと日常的に使用する新しいパスワード)。このシナリオでは、エラーメッセージが表示されることは珍しくありません。次のパスワードに進むか、パスワードを再入力するだけです。

最近、オンラインの小売業者/サービスプロバイダーが、最初のログイン試行でパスワードを正しく入力した場合でも、新しいアプリ/ブラウザー/デバイスを使用して初めてログインすると、常に「間違ったパスワード」を返すことに気付きました。自動パスワード攻撃を阻止するためにこれを行っているのではないかと思います。ユーザーのパスワードが危険にさらされたとしても、(自動化された)攻撃者は2回試行する可能性は低くなります。代わりに、ユーザーがパスワードを変更したため、このパスワードは無効であると考えます。

私は最近、パスワードマネージャーの使用を開始しました。初めて、このサービスプロバイダーがこれを実行することを確認できました(パスワードマネージャーが正しいパスワードを入力したことが保証されている場合)。パスワードをもう一度入力する(パスワードマネージャーに再度入力するように要求する)だけでなく、(現在は追加されている)キャプチャパズルを解いて、アクセスを許可します。

だから、私の質問:人々は自分のパスワードを誤って入力することを期待していますか?これに関して誰かが何らかの調査を行いましたか?自動化を阻止するためにそれを利用するのは認証エクスペリエンスの多くの部分ですか(失敗/間違い)パスワード攻撃は「受け入れられる」?

プロバイダーが「それを回避する」理由は、パスワードがローカルアプリケーション/ブラウザーによって(最終的に)保存されるため、同じマシン/デバイスからの後続のログイン試行がこの動作をトリガーしないためだと思います。 (ユーザーの観点から見た)最悪のシナリオは、最初にパスワードを正しく入力したことが確実であり、次にもう一度入力することはなく(おそらく別の方法を試してください)、最終的にパスワードをリセットすることです。アカウントが侵害されることはありませんが、人々は頻繁にパスワードをリセットするだけです。奇妙な点は、そもそも間違いを犯したと非難しているため、サービスプロバイダーに否定的な点を伝えないでください。

私はこれまで他のサイトやサービスプロバイダーからこのようなものに遭遇したことはありませんが、同じサービスを使用している友人の助けを借りて結果を再現することができました。

明確にするために、私は認証プロセスを処理するより良い方法があることを知っています。私の質問は、ユーザーの期待と、パスワードにタイプミスをする人々の態度に関するものです。

編集:これは、システムに対するユーザーの暗黙の信頼も示しています。システムがパスワードが間違っていると言った場合、それは「真実を伝えること」であるに違いありませんか?システムがパスワードについて「嘘をつく」ことはありません。人々がこのように考えるのは本当に面白いと思います。このサービスプロバイダー(世界中で何百万ものユーザー)によって悪用されていることに気づくまで、私は決して違った考えをしませんでした。

編集2:これを行うことは「通常」ではないことに同意しますが、問題はこれが正しいか間違っているかではなく、代わりに人々がパスワードプロンプトで何を期待するかについてです。人々がタイプミスする頻度パスワード?頻繁に発生する場合、彼らはそれが起こることを期待していますか?そして、彼らがそれが起こることを期待する場合、ユーザーの期待にこの抜け穴を利用して別の問題を解決することはおそらく恐ろしい考えではありません。ユーザーは自分のパスワード入力能力を認識していますか?どのようにしてそれを知っていますか?

2
CJF

expectでパスワードを誤入力するのではなく、完全なタイピストではないことを知っているため、ときどきwillパスワードを誤入力していることがわかります。私は140+ wpmと入力し、入力した内容が表示されるとタイプミスをします。私も確かに自分のパスワードを間違えたタイプミスをしています。

私は認証に関して多くのユーザー調査を行いました。私の経験では、ユーザーの経験レベルにほとんど関係なく、ユーザーがパスワードエラーメッセージを受け取ったときに下がる2つのパスがある傾向があります。

  1. 入力ミスがあったので、パスワードを再入力します。これは、ユーザーが頻繁にログインするシステムで、ユーザー名/パスワードを知っていることが確実な場合に発生する可能性が最も高くなります。
  2. 使用したユーザー名/パスワードがわからないので、別のユーザー名/パスワードを試します。これは、頻繁にログインしないシステムで発生する可能性が高いです。

2番目のポイントには、珍しいことではない、密接に関連するいくつかのバリアントがあります。

  • 休暇から戻ったばかりで、パスワードを思い出せません。 IT担当者に、月曜日の朝または一般的な休暇後に行われるパスワードリセット要求の増加について尋ねます。
  • パスワードをリセットしたのですが、誤って忘れてしまいました。 IT部門で働いている人なら誰でも、ユーザーのパスワードを変更するために複数のリクエストが連続して発生する頻度を知ることができます。

ユーザーがユーザー名/パスワードを間違えるのは、単純な人的エラーに関連する理由がたくさんあります。ユーザーがどちらかを間違える可能性があるため、この方程式の半分をここに含めていることに注意してください。セキュリティ上の理由から、多くのシステムでは、エラーがユーザー名とパスワードのどちらにあるかを指定していません。ほとんどの場合、それが単一のエラーであれば、ユーザーはこれに悩まされることはありません。ユーザー名/パスワードを再入力し、正しく取得して次に進みます。それが特に時間がかかる場合にのみ、彼らは一般的にそれによって悩まされます。

4
nadyne

私はあなたの質問を理解したかどうかわかりません。これは、正しい資格情報を提供した場合でも、何らかの理由で常に最初のログインに失敗する特定のアプリケーションで発生するようです。

なぜこれを行うのですか?これによりセキュリティが向上することはないと思いますので、バグかもしれません。おそらく、一部のCookieに値が設定されていることを期待しており、最初にアクセスしたときにそのCookieが設定されていません。

とにかく、特にログインするために必要な手順の数が増え、変換が減る可能性があるため、誰も意図的にそうすることはないと思います。サインインプロセスとログインプロセスの摩擦を最小限に抑えて、ユーザーが苦労せずに目的の場所にアクセスできるようにします。

2
jff

「人々は自分のパスワードを間違って入力することを期待していますか?」という質問に答えるために。答えはノーだ!ユーザーが自分のパスワードを覚えていないことを期待することは、悪化しています。優れたセキュリティ慣行を理解できないことをカバーするためだけにユーザーを厳しく扱うことは、正しい選択ではありません。

はい、一部の人々は忘れます。ほとんどの場合、ほとんどの人が パスワードの疲労 を経験し、他の数十のパスワードの1つを最初に入力します。これらのユーザーにゲームをプレイさせるのではなく、ヘルプを提供する方法が存在する必要があります。

たった3回の試行後にユーザーをロックすることも悪い選択です。 2番目の試みは通常、同じパスワードをもう一度入力することです。ユーザーフレンドリーではない可能性が1つしかない場合。再試行回数に制限を設けることは、ボット攻撃を防ぐための合理的な方法です。しかし、繰り返しになりますが、ユーザーを不適切に扱うことは、不親切なセキュリティ慣行の言い訳にはなりません。

2
Brian

オンラインとオフラインのさまざまなアプリケーションでの私の経験に基づいて、私は人々が自分のパスワードを誤って入力することを期待するのではなく、慣れ親しんでいることを知っています。説明します。

ユーザー/パスワードを明白に忘れるなど、いくつかのポイントはすでに非常に明確に提示されており、これはおそらく、パスワードの安全性に関する統計に基づく最も一般的なシナリオです。関係はどうなっているのか、システムはますます変化しており、ユーザーはこれまたはその組み合わせをパスワードフィールドに入力する必要がありますが、それらすべてが文字、最小長、最大長、開始文字などについて一致しているわけではありません。の人々は同じパスワードのわずかなバリエーションを持っていますが、この特定のサイトで使用されたものはどれですか?

他の人はあまりタイピングが上手ではなく、ミスをする頻度が高く、このグループはミスを犯すために使用されるため、同じ組み合わせを再試行しますが、最初よりも注意を払い、タイピングに時間がかかります。

また、ほとんどすべてのサイトでリセット/リマインドパスワードを使用しているため、異なるパスワードを使用する場合は、すべてのパスワードを実際に覚えておく必要はほとんどありません。したがって、長い間使用していないサイトを使用しようとしていて、パスワードを忘れた場合は、ほとんどすぐに、パスワードのリセット/メールへの送信を要求できます。はい、2〜3分かかりますが、既知のプロセスであり、サイト/アプリケーションを使用できることを保証します。

確かに、あなたが決して期待していないことは、検証システムが露骨にあなたに嘘をついているということです。そのため、あなたが間違いを犯したと言った場合、あなたは間違いを犯したか、少なくとも技術的な問題があり、パスワードがシステムがどういうわけか間違っていた。

数年前、インターネットがなく、ローカルまたは内部ネットワークでアプリケーションにログオンする必要があったとき、誰もが何らかの理由でパスワードを思い出そうとしましたが、そうでなければ、プログラムを使用できなかったり、直面する必要がありました。技術者は、毎週月曜日の朝に電話する必要がないように、少なくともパスワードを書き留めておくことを思い出させます。

したがって、最後に、誰も、最初の考えではパスワード/ユーザーを忘れることを期待しているとは言えないだろうと言いますが、内部的には、ほとんどの人がそれが起こり、それとともに生きることを知っています。

1
PatomaS

良いデザインは正直です。

この動作には、ユーザーの時間を無駄にする多くのリスクがあり、自動化された攻撃を阻止するためのより良い方法があります。さらに悪いことに、パワーユーザーは、入力されたパスワードが正しいことを知っているため、アラームにより、実際にはアクセスされていないのに自分のアカウントが侵害されたことを示す誤検知が発生します。また、正しいパスワードは正しくないとされていたため、初心者ユーザーがすべてのパスワードを順番に使用するリスクもあります。

0
VoronoiPotato