Stäng Huvudmeny

Dags att (äntligen) visa ditt lösenord?!

Just do it UX-Design

Visa ditt lösenord

Creative Commons – Attribution (CC BY 3.0) Designed by Gustav Salomonsson from the Noun Project

Lösenorden är en av vår tids största gissel. Och användarna på din sajt har lärt sig att ”password means trouble”. Men det finns sätt att göra det enklare, och enklare betyder säkrare. Vi måste bara våga utmana våra invanda uppfattningar om hur det ska fungera.

Säg hej då till autopiloten

Mycket av det vi gör i våra liv går på autopilot. – ”Så har vi alltid gjort här”, känns det igen? Fast vår självbild är att vi är innovativa, vi utmanar, vi spränger gränser.

I mitt jobb har jag kommit fram till att vi verkar utmana hur saker ser ut, men inte hur de fungerar.  – ”Asså vi har den här nya ascoola, responsiva parallax-scrollen, som ger en helt ny känsla till sajten och varumärket”. Ok, fast man måste fortfarande ge sitt hemtelefonnummer för att komma i kontakt med er, fast typ ingen har hemtelefon längre?

En av de funktioner som ingen ifrågasätter är att man inte ser lösenordet som man skriver in och att man i vissa fall måste repetera det.

Låt oss slå av autopiloten är fråga oss: VARFÖR DÅ?

Vilket problem är det vi försöker lösa?

Oj, tur satt du inte ser mitt login här

Oj, tur satt du inte ser mitt login här

Att man döljer lösenordet med ”blobbar” när man skriver in det ska förhindra att en person som står bakom dig, tillräckligt nära och i rätt vinkel, ska kunna se vad du skriver, registrera lösenordet och senare komma åt ditt konto.

Ärligt talat – Hur ofta är du i en situation där det händer? Framförallt i förhållande till hur ofta det INTE står en person där eller en person du litar på, som en kollega eller din sambo?

Kan det vara så att denna ”säkerhetsåtgärd” är en kvarleva från internetcaféernas tid? Eller ännu troligare bara något som ”vi alltid gjort här”, och som ingen ifrågasatt? Jag tror att många företag skulle vara rädda för att uppfattas som ”osäkra” om de bryter denna konvention vars (felriktade) syfte är att uppfattas som säker.

Vilka problem skapar vi i stället?

Eftersom de allra flesta av oss tittar på tangentbordet när vi skriver så ser vi inte vad vi skriver, och vi tappar den visuella feedbacken att vi gjorde rätt.

Men man har ju hajjat att det här fungerar dåligt, alltså försöker man ”hjälpa” användaren att göra rätt genom att användaren får göra om den här rätt knepiga saken EN GÅNG TILL och ”bekräfta” sitt lösenord. Så nu har vi inte bara en utan TVÅ chanser att göra fel. Bra tänkt, eller hur?!

Ett helt annat alternativ skulle vara att helt enkelt visa lösenordet så att användaren med blicken kan verifiera att det blivit rätt. Och om du inte har spioner som smyger omkring hemma hos dig eller på jobbet kommer det här att vara säkert.

Synen – Ett sinne till kommer med i matchen

Forskning visar rätt entydigt att ju fler sinnen vi använder desto bättre minns vi vad som hänt. Därför brukar man rekommendera att ta anteckningar på föreläsningar för då aktiveras andra sinnen och minnesfunktioner än om man bara lyssnar.

Min poäng här är att om du bara skriver in lösenordet två gånger, skriver in det helt rätt men inte SER lösenordet så har du inte aktiverat ditt visuella minne.

Enklare är säkrare

Jag fick inspirationen att skriva denna artikel av John Karys post Stop building broken password inputs. Här påpekar han att om man tvingar användaren att bekräfta sitt lösenord genom att skriva det två gånger och hindrar användare att se lösenordet, så kommer användare att välja enklare, och osäkrare, lösenord. Om man visar lösenordet och bara skriver det en gång blir det lättare att välja ett längre, mer komplicerat och säkrare lösenord.

Mobilen då?

Ett förstorat tecken

Ett förstorat tecken

Nåt som gör den här frågan ännu mer brännande är explosionen av mobilt internetanvändande. Här är det ÄNNU svårare att skriva rätt. På mobilen är det lätt att toucha men svårt att skriva.

Dessutom är det så att tangentbordet på mobilen oftast ”förstorar” det tecken vi skriver in, vilket gör den lätt att se för för någon som står bakom dig, vilket i sin tur gör det meningslöst att dölja tecknen i fältet.

Visa eller inte visa – vad borde default vara?

Mailchimp- Tydligt men "Hide" är fortfarande förvalt

Mailchimp- Tydligt men ”Hide” är fortfarande förvalt

Visst finns det ställen där man kan ”se” sitt lösenord, som till exempel när man loggar in på ett trådlöst nätverk med sin Mac. Problemet är att här är ”Hide” default och ”Show” ett aktivt val man måste göra.

Som Luke Wroblewski påpekar är vi väldigt benägna att följa det som är default. Alltså borde vi göra ”Visa” till default och ”Göm” till ett val man aktivt kan göra i det fall man befinner sig på ett läskigt internetcafé.visa_lösenord

Finns det något annat sätt att bekräfta sitt lösenord?

Om ni absolut måste bekräfta lösenordet är mitt förslag att ni gör det i form av visuell bekräftelse som du kan klicka på utan att använda tangentbordet (för att förenkla i mobilfallet). Här är ett exempel på hur det kan se ut:

BekräftaLösenord

Om ni använder AJAX kan ni ladda informationen från tidigare fält i det sista bekräftelsesteget på sidan och ni slipper skapa en ny sida i flödet. Eller så kan ni presentera det i ett modalt fönster, typ lightbox. Allt beror på hur just ert flöde ser ut.

Slutsats

  • Gör ”Visa” till default och erbjud möjligheten att ”Dölja” för de som vill ha det.
  • Om ni absolut måste bekräfta lösenordet gör det i form av en visuell bekräftelse som man kan klicka, utan att skriva.
  • Och slutligen: glöm inte bort att A/B-testa så att ni får ett kvitto på att det fungerar.

Slutparentes: Om ett par år kommer man ju att skratta åt även denna bloggpost, när vi alla loggar in med fingeravtryck, säkra kort eller vad det nu blir som slutligen skickar våra hemska lösenord till soptippen för gott.

Tack till John Kary och Luke Wroblewski som inspirerade mig att till slut skriva denna post som jag gått och fnulat på rätt länge.


John Ekman Om John

John är galet passionerad av att förbättra Konvertering och Konverteringsgrad. Han har lång erfarenhet av att Optimera Affärsutfallet för online-företag och är grundare av Conversionista! - nr 1 på Online-konvertering i Sverige.

  • Kristoffer Jansson

    Vet inte om detta är en så enkel sak att genomföra. Personligen har jag det så djupt rotat i ryggraden att jag får en olustig känsla i magen varje gång jag ser något av mina lösenord i klartext. Jag skulle tappa förtroende för en tjänst som by default visar mitt lösenord. Tänk scenariot där jag har ett sparat lösenord som syns innan jag ens har möjlighet att dölja det.

    Jag tycker iOS har gjort det bra (vet inte hur android och andra gör) med att visa senast skrivna tecken hela tiden. Men på mobiler/tablets ser man ju både tangentbordet och lösenordsrutan samtidigt, till skillnad från laptops/desktops. Browsers borde tillhandahålla en inställning om att visa/dölja lösenord.

    Om man sitter med en inloggning idag som man vill förenkla så tycker jag man ska satsa på en OAuth lösning, snarare än experimentera med att visa lösenord. Här på Disqus behöver jag t.ex inte logga in överhuvudtaget. Jag bara klickar på twitter-symbolen.

    PS. Jag skulle reflexmässigt strypa utvecklaren av en tjänst som visar mitt lösenord i klartext i en popup för bekräftelse 🙂

    • Chief Conversionista

      Jag är med på hur du tänker.

      Användarens motargument mot det jag skriver är -”Så har det alltid funkat och om ni ändrar det kommer jag rygga tillbaka och känna mig osäker”.

      Så visst, det är en ”farlig” strategi. Mot denna farliga strategi ska man ställa många som fumlar bort sitt lösenord, aldrig klarar av att registrera sig in the first place.

      Vilket är bäst/sämst?

      You should test that!

    • Chief Conversionista

      Kristoffer,

      Bottom Line är: det spelar ingen roll vad du eller jag ”tycker”. Testresultat ger facit.

      Jag frågade Luke Wroblewski om han hade några resultat.

      (Luke var inspiration till denna artikel + en av världens mest välkända UX/Usability/Formulär-experter).

      Sprint & Yahoo har testat med goda resultat: se svaret här:

      http://storify.com/lukew/yahoo-display-password-test

      • Kristoffer Jansson

        Det var intressant data, och du har rätt i att min personliga åsikt har väldigt lite bäring i sammanhanget.

        Detta är givetvis en quick fix som man kan testa, men jag vill understryka (lite som i din slutsats) att inget loginformulär är färdigt förrän man har en (bra) oauth integration.

        Detta naturligtvis förutsatt att man måste ha ett login överhuvudtaget.

        Jag vill också passa på att poängtera en teknisk aspekt som kan vara värd att tänka på om man funderar på att implementera detta. Webbläsare hanterar passwordboxar annorlunda från textboxar. Steg 1 är naturligtvis att avaktivera autocomplete på ett textlösenordsfält. Men man ska också veta att man slår ut läsarens inbyggda funktion för att spara lösenord (men detta kanske går att lösa med något javascript).

Få gratis konverteringstips

Anmäl dig till vårt nyhetsbrev

Nyhetsbrev

Lär av…

Kundcase Mathem ✻ Guldkorn
✻ Mallar och metoder
✻ A/B-tester och resultat
Lär av case

Kan du göra lika?

Se kundcase Se kundcase✔︎ Analys & webbpsykologi
✔︎ A/B-tester & resultat
Se alla case

Få platser kvar till flera seminarier

Anmäl dig till seminarium ✔︎ Webbpsykologi & verktyg
✔︎ A/B-testning & Google 360
✔︎ Snacka med experterna

Flera tillfällen i vinter

Säkra din plats

Spara 1000 kr

Conversion Jam 2017

Missade du?

Världens största CRO-event

Spara 1000 kr på din biljett till CJAM8

Du, kontakta oss!

Kontakta oss
Gitte eller hennes awesome kollegor hjälper dig.