Der wahre Grund dafür, dass ein Benutzer sein Passwort zweimal eingibt, besteht darin, eine falsche Eingabe zu vermeiden. Wenn Sie ein neues Passwort eingeben, ist es sehr einfach, einen falschen Großbuchstaben zu erhalten oder versehentlich den Buchstaben neben dem einen einzugeben Sie denken, Sie tippen.

In diesem Fall kann der Benutzer nicht auf sein Konto zugreifen. Zu diesem Zeitpunkt können schwächere Sicherheitsformen wie das Zurücksetzen des Kennworts ins Spiel kommen.

Wenn Sie es zweimal eingeben, überprüfen Sie schnell, ob der Benutzer konsistent genug ist, um es zweimal gleich zu machen - also haben sie es wahrscheinlich richtig.

Es gibt einen wichtigen Punkt, der hier kaum angesprochen wird und in dem von Ihnen verlinkten UX-Thread etwas mehr angesprochen wird, den ich hervorheben möchte.

Das Feld zur Kennwortbestätigung allein dient keinem Sicherheitszweck . Es dient jedoch als Usability -Zusatz, um Kopfschmerzen zu lindern, die andernfalls durch etwas verursacht werden könnten, das eine Sicherheitsfunktion ist.

Der Grund, den wir haben Benutzer bestätigen ihre Passwörter, weil sie ihr Passwort bei der Eingabe nicht auf dem Bildschirm sehen können. Der Grund, warum wir ihnen nicht erlauben, das Passwort auf dem Bildschirm zu sehen, besteht darin, zu verhindern, dass Schulter-Surfer, Überwachungskameras, freigegebene Desktop-Benutzer und Bildschirmaufnahme-Tools das Passwort sehen.

Wenn das Passwortfeld angezeigt wird bleiben Sie entlarvt, dann wäre es sinnvoll, auf eine Passwortbestätigung zu verzichten. Sie können dies bereits in einigen Anwendungen in Aktion sehen (KeePass ist ein Beispiel), mit denen Sie das Kennwortfeld selektiv maskieren / demaskieren können. In diesen Anwendungen ist das Kennwortbestätigungsfeld nur aktiviert, wenn das Kennwort maskiert ist.

Der Dialog des Kennwortbestätigungsdialogs dient der Überprüfung der Integrität des Benutzers. Benutzern kann nicht vertraut werden, dass sie ihr Passwort 100% der Zeit fehlerfrei eingeben, und noch viel weniger, wenn sie das Passwort vor der Übermittlung nicht visuell überprüfen können. Es ist jedoch sehr unwahrscheinlich, dass ein Benutzer sein Passwort zweimal hintereinander auf die gleiche Weise "fetten" wird. Auf diese Weise kann ein Benutzer relativ sicher sein, dass er das Kennwort so festlegt, wie er es für richtig hält, ohne die Sicherheit durch Anzeige auf dem Bildschirm beeinträchtigen zu müssen.

Natürlich sollte dies so verstanden werden nur in der Registrierungsphase erforderlich. Dies liegt daran, dass Sie während des Setups nur eine Chance haben, Ihr Kennwort festzulegen, bevor Sie sich dazu verpflichten. Beim Anmelden erhalten Sie mehrere Versuche. Ein einmaliger Fehler bei der Anmeldung ist viel kostengünstiger als bei der Registrierung (ohne Bestätigungsfeld).

Es ist am besten, wenn Benutzer ihr Kennwort zweimal eingeben, weil:

1. sie es möglicherweise falsch eingegeben haben und sie es nicht wissen würden , weil das Kennwort " versteckt "auf ihrem Display (es ist nur ein Haufen von '*');
2. Wenn der Benutzer seine Sicherheit ernst nimmt, hat er ein brandneues Passwort generiert, das er wird muss auswendig lernen. Diese Art von Gedächtnis befindet sich in den Muskeln (tatsächlich in den Gehirnzellen, die die Muskeln direkt verwalten). Wenn der Benutzer sein brandneues Passwort zweimal eingibt, bedeutet dies, dass die Wahrscheinlichkeit halbiert , dass er es in zehn Minuten vergessen hat.
ol>

Wir Die Benutzer müssen das Kennwort dreimal nicht eingeben, da dies sie verärgern würde.

Hier gibt es einen wichtigen Punkt:

Das Bestätigungsfeld ist speziell vorhanden, da das Kennwortfeld traditionell Ihre Eingabe maskiert. Die Frage ist nicht bestätigen Sie oder nicht , die Frage lautet maskieren Sie das Passwort oder nicht . Wenn Sie die Passworteingabe maskieren, müssen Sie bestätigen , da der Benutzer sonst möglicherweise falsch eingibt und es nicht weiß. Wenn Sie das Kennwort jedoch anzeigen, während der Benutzer es eingibt, kann er selbst sehen, ob er es korrekt eingegeben hat.

Der Vorteil des Maskierens des Kennworts besteht darin, dass diese vertraulichen Informationen vor schultersurfenden Zuschauern verborgen bleiben. Der Nachteil ist, dass es schwieriger ist zu bestätigen, dass Sie das Ding richtig eingegeben haben.

Der allgemeine Konsens ist, dass es besser ist, auf der Seite der Sicherheit zu irren, und die meisten Benutzer erwarten tatsächlich, dass Sie dies tun. Wenn Sie ihnen ein nicht maskiertes Kennwortfeld geben, haben Benutzer im Allgemeinen den Eindruck, dass Sie nicht wissen, was Sie tun.

Dies hat nichts mit Sicherheit zu tun, sondern mit der Benutzererfahrung. Ihre Benutzer sind frustriert, wenn sie sich nicht bei ihrem neuen Konto anmelden können, weil sie das Kennwort bei der Registrierung falsch eingegeben haben. Das Feld Passwort erneut eingeben dient dazu, zu überprüfen, ob der Benutzer es beim ersten Mal richtig eingegeben hat. Es hat nicht viel mit Sicherheit zu tun, da es nichts anderes beeinflusst. Sie können auf dem Client überprüfen, ob die Kennwörter übereinstimmen. Es muss nicht über das Internet oder so übertragen werden.