「パスワードが正しくありません」というメッセージは、現在のサイトのパスワード要件を示していますか？

セキュリティの観点から–いいえ。ユーザーエクスペリエンスの観点から–はい。これは多くの場合、さまざまな目標が真ん中で出会うときに問題となりますが、これが最も重要です。これはユーザーエクスペリエンスのサイトなので、よくある答えは、ルールをユーザーに示すことです。セキュリティ要件が満たされていれば問題ありません。大文字、$ ym8ols、数字である必要はありません。十分に長いパスワードは強力な場合があります。さらに、両方の目標が達成され、アカウントが安全で便利になります。

入力されたユーザー名が正しいことを侵入者に知らせる可能性があるため、「不正なパスワード」というメッセージは表示しないでください。
むしろ「無効なユーザー名またはパスワード」を入力して、どちらかまたは両方が間違っているかどうかを彼らに尋ねさせます。
パスワードの要件も同様に、ログインページに記載するべきではありません。パスワードを設定/変更できるページにのみ記載してください。繰り返しになりますが、潜在的な侵入者はこれらの要件を使用して、パスワード生成用のアルゴリズムを改良できます。

はい、これは非常に良い考えです。

今のところ、私は学術的な研究やそれらに沿った何かを通しての証拠はありませんが、少し論理的な推論は、これを行うことでおそらく多くの人々を助けることを示すのに役立ちます。

証明可能なポイント：

1. 特にユーザーがサイトを頻繁に使用せず、パスワードフィールドが完全に隠されている場合は、ユーザーのパスワードの記憶が貧弱です（考慮すべきパスワードフィールドをプレーンテキストで表示できるようにするための適切な引数がありますが、ここではそれほど重要ではありません）。

2. ユーザーは多くの異なるアカウントで同じパスワードを繰り返し使用します。多くの場合、これは短く覚えやすい文字列、愛する人の名前、ペットの名前などです。セキュリティについて考えるよりも、サービスの利用に関心があるため、覚えやすいものを選び、何度も繰り返し使用します。 。これについては多数の調査があります。

3. リピーターを獲得した場合、登録ページは1回使用され、ログインページはユーザーごとに何度も使用されます。

このパスワードのリストは良い例です： http://www.bbc.co.uk/news/technology-24821528 -これらの典型的なユーザーは思い出を助けており、特別な文字が必要です。最後に！と？を取得し、それで終わりです。

特別な文字、大文字、または数字（これも禁止されています）を要求することにより、ユーザーに上記の最初のポイント、つまりメモリの問題に挑戦します。ユーザーが「1」または「一般的に使用されるパスワードの末尾に「＃」。

したがって、これらのポイントに基づいて、ページにアクセスしたユーザーは非常に類似したパスワードをいくつか覚えている可能性があると推定できます。 、ユーザーを支援することを強くお勧めします。人間が忘れるように何かを最適化する場合は、可能な限り、リマインダーで彼らを助ける必要があります。

（逸話的に、そのようなリマインダーが私を助けてくれたOPとまったく同じ位置に到着しました）

仰るとおりです。

ほとんどの場合、ログインしようとしているときに「パスワード作成の要件」だけを表示すると、ユーザーはそのログインシステムで使用したパスワードのタイプを覚えやすくなります。ユーザーがパスワードを書き始める前に（パスワード入力フィールドにカーソルを置いたときに）メッセージを表示し、ログインシステムがユーザーに要求するパスワードのタイプを明確にするとさらによいでしょう。このようにして、侵入者はそのユーザー名が存在するかどうかを区別することさえできません。