設計已經在創造虛擬產品中扮演了重要角色,這里提到的設計并不是看這個按鈕多酷多炫�,而是設計如何運作。當然�,漂亮的網站和應用對最終使用者(即所有者)體驗更好,但是當你花時間瀏覽一下神奇的互聯網世界����,你會發現糟糕的設計實踐依然隨處可見。
有些人并沒有真正懂得設計并不僅僅只是精確的像素而已����。
以下是設計中的一些大忌:
1.要求用戶正確無誤的輸入信用卡號
這一條讓我不能忍,眾多網店���、支付通道以及基本所有人在涉及輸入信用卡信息時�,都會按慣例要求用戶按照網站的邏輯架構來提供信用卡信息。如你所料�,網站的開發人員強迫用戶理解網站的后臺邏輯。
我最愛的是PayPal提示信息:
請確保您輸入的卡號不包含空格�、破折號及其他符號。
否則呢��?聰明的程序開發員先生�?如果我用標點分割數字,就會將這串卡號視為無效�?因為簡單的檢查一下我輸入的字符串很難�����,所以需要我去掉所有不希望出現的符號而僅僅輸入數字?這是幼兒園水平的編程�����。
請不要打擾用戶正確的輸入信用卡號����,嘗試接受他們輸入的一切信息,忽略無用信息��,提取有效數字。
在信用卡頁面�����,不要讓用戶先選擇卡號類型�。我知道這看起來像是我對PayPal的吹毛求疵,但是這是他們開始添加信用卡的流程截圖:
可不可以不這么做呢�����?
那么���,可不可以不先這么做�����?信用卡類型在輸入信用卡號時可以被輕松的識別出來����。Visa是4開頭的�,MasterCard是51或55開頭的,以此類推����。
不要讓用戶做你該做的工作�。
2.要求用戶創造復雜的密碼
我可以看到你們中的一半(特別是程序員)要斜眼鄙視我了����。
切,白癡����,你不知道復雜的密碼更安全嗎?
你一定是個設計師或者其他低等生物…
事實并不是這樣的����,是密碼的長度保證安全而不是復雜程度。
復雜的密碼是愚蠢的開發想出來的�����,他們要求用戶輸入:大寫字母��,數字甚至是特殊符號這些東西��。在他們的腦子里安全密碼的范例是:
這里面包含一個數字��,兩個特殊符號(減號和嘆號)��,再加一個大寫字母?,F在讓我們來做一道簡單的數學題。
密碼的每一個位都可以放入52種單詞(大�����、小寫)�����,10種數字和12 種常用特殊符號���。一個位置就有74中不同的選擇�����。不如就算80種吧����。
限制用戶輸入最少7個字符����,我們于是得到最少(80?7):
20 . 971 . 520 . 000 . 000種密碼組合。
現在我們來看一下“不安全”的密碼有多少種組合�����。就算我們只允許大寫和者小寫字母,但是提高一位最少輸入字符數到八位�。每個位置可以放52種字母,于是得到(52?8):
53 . 459 . 728 . 531 . 456
看到沒有�����?53萬億Vs 21萬億���。一個因為不需要用戶折騰怪異字符而輕松記住的密碼在實際抵御黑客攻擊時將更加安全可靠����。
通過比較這個密碼更加安全可靠�����,難于攻破:
此外�,增加密碼的復雜程度將使其更加不安全,因為用戶會傾向于把密碼寫下來����。實際上����,普通人設置一個密碼(是的我說設置����,更像是指一個…)他們會一直用這一個�。這確實不安全,確實有點傻��。但這確實是大眾使用互聯網的習慣���。只要密碼的作用還是上鎖機器�����,就會一直如此����。當你強迫用戶輸入一個超出他們舒適區域的密碼時��,密碼就會被寫下來�����。為了你的網站能夠“安全”(即使數據告訴我們這也不是真的)�,實際上使它加倍的不安全了�����,不要再這么做了��。
哈����,你有一個好辦法強迫用戶輸入又長又復雜的密碼�����?那只能祝你好運了��。
另外�����,那些蓄意竊取密碼的人使用的主要手段不是強行攻破或者做黑客帝國范兒的事情�。他們或者通過社交引擎(無知的用戶基本就這么把密碼給了出去)或者就是獲取網站后臺信息,盜取密碼和郵件地址�。做好你的后臺安全保障,不要在用復雜的密碼糾纏用戶了����。
補充:
狂轟濫炸的留言中盡是說我這個密碼“yourmomah”有多錯誤和多荒謬的,請允許我做個辯解�。
首先,看來很多人都沒有看懂yourmomah 難以攻破的笑點在哪�����?����?赡芪业男υ捴v的太微妙了����,下次我會用個更加明顯的。
第二點就更重要了有一條評論來自熱衷安全性問題的人�。并不是他對安全問題的熱情有問題。
摘自留言
- 每一個密碼都應該是你記不住的����。如果你能記住就不是好密碼。如果你能記住那么系統…
- …我習慣創建更好的密碼�。我永遠不會忘記這樣的密碼:X0!pS92MFs;’234m1xX32us@#4n 因為它對我是有意義的�。而且我可以創作一打這樣的…
這里確實有問題。開發人員把安全性看的太重要�����,將其表述為密碼就是你不能記住的?���?疵靼走@種想法有多混亂了嗎?按這條規則建立的網站會讓99.99%的網民難以注冊����,更不要說再次訪問該網站了。
互聯網上有大概200個人不僅能記住X0!pS92MFs;… 這種類型的密碼還能再設計一打這樣的����。這不是人們使用互聯網的方式!
群眾����,普通人,例如你的父母�����,和那些電腦盲們每天都要用到網絡��。他們實際上構成了大多數�����。讓我們將他們的日常網絡生活變得更加簡單和無阻些吧,與此同時處理好我們這邊��,也就是開發這邊的安全性工作����。比如防止數據庫被盜��。
而且��,這并不是說我們要阻止那些瘋狂的家伙使用超級復雜的密碼��。如果你有妄想癥的話�,可以輸入40個字符的隨機字符串,隨你��!但是就讓第一次在線上挑選圣誕禮物的老爺爺使用“ilovemygrandson”這樣的密碼吧����。為什么要給他制造麻煩,用錯誤提示來否定他:密碼錯誤����,你需要輸入一個大寫字母�����,密碼錯誤�����,你需要輸入一個數字�,密碼錯誤����,你需要輸入一個特殊字符…
使用互聯網的挫敗感來自細微處,積少成多就會致命��。創建賬戶伴隨而來的創建密碼就是這第一步細節���。不要再為此糾纏用戶了!
請求:
有人可以實際運行一下“yourmomah” 的字典攻擊并發布一下結果嗎���?耗時多久?
3.詢問用戶名
大多數網站在注冊時還在要求輸入用戶名����,在你登錄的時候再次要求輸入用戶名(加密碼)。與此同時,這些網站還需要輸入郵箱����,他們用郵箱大概是來激活帳號的。
通常流程是這樣的:
- 創建帳號需要輸入用戶名�、郵箱、密碼��,并重復密碼確保安全���。
- 向輸入的郵箱發送認證郵件。
- 用戶點擊發送至郵箱的認證鏈接�,激活賬戶。
- 用戶登錄網站����。
但是為什么不用郵箱地址作為身份識別?為什么要使用用戶名呢��?沒錯��!郵箱地址是唯一一個每一個網站都用它來區分用戶并在自動配對時記錄在案的身份識別信息�����。
用戶在創建賬戶的過程中做了額外復雜的工作�����,他們需要另外搞定一件事,而很多用戶名都已經被占用了���。你認為Neo�、Z3或者Cool是可以使用的���?再猜猜吧����。
通過使用郵件作為認證信息大幅縮短了注冊流程�����,因為用戶對常用郵箱心中有數���,認證信息的獨特性轉移給了郵箱提供商(Gmail, Yahoo, 私人域名…)��。他們確保了在域名內沒有兩個重復的郵箱地址��。
但是我的網站在評論區或那些用戶生成的文本邊需要顯示用戶名����!
那就等到用戶參與活動時再要求他們輸入用戶名。典型的用戶互動結構是1-9-90��,這意味著1%的用戶頻繁與網站發生互動并產出內容���,9%的用戶偶爾參與�,90%的用戶只是潛水沒有任何貢獻��。Twitter��,最流行且一勞永逸的用戶輸出型網站40%的用戶只閱讀Tweets而沒有輸出���。
在注冊階段就不要再向人們索要用戶名了。
?4.點擊下級鏈接時跳轉到網站的移動版�����。
這是典型的“我有移動版”錯誤����。人們在Facebook或Twitter上分享有趣的文章,在手機上看到它并點擊連接�����,卻被帶到網站的移動端首頁上了。那一刻你會想“等等���,那個我點擊的文章跑哪去了��?”于是你回到了Facebook/Twitter,再次點擊那個連接�。再一次你又到達了移動版的首頁����。
于是你就放棄了。
通常的情形是���,你的一個朋友在臺式機上分享了一個鏈接�,類似www.website.com/funny-article-ha-ha?,你通過手機看到了這條分享�。點擊連接,跳轉到網站��,網站分析出你正使用手機瀏覽��,于是非常愚蠢的將你帶到了m.website.com 替換掉了原文連接����。
出現這樣愚蠢的體驗的原因有:
1��、移動版不使用“正?!卑姹镜腢RL構架�,所以m.website.com/funny-article-ha-ha不會給你提供任何有用信息。
2�、在甄別和跳轉的進程中服務器遺忘了URL的剩余部分。因為程序化的記憶事物在互聯網顯然很難���。
3��、某人做了一個一拍腦袋的決定說:
?? “嗨���,讓我們把用戶帶到移動版首頁,他們會喜歡的”���。不�����,他們不會。
請不要再這么做了����。用戶點擊網站深層內容頁的鏈接時�,應該總能���,試想一下…得到他們想看到的內容�����!如何做到這點無關緊要�����,創作有響應的頁面�����,讓移動端和標準版本有同樣的URL架構��,即使用上魔法和仙粉���,只要最終結果顯示的是原文鏈接。
請讓我們努力將互聯網中的挫敗感減少�。
(編輯:小酷)
