Dostępnik o logowaniu
Co może być kłopotliwe na ekranie logowania? Co można zrobić lepiej, gdy masz pole do wpisania loginu i hasła oraz przycisk? Okazuje się, że całkiem sporo.
Siedzę sobie ostatnio nad tłumaczeniami objaśnień do WCAG 2.2, a w szczególności nad tymi dotyczącymi uwierzytelniania. Stefan Wajda powierzył mi rolę opiekuna 2 nowych kryteriów sukcesu 3.3.8 i 3.3.9, dotyczących właśnie tego tematu. Skoro się naczytałem, to postanowiłem podzielić się z Tobą moimi refleksjami. Jednak nie zamierzam podchodzić do tematu tylko od strony tych kryteriów sukcesu, ale znacznie szerzej. Opiszę Ci, co można poprawić w procesie logowania, aby był bardziej dostępny.
Login i hasło
Co może być nie tak z tymi prostymi polami tekstowymi? Może zacznę od tego, że "login" jest słabą etykietą, bo nie mówi, co właściwie należy wpisać w to pole. Projektantowi może się zdawać, że to oczywiste, ale patrząc od strony użytkownika - niekoniecznie. Tam przecież może być adres email, identyfikator cyfrowy, nick, numer telefonu i pewnie coś jeszcze. Kiedy raz na kilka miesięcy muszę się zalogować do usług Xiaomi, nigdy nie pamiętam co powinienem wpisać w to pole. A system niczego mi nie podpowiada. A ponieważ muszę też dopasować hasło, to zamienia się to w mordęgę na wiele godzin. Zazwyczaj kończy się to próbą założenia nowego konta i solenną obietnicą, że teraz zapiszę to w menedżerze haseł. No i nie zapisuję i potem zabawa jest od początku. Ostatnio tak się zraziłem, że mój oczyszczacz powietrza nie jest podpięty do aplikacji w ogóle.
Użytkownik dostaje wybór, jakiego loginu użyć i to nie jest wcale takie fajne. Musi przecież zapamiętać dodatkową informację, która w momencie zakładania konta jest dla niego mało istotna. A potem jest kłopot.
Problemem są także same hasła. Z jakiegoś powodu pojawiają się wyśrubowane wymagania co do tworzenia haseł. Kto nie spotkał tekstu w rodzaju "Hasło musi się składać z przynajmniej 8 znaków, w tym z dużej i małej litery, cyfry i znaku specjalnego." Tutaj zabawny suchar na ten temat.
Teoretycznie służy to zwiększeniu bezpieczeństwa, ale to nie jest do końca prawda. Użytkownik musi takie hasło zapamiętać, więc idzie najkrótszą ścieżką wymyślając hasło spełniające większość wymagań i potem używa go wszędzie. No bo jak ma zapamiętać wiele dziwacznych haseł? No i jest mniej bezpieczny, bo jedno ujawnione hasło daje dostęp do wielu usług. Może zatem nie przesadzaj.
Zapamiętaj mnie i zaloguj
Cały proces można uprościć i na wielu stronach jest to już wdrożone. Można się bowiem zalogować za pośrednictwem zewnętrznego podmiotu uwierzytelniającego, czyli na przykład Google, Facebook, czy Microsoft.
Tu muszę jeszcze napisać, że czymś innym jest logowanie przez Google, a czymś zupełnie innym oddawanie mu uprawnień do jakiegoś zasobu. To zawsze jest ryzykowne, więc robię to tylko wtedy, gdy wiem na pewno, że tego potrzebuję. Jeżeli zatem chcesz się zalogować, a nagle pojawiają się prośby o dostęp do lokalizacji, dysku, historii i czegoś tam jeszcze - zatrzymaj się i zastanów.
Wreszcie chcę wspomnieć o jeszcze prostszym rozwiązaniu, jakie stosuje na przykład Substack. Możesz się zalogować za pomocą adresu email i hasła, ale wcale nie musisz. Możesz tylko wpisać adres email, na który przyjdzie specjalny link. Klikasz i logowanie załatwione. To też jest bardzo proste i wygodne. Czy także bezpieczne? Raczej tak, bo jeżeli ktoś przejmie dostęp do poczty email, to równie dobrze może zresetować hasło.
Dwuskładnikowe uwierzytelnianie
To jest rozwiązanie, które zawsze gorąco polecam. Pewnie wiesz, czym to jest, ale tak na wszelki wypadek opiszę w skrócie.
Na stronie internetowej, gdzie masz swoje konto, włączasz uwierzytelnianie dwuskładnikowe (2FA) i łączysz ze swoim urządzeniem, na przykład smartfonem. W ten sposób sam login i hasło nie wystarczą, bo operację trzeba zatwierdzić na oddzielnym urządzeniu, które zazwyczaj masz w kieszeni.
No i są jeszcze rozwiązania OTP, czyli połączenie smartfonu z kontem za pośrednictwem aplikacji do autentykacji. Ja używam FreeOTP, ale są też takie od Google i Microsoft. Przyuruchamianiu uwierzytelniania dwuskładnikowego skanujesz kod QR z ekranu i reszta dzieje się sama. Potem przy logowaniu na innym urządzeniu strona zapyta Cię o 6-cyfrowy kod, który wyświetla się na ekranie aplikacji OTP.
Wszystko to wygląda dość wygodnie i prosto, ale nie dla wszystkich. Jest spora grupa użytkowników mających problem z zapamiętywaniem lub przepisywaniem kodów. Niby to tylko 6 cyfr, ale trzeba je przepisać i to w krótkim czasie. Często muszę przeczytać kod kilka razy, żeby go zapamiętać i przepisać. Stosuję przy tym sztuczki mnemotechniczne, na przykład dzielę to na 2 grupy po 3 cyfry. Jeżeli jednak ktoś ma większe problemy z pamięcią krótkotrwałą, to pozornie prosty mechanizm staje się nie do przejścia.
Hackowanie mózgu
Widziałem już w życiu wiele udziwnionych sposobów logowania. System wymagał wpisania hasła, ale w innej kolejności niż oryginalne. Inny wymagał wybrania grafiki wskazanej podczas tworzenia konta. Takie wynalazki stopniowo odchodzą, chociaż wciąż można je spotkać. A przecież każda operacja logowania to dla użytkownika hackowanie pamięci, skojarzeń i koordynacji. Ten problem dostrzegli autorzy WCAG i w wersji 2.2 zaadresowali ten problem. Pojawiły się kryteria sukcesu 3.3.8 i 3.3.9 zwracające uwagę na osoby z problemami poznawczymi. Można je podsumować w krótkiej liście:
Nie zmuszaj do przepisywania kodów jednorazowych i wpisywania haseł.
Nie blokuj możliwości wklejania haseł oraz używania menedżerów haseł.
Zastosuj kilka wariantów logowania.
Musisz znaleźć równowagę między bezpieczeństwem i dostępnością. Żaden z tych elementów nie może dominować, ale muszą ze sobą współgrać. I wtedy świat będzie prostszy.
Wieści o dostępności
Skończyłem moją książeczkę o WCAG 2.2. Postanowiłem dać ją tym, którzy pomagają mi poszerzać krąg odbiorców Dostępnika. Dlatego uruchomiłem mechanizm poleceń. Jeżeli ktoś zasubskrybuje Dostępnik z Twojego linku referencyjnego, dostaniesz punkt. Za 3 takie punkty dostaniesz ebook. Ale są też 2 inne progi. Za 7 poleceń możesz dostać 2 godziny konsultacji, a za 25 - całodzienne szkolenie online lub stacjonarnie. No i pojawi się taka tabela rankingowa, gdzie możesz sprawdzać, ile masz punktów. Bardzo jestem ciekawy, czy to wypali.
Kilka wieści o AutomaticA11y, bo się należą. Mam już większość szczegółów. Miejsce to aula użyczona przez Polsko-Japońską Akademię Technik Komputerowych. Termin to 16 maja 2024 roku od godziny 12:00. Mam już pierwsze zgłoszenia do wystąpień, ale o tym nieco później. Dzięki Tomaszowi Boniorowi jest także strona wydarzenia.nNa razie nie pokażę jej publicznie, bo dopiero usiądę do wypełniania jej treścią. Jeżeli korzystasz z LinkedIn, to możesz się doczepić do utworzonego tam wydarzenia, gdzie także będę podawał kolejne szczegóły. No i oczywiście zachęcam do zgłaszania wystąpień.
Przy okazji AutomaticA11y okazało się, że w połowie maja będzie więcej wydarzeń na temat dostępności. Na razie niczego nie zdradzę, ale będzie coś w Poznaniu i w Gdańsku. Może jeszcze gdzieś. Będę musiał wziąć wtedy urlop, żeby być wszędzie.
W dniach 27-29 lutego możesz wziąć udział w wydarzeniu "Forum bez barier. O kinie dostępnym." Głównymi partnerami są Fundacja Katarynka, Fundacja Kultura bez barier i Stowarzyszenie Kin Studyjnych. Tu znajdziesz więcej informacji o wydarzeniu.
Marta Dąbrówka przysłała mi ciekawostkę. Pewien 15-latek napisał grę o swojej siostrze jeżdżącej na wózku. Chcesz zagrać? Grę można pobrać i uruchomić na swoim komputerze. Daj znać, czy fajna, bo dla mnie zupełnie nie jest dostępna.
I to by było na tyle. Dzień się wydłuża, zima słabnie, a za 2 tygodnie walentynki. No i jakoś tuż po tym dostaniesz nowy numer Dostępnika. Dobrego weekendu.