Mám trochu divnou paměť. Pamatuji si všechny piny ke kartám, i těm, co už neplatí (pin k mé první platební kartě byl 1363). Pamatuji si číslo platební karty, exspiraci i cvv kód. Pamatuji si přihlášení ke 3 bankám, 2 datovým schránkám a odhadem kolem 30 různým službám.
Přesto přihlašování a hesla z duše nesnáším. I proto, že většina z nich není udělaná správně.
Řekli byste si – vždyť na tom nic není. Uživatelské jméno, heslo, tlačítko přihlásit a odkaz na zapomenuté heslo. Ale ďábel se skrývá v detailech.
Průměrně potřebujete 25 hesel
Podle jedné studie potřebujete průměrně 17 hesel mimo práci a 8 hesel v práci. A jsme jenom lidi, takže 60 % z nás má jedno heslo pro víc služeb. Přiznávám se, pro nedůležité služby též používám variaci jednoho hesla.
Včera jsem se přihlašoval kvůli potvrzení pro daně do Allianz penzijka, a příště si radši vrazím lžičku do ucha (a pak jim zavolám).
Klasicky jsem to potřeboval v práci a zjistil jsem, že přihlašovací údaje mám doma. Takže jsem to doma vyhrabal, přihlašovací jméno je číslo smlouvy. OK, naklepu to tam a nic. Zjišťuji, že heslo na výpise je jednorázové. Takže zkouším variaci svého oblíbeného hesla. Pro příklad předpokládejme, že je to „banán“. Zkouším klasicky Banán, banán, banan, banana, Banán1. Nic.
Takže klikám na zapomenuté heslo. Zadávám uživatelské jméno. Následně mi to posílá e-mail a potvrzovací smsku. Na e-mail čekám 5 minut. Klikám na odkaz pro tvorbu nového hesla a vymýšlím si nové heslo, které musím vyplnit dvakrát.
A ten systém mi napíše, že jsem tohle heslo v minulosti už použil a že si mám vymyslet jiné. By se z toho člověk fakt po.
Tvorba hesla
První, co děláte často není samotné přihlášení, ale tvorba hesla při registraci. A už tady vám může průměrný designér nedejbože programátor hodit klacky pod nohy.
Problém č. 1 – chybí instrukce k heslu
Všechny požadavky na tvorbu hesla musí vidět uživatel dopředu. A dopředu znamená před tím, než začnete heslo vyplňovat!
Tady to má špatně Rohlík.cz, který vám požadavky ukazuje až při kliknutí na tlačítko Pokračovat.
Problém č. 2 – Příliš komplikované požadavky na heslo
Problémy s hesly je ten, že klasické heslo, které má většina uživatelů – tj. nějaké slovo plus číslo je:
- špatně zapamatovatelné pro lidi,
- jednoduché prolomit pro počítače.
A víc požadavků na heslo, například speciální znaky tomu až tak moc nepomáhá.
Schválně si zkuste, za jak dlouhou dobu vám počítač prolomí heslo. Mě to dost vyděsilo. Podle studie z Carnegie Mellon univerzity je lepší jednoduché heslo o délce 16 znaků, než komplikované heslo vč. speciálních znaků o délce 8 znaků.
Co se zbytečných požadavků na hesla týče u mě vede Česká pošta. Když si kliknu na vysvětlivky pro požadavky na heslo, tak se mi ukáže tahle zrůdnost.
A úplně nejlepší je komix od XKCD na toto téma. Zvolte si spíš 3-4 nesouvisející slova a utvořte si mnemotechnickou pomůcku.
zdroj: https://xkcd.com/936/
Mimochodem od XKCD je super knížka, která vás bude hodně bavit.
Problém č. 3 – Nevidím, které podmínky jsem splnil či nesplnil
Pokud už máte nějaké podmínky pro tvorbu hesla, tak je fajn, když uživateli ukazujete, které podmínky aktuálně vyplněné heslo splňuje. Je to možná drobnost, ale lidem to výrazně usnadňuje život.
Tady opět příklad MailChimpu (já bych osobně volil zelenou a fajfky pro splněné podmínky).
Když to vezmu z opačného pohledu, bude část lidí, kteří vám na podmínky budou kašlat a vyplní si svoje heslo. V té chvíli jim chybová hláška musí ukázat, které podmínky nesplňují. A ne jen to, že to mají špatně.
Problém č. 4 – Slabé heslo
To, že splním podmínky pro tvorbu hesla ještě neznamená, že mám silné heslo. Proto je dobré ukazovat indikátor síly hesla. Uživatele to tak motivuje si vytvářet silnější hesla. Já bych – pokud chci od uživatelů silná hesla – ukazoval kromě síly hesla i to, za jak dlouho je možné heslo prolomit (5 dní) a doporučoval, jak to jednoduše zlepšit (přidejte jeden speciální znak, například @, %).
Tady to má například Seznam.
Indikátor fajn, mně ale vadí, že nevidím požadavky na heslo a že heslo musím vyplňovat dvakrát.
Problém č. 5 – Nemožnost ukázat vyplněné heslo
Pokud vyplníte heslo špatně, například když máte přehozenou českou a anglickou klávesnici nebo zapnutý CAPS LOCK, tak nemáte jak se to dozvědět.
Nebo se můžete ukliknout a napsat jedno písmeno špatně.
Jediné, jak se tomu vyhnout je mít možnost heslo ukázat. V poslední době se často u políčka s heslem ukazuje ikona oka nebo text ukázat / schovat.
Má to takhle například MailChimp.
Výhody tohoto řešení jsou 2:
- Nepotřebujete dvě políčka pro heslo (heslo a potvrzení hesla).
- Vyhnete se překlepům, zvlášť na mobilu.
Luke Wroblewski z Googlu dokonce nechává ve své aplikaci Polar pole s heslem na mobilu nezamaskované. Argumentuje tím, že pokud píšete na mobilu, tak je stejně vidět klávesnice a že upřednostnili uživatelskou přívětivost nad diskutabilním zvýšením bezpečnosti.
(Od)maskování hesla používá Linkedin, Adobe i Amazon. Amazon si dokonce prošel klasickou cestou:
- maskované heslo,
- maskované heslo s možností ukázat,
- odmaskované heslo s možností skrýt.
Pozor ale na to, abyste nenechali heslo bez možnosti jej skrýt. Protože si tím výrazně snížíte důvěryhodnost. Uživatelé to budou považovat za chybu.
Jack Holmes prováděl studii, kde ukazoval pouze nezamaskované heslo a 60 % uživatelů to považovala za nedůvěryhodné. Pokud k nezamaskovanému heslu přidal zatržený checkbox s textem: ukázat heslo, tak to 100 % uživatelů považovalo za vlastnost (a tím pádem tomu důvěřovali).
Když se zpátky vrátím k Amazonu, tak jejich aplikace už nepožaduje heslo vůbec. Vystačíte si s otiskem prstu na čtečce v telefonu.
Problém č. 6 – Nikdo si nechce pamatovat další heslo
Podle studie z roku 2012 by 38 % můžu radši pomáhalo s domácími pracemi, než si vytvářelo nové heslo. A já je chápu.
Jak z toho ven? Dvěma způsoby:
- Nechte uživatele zaregistrovat pomocí sociálních médií (Facebook, Google, …).
- Pokud máte aplikaci tak použijte autorizaci otiskem prstu (TouchID) které má v tuto chvíli 80 % smartphonů.
Rohlík.cz to dokonce dává jako preferovanou možnost.
Získání zapomenutého hesla
Problém č. 7 – Komplikované získání zapomenutého hesla
Došlo na nejhorší. Heslo si nepamatuji.
Pokud se nepřihlašuji k NASA, ale něčemu normálnímu, tak zvažte následující:
- Po prvním neúspěšném přihlášení ukažte podmínky hesla (počet znaků atd.).
- Ukažte, zda je problém s heslem nebo e-mailem.
Ano, bezpečnostní experti mě teď ukamenují, ale oboje lze snadno ověřit. Podmínky při tvorbě nového hesla, e-mail při zadávání uživatelského jména.
Což mě přivádí k další věci, co mě točí. Neúspěšně se zkouším přihlásit, pak hodím flintu do žita a kliknu na textový odkaz Zapomenuté heslo. Mohli byste mi, prosím, rovnou zkopírovat vyplněný e-mail v políčku uživatelské heslo? Vás to nic nestojí a já to nemusím jak idiot přepisovat. Už tak jsem docela frustrovaný.
A když už mi tedy pošlete e-mail, tak prosím ne se samotným heslem, ale s časově omezeným odkazem na změnu hesla. Protože posílat heslo e-mailem je stejně bezpečné, jako mi to poslat na koresponďáku.
Závěr
Pokud si o mě začínáte myslet, že jsem hnidopich, co bazíruje na banalitách, tak:
- budete mít pravdu,
- ale ony vám ty banality můžou vydělat 300 000 000 dolarů ročně.
To když zrušíte na Amazonu povinnou registraci před nákupem a z tlačítka Registrovat uděláte Pokračovat bez registrace.
A takový malý tip na závěr:
Pokud se budete přihlašovat do datové schránky a opisovat ta žlutá čísla, co se nedají přečíst… tak neklikejte na ikonu Vytvořit nový kód, protože vám to vymaže vyplněné uživatelské jméno a heslo. Grrrr.
Zdroje:
https://uxplanet.org/ux-login-register-and-password-the-ultimate-design-guide-f18b1932ee84
https://conversionxl.com/blog/password-ux/amp/
https://www.nngroup.com/articles/password-creation/
https://www.lukew.com/ff/entry.asp?1653
https://www.lukew.com/ff/entry.asp?1941
Já bych doplnil ještě jeden neduh, který má například Česká pojišťovna. Nedávejte omezení na heslo v přihlašovacím formuláři. Pak se stane to, že když podmínky pro heslo změníte (zpřísníte), tak se uživatelé s původním heslem nepřihlásí, protože ho přihlašovací formulář odmítne, přestože jste ho dříve normálně používali. Přesně tohle se mi stalo.
Dobré postřehy. Škoda, že momentálně takový formulář nevytvářím. Rád bych je tam všechny použil 🙂
Ahoj, hezký článek – jenom k bodu číslo šest – neexistuje ještě nějaká lepší varianta? Já například Facebook nemám a nenávidím přihlášení pomocí Facebooku. Co se stane až Facebook nebude, či bude mít výpadek?
Co třeba služba mojeID? Vím že je to dost podobné případu Facebook, ale jenom zmiňuji.
Proto je tam vždy možnost i e-mail/heslo.
Pěkně sepsané, ale trochu mě zaráží, že tu není zmínka o password managerech – odpadá nutnost si cokoliv pamatovat. I to, že mám heslo od něčeho doma 😉
Možná si budeš myslet, že jsem hnidopich, ale kdyby ty odkazy dole byly klikací > použitelnější, byl by ten článek ještě lepší 🙂
Opravím. Díky za tip.
K takovému malému tipu na závěr:
Na poprvé se mi ještě do datovky přihlásit nepodařilo – buď až napodruhé, nebo musít začít přegenerováním toho obrazce 🙁
Ak za každé nesprávne zadané heslo pošlem response s 1 sekundovým zdržaním (s maximom napr. 5, aby sme nezablokovali oprávneného užívateľa), tak môže byť heslo trebárs 6 písmenné a brute force útočníkovi nijak extra nepomôže. Dá sa kontrolovať z akých ip adries requesty prichádzajú, pamätať si ip adresy úspešných prihlásení a podobne.
A nedela se bruteforce vetsinou tak, ze utocnik nejak ziska databazi s hashema hesel (ktery ziska treba diky sql injection)? Ono totiz delat bruteforce na necem, co ma vetsinou stejne delsi odezvu nez 1 sekundu je dost na dlouho. 1 pokus/s vs milion pokusu za sekundu je docela rozdil.
Co mě poslední dobou taky hodně štve je rozdělení přihlašování na dvě stránky, napřed zadáte uživatelské ID, odešlete a pak heslo. Má to třeba Equabank, předtím to měla myslím Česká pojišťovna. Správci hesel s tím pak mají problémy
Tak to máme stejně.