לפני כשבועיים עשינו איזה מחקר מהיר של עמודי כניסה (Log in) לאתרים שונים. ספציפית, דיברנו על האפשרות לקשר הודעות שגיאה לשדה ספציפי לעומת הודעות ששייכות לעמוד/טופס באופן כללי.
די מהר הבנו שההודעה היחידה שניתן לקשר לשדה ספציפי היא שתוכן השדה אינו חוקי – כלומר המשתמש ניסה להזין תווים אסורים או, במקרה שבו שם המשתמש חייב להיות המייל, כתובת המייל אינה תקנית. לעומת זאת, ההודעה הנפוצה ביותר בעמודים כאלה – שהסיסמא או שם המשתמש שגויים – חייבת להיות ברמת הטופס עצמו ולא קשורה לשדה ספציפי, כי אין דרך לדעת מה משני הדברים שגוי.
באותה הזדמנות הבנו גם שאימות הנתונים יתבצע תמיד בשליחת הטופס, ולעולם לא "על הדרך", בזמן שהמשתמש מקליד. ואז קיבלתי במייל דוגמא לאתר שכן בודק את הסיסמא בזמן ההקלדה. מדובר באתר Path.
מי ששלחה לי את זה אין לה חשבון ב-Path. היא נכנסה, ראתה שכפתור השליחה חסום, ניסתה להזין שם משתמש וסיסמא סתמיים, ראתה שהכפתור עדיין חסום, והבינה שהם בודקים את זה בזמן אמת, וכל עוד לא הזנת פרטים נכונים, הוא נשאר חסום.
בואו נגיד במילים עדינות שהייתי טיפה מופתע. אימות שם משתמש וסיסמא בזמן ההקלדה נשמע לי כמו מין שיא חדש של ביזיון של אבטחת מידע. אגב, השיא הקודם שייך ל-Path גם הוא, אז זה סוג של הגיוני, בסופו של דבר שיאים נועדו כדי שישברו אותם.
אבל הייתי חייב לבדוק. נכנסתי לאתר, קשקשתי משהו בשני השדות, שום דבר לא קרה. בדקתי את זה בשלושת הדפדפנים, שום דבר לא קרה באף אחד מהם. אז נאלצתי להירשם כדי לוודא שמשהו כן קורה כשמזינים פרטים אמיתיים. ואי אפשר להרשם באתר. אז הלכתי, הורדתי את האפליקציה שלהם (המצוינת כשלעצמה אם כי לא כוס התה שלי באופן אישי), יצרתי שם חשבון, חזרתי לאתר, רשמתי את שם המשתמש והסיסמא הנכונים. שום דבר לא קרה.
ורק אז עלה בדעתי לנסות ללחוץ על הכפתור. ואז משהו קרה.
מסתבר שהכפתור לא היה חסום. הוא רק היה אפור ויפה ומינימליסטי. ובהקשר הזה יש לי שאלה: האם יכול להיות שכל האנשים שעובדים בחברת Path עיוורים?
זאת תמונה של המנכ"ל והמייסד דייב מורין, שלקוחה מהבלוג שלהם. הוא מרכיב משקפיים ומסתכל באייפונו. ע"פ מנח האצבעות לא נראה שהוא מנסה לצלם משהו, וע"פ המרחק שבו הוא מחזיק את המכשיר נראה שהוא צריך להחליף או להוריד את המשקפיים, אבל על כל פנים בהחלט לא נראה שהוא עיוור.
טוב, לפחות זכיתי לעדכן את התג האהוב עליי בבלוג.
יש דווקא אפשרות אחת סבירה לאימות בזמן ההקלדה – מכיוון שהם דורשים דוא"ל כשם משתמש, כל עוד מה שמוקלד אינו כתובת דוא"ל תקנית, אין טעם לשלוח את הטופס. ועדיין, לעשות disable לכפתור שליחה זו לא גישה שעושה טוב למשתמש, שצריך לנחש למה.
אבל כמובן, זה לא מה שהם עושים כאן בכל מקרה…
זה מה שניסיתי להגיד בפסקה השנייה :). אפשר לבדוק ברמת השדה את התקינות של מה שהוזן מבחינת הפורמט – אבל לא לאמת שהצירוף מתאים.
https://bagcheck.com/mobile/blog/02-design-solutions-for-new-log-in-problems
גישה קצת אחרת למניעת טעויות לוגאין. לא מתאים לכל מערכת אבל עדיין נחמד.
גם התגובות מעניינות ובמיוחד תחושת אובדן הבטחון של משתמשים במערכת שהיא ממילא פתוחה
[…] UXtasy « ה-path לגיהנום רצוף פקדים יפים […]