web-dev-qa-db-ja.com

ログインフォームの「記憶」チェックボックスがデフォルトで有効になっていないのはなぜですか?

ほとんどのサイトでは、ログインフォームの「記憶する」チェックボックスはデフォルトで選択されていません。ほとんどのユーザーは、ログイン後もログインしたままにしておきたいと考えています。ユーザーがそのチェックボックスをオンにするのを忘れたという理由だけで、ユーザー名とパスワードを入力する必要があるたびにユーザーを困らせます。

デフォルトで「記憶」チェックボックスを有効にするだけではどうですか?

ユーザーが記憶されたくない場合は、チェックボックスをオフにするだけです。

更新:Gmailログインフォームの[remember me]チェックボックスはデフォルトでは選択されていませんが、ユーザーがログインして有効にすると、この選択は次の場所に保存されますCookieとチェックボックスは、次回のログイン時にデフォルトで有効になります。

Update 2:by 37signals

「Remember me」チェックボックスを削除して、共有コンピュータを使用している人々が単にログアウトすると仮定する時が来ましたか?

Update 3:私はWordPressプラグインを書いて、デフォルトで「記憶」を有効にしています。したがって、必要に応じて使用できます。

Update 4Basecampのログインページ では、デフォルトで「remember me」が有効になっています。

更新5WordPress.comログインページ では、デフォルトで「remember me」が有効になっています。

enable remember-me by default

formsloginprivacy
34
webvitaly

考えてみれば、明確かつ論理的に、デフォルト値は"off"でなければなりません。これは、サインインライフサイクルのユースケースを見ると証明できます。

2つの異なるタイプのユーザーのブラウジング動作を比較することで説明します。 ユーザー#Aは、私を無効にしたのを覚えるのが好きな人ですユーザー#Bは、それを有効にするのが好きです。 2つの可能なデフォルト値「オン」と「オフ」が与えられた場合に、両方のユーザーに何が起こるかを比較してみましょう。注:私はデフォルト値を設定することのリスクについて話している。

Remember Meのデフォルトは「オフ」

ユーザー#A Webサイトにアクセスすると、ログイン画面が表示されます。ユーザー名/パスワードを入力して、サインインボタンをクリックします。アクセスは許可されますが、ブラウザを閉じるとセッションが終了します。次回アクセスするときにパスワードの入力を再度求められますが、これはこのユーザーに適しています。

ユーザー#B Webサイトにアクセスするときも同じです。ユーザー名/パスワードを入力し、サインインボタンをクリックします(「覚えている」をクリックするのを忘れます)。彼らが去ると、彼らはログアウトされます。これはユーザーに「好き」ではありませんが、セキュリティ上の問題はありません。

Remember Meのデフォルトは「オン」

ユーザー#A Webサイトにアクセスし、ユーザー名/パスワードを入力して、サインインボタンをクリックします。彼らのセッションは永続的になります。次に誰かがそのコンピューターからアクセスしたときに、アクセスが許可されます。 これはこのユーザーには好まれておらず、セキュリティ上の問題があります。

ユーザー#B Webサイトにアクセスし、ユーザー名/パスワードを入力して、サインインボタンをクリックします。彼らのセッションは永続的になります。 これはユーザーに受け入れられ、セキュリティリスクを気にしません

結果

覚えていると私がついているのは明らかです。どちらのユースケースでも、ユーザーが「remember me」チェックボックスの状態を変更できない場合、セキュリティ上の問題が発生します。ユーザー#Bがリスクの存在を気にしていないことは問題ではありません。

ここでのポイントは、デフォルトが「オフ」の場合、両方のユーザーが値を変更せずにログインした場合、セキュリティリスクがないことです。

さらに、多くのサードパーティWebサイトがオープン認証を使用しているため、Facebook/Google/Yahoo/Twitterにログインしたままのユーザーは、他の何千ものWebサイトへのアクセスも許可していますoAuth登録と認証のサービス

誰かがあなたのFacebookアカウントにアクセスできるようになった場合、そのユーザーは[アプリ]セクションに移動して、Facebookを使用してサインインした他のすべてのWebサイトにアクセスできます。グーグル、ツイッター、GMailなどについても同様です。

今、自動記憶についてどう思いますか? :)

44
Reactgular

オプトインする必要があります。

インターネットカフェまたは同僚のラップトップからログインし、適切にサインアウトし忘れた場合はどうなりますか?

そのマシンを使用する次の人(通りのランダムな人またはあなたの仲間)は、そのサイトのあなたのアカウントにログインすることができます。さて、それはIMDbやCode Projectの問題ではないかもしれませんが、それがAmazonやあなたの銀行であるならば、それは大きな問題になるでしょう。

16
ChrisF

デフォルトでは無効になっています。

  • ユーザー[〜#〜] a [〜#〜]「私を覚えておく」が無効になっているのが好きな人、そして
  • ユーザー[〜#〜] b [〜#〜]有効にしたい。

[〜#〜] a [〜#〜]ログインよりもはるかに頻繁にログイン[〜#〜] b [〜#〜]彼らは覚えられたくないので。

「記憶する」チェックボックスがデフォルトで有効になっている場合、[〜#〜] a [〜#〜]はログインするたびにそのボックスのチェックを外す必要があり、それはただの面倒です。

の証拠

功利主義者のようにこれに取り組み、各シナリオで引き起こされた痛みを集計することができます。

両方のユーザーが1日に1回サイトにアクセスするとします。

「記憶する」チェックボックスがデフォルトで有効になっている場合:

10日間で

  • ユーザー[〜#〜] a [〜#〜]は10回ログインしますチェックボックスのチェックを10回外すのに苦労します
  • ユーザー[〜#〜] b [〜#〜]は一度ログインします。

「記憶する」チェックボックスがデフォルトで無効になっている場合:

10日間で

  • ユーザー[〜#〜] a [〜#〜]はログインします10回(期待どおり)。
  • ユーザー[〜#〜] b [〜#〜]一度ログインするとAND チェックボックスを1回クリックするだけの苦痛を受ける

したがって、最小限の問題を引き起こすシナリオは、「記憶」チェックボックスがデフォルトで無効になっている場合です。

11
JW.

プライバシー。オプトインとオプトアウト。私は通常、サイトに覚えてもらうことを選択しますが、戻ってきたときに自分が誰であるかを自動的に知っているサイトに怒ったり、忍び込んだりする人がたくさんいます。一般に、プライバシーに関連するすべてのアクティビティは、このためオプトインする必要があります。

さらに、「覚えてください」ボックスは非常に短く明確であるため、ユーザーはページを読み飛ばし、ほとんどのテキストを読んだことがなくても、それを見て理解することができます。

6
Myrddin Emrys

「記憶する」または別のチェックボックス「サインインしたままにする」機能には2つのケースがあります。

ケースI:ユーザーがパーソナルコンピューター/ワークステーションまたはモバイルデバイスを使用している場合、多くの場合remember meオプションまたはkeep me signedオプションを選択します繰り返しログインまたは使用する時間を節約するため。それはよくあることですが、私たちの多くは、日常的に使用している複数のWebサイトやアプリに同じ資格情報を再入力したくありません。

Case II:家族やサイバーカフェで共有システムを使用する場合、remember me機能を選択したくありません。それは一般的なことです。

[Remember Me]チェックボックスのデフォルトのステータスは何ですか?

私の意見では、使用するサービスまたはアプリの種類によって異なります。たとえば、Facebook、Twitterなどのソーシャルネットワーキングサイトやアプリの場合、最大ユーザーは頻繁にログインする場合は[私を記憶する]を選択します。ただし、バンキングアプリ、送金、簿記、商用サービスなどのアプリまたはサービスの場合、最大ユーザーは私の機能を覚えておくことを好まず、ほとんどのサービスプロバイダーはこの機能さえ提供していません。

お役に立てれば幸いです。

よろしく

バーミク

2
Bhaumik Shrivastava

このオプトインは、倫理とより関係があります。ユーザーのコンピューターにCookieを作成しています。 Cookieは一般的には無害ですが、技術的にはまだ侵略的です。したがって、チェックボックスをオンにしてユーザーに権限を付与します。

ウェブ上のニュースレターの登録はオプトアウトされる傾向があり、オプトインする必要があると思いますが、潜在的な結果はログインフォームの場合ほど悪くありません。

参考までに、Remember Me機能をオンラインで使用することはありません。

1
Tim Huynh

私はそのチェックボックスを理解したことがありません。それは正しい場所にありません(あなたが私が誰であるかわからない場合、どうすれば私を思い出すことができますか?)。ユーザーが特定のコンピューターに初めてサインインした後、資格情報を記憶する必要があるかどうかを尋ねる控えめなポップアップを表示しますその特定のコンピューター上

1
Jeroen

このページの回答のロジックはすべて正しいですが、製品の種類によっては回答が変わる可能性があると人々が考慮していないものがあります。

  1. 信頼できるデバイスからWebサイトにアクセスしている時間の95%であるため、これがユーザーにとって最良の確率である
  2. ユーザーにとって最適な場合でも、多くのユーザーはチェックボックスをオンにするのを忘れたり、目的を理解しなかったり、ラッシュにいるのでそれについて考えたりしません-多くの場合、ユーザーはデフォルト設定を変更しません
  3. 次に彼らがあなたのサイトを使用しようとするとき(モバイルで、パーティーでそれらを想像してください-電子メール/パスワードの入力/記憶が難しい場合)、あなたはそれを使用するためのハードルを彼らに提示しました、そして彼らはただそれをあきらめて使用しないかもしれませんその時に
  4. この場合、間違ったデフォルト設定を選択することにより、ほとんどのユーザーに悪い体験をもたらしました
  5. 一部のWebサイトには、特に機密性の高いアクションを実行しているときに、追加の確認(通常は2要素認証)を要求するサインイン状態があります

ですから、ここでの議論は、公共または共有のコンピューター上の少数のユーザーのセキュリティリスクよりも製品のエクスペリエンスが向上するように、ユーザーに対してこの動作を奨励することです。

私はこの質問についての調査を見たことがありません(「私を覚えている」を有効にする必要があるユーザーが実際に何回、いつそれを行うのですか?)最初の3つのサインインで正しく。

反対の議論は、最初の数回それを台無しにしたとしても、最終的にそれを取得し、デバイスごとに一度だけ正しく取得する必要があるということです(すべてのセッションを定期的にリセットしていない場合など)。ただし、ラップトップやモバイルなどで正しく設定される前に、デバイスごとに2〜3回サインインすることもできます。

0
Brian Armstrong

面白いことに、私は常に[記憶する]チェックボックスをオフにデフォルト設定していますが、サイト所有者を守るためにこれを行っています。私の論理はこのように機能します...

ユーザーアカウントが別の不正なユーザーによってアクセスされ、アカウントの所有者に実質的な損害が発生します。この被害は、サイトでのクレジット残高の盗難、サイトを介した資産の不正な販売、または一般情報への機密情報(ユーザーの医療記録、電子メールなど)の漏洩など、さまざまな形をとります。

被害の規模が法的措置を正当化するのに十分であり、被害者がサイト所有者を訴えていると想像してください。美しく書かれた利用規約とユーザーアクセス契約のドキュメントがサイトの登録プロセスに統合されていても、強力なパスワードが必要でパスワードが期限切れの場合でも、サイトが不正であると裁判官に伝えることはできませんかユーザーのセキュリティを主な関心事として設計されていますか?

Remember-meチェックボックスは、ユーザーのセキュリティに対するサイトの態度を表す最も目立つ表現です。デフォルトでオフにすると、ユーザーの安全性よりもユーザーの安全性を重視することが公に宣言されます。

0
Henry Taylor