Хотела в кой-то веки залогиниться в ЖЖ, и после трёх попыток мне уже пишут:
Во время обработки вашего запроса произошла ошибка:
Неверный пароль. Ваш адрес IP временно заблокирован, поскольку количество неудачных попыток входа превысило разумные пределы. Блокировка будет снята автоматически в течение часа.
Фу такими быть. Конечно, с точки зрения юзабилити, ЖЖ всегда был унылой клоакой, однако, данный пример применим и к другим сайтам.
Для создания хорошего пользотельского взаимодействия (юзабилити) необходимо создать юзер-кейсы. Итак рассмотрим поведение такого пользователя как я:
1) Авторизация частоиспользуемым паролем отнимает 2-3 попытки:
- Ввести пароль с первого раза и правильно.
- Понять, что он введён не в той раскладке, сменить раскладку и ввести пароль заново. PROFIT?
- Вариативно можно ещё при вводе ошибитсья
2) Авторизация частоиспользуемым паролем за чужим компьютером - 3-5 попыток
- Ввести пароль с первого раза и правильно.
- Понять, что он введён не в той раскладке, сменить раскладку и ввести пароль заново.
- Заметить что установлен merde пунтосвитчер, который подумал что это слово должно быть введено по-русски, сменить раскладку, ввести пароль.
- Отключить совсем пунтосвитчер, который упорно настаивает, что ему виднее в какой раскладке я должна вводить пароли. Иногда не настаивает. или вовремя нажать PageBreak.
- Опять таки можно и очепятаться.
3) Авторизация редкоиспользуемым паролем, на сервисе, где регистрировалась сто лет назад - over9000 попыток.
Надо подобрать одно из нескольких паролеобразующих названий. Например, если вам нравится пароль "сыр", то пишем его в английской раскладке русскими буквами, вариации будут: "сыр", "сыр123", "какого сыра вам не нравится мой пароль!!!пыщпыщ". Впрочем, о том, что разработчики, заставляющие пользователей придумывать пароль не менее 6 символов, (с цифрами, знаками пунктуации и иероглифами), должны вариться в отдельном котле — я писала ещё 4 года назад.
Поэтому вот вам правило:
Предоставлять пользователю хотя бы 10 попыток ввода пароля. Затем показывать капчу, для определения восстания скайнета их никто не отменял. Затем давать ещё 10 попыток без капчи. И только уж после этого блочить вход на час.