密碼保護(hù)是注冊(cè)過程中的關(guān)鍵環(huán)節(jié)，尤其是對(duì)帳戶安全級(jí)別比較高的網(wǎng)站，尤其在賬號(hào)被盜或者涉及安全登錄等問題的情況下，密碼保護(hù)問題作為用戶身份識(shí)別信息，來通過帳號(hào)異常登錄（如密碼被盜，被封帳戶被封等）等權(quán)限認(rèn)證。最近做項(xiàng)目才發(fā)現(xiàn)這里有很多細(xì)節(jié)問題，嚴(yán)重影響了用戶的體驗(yàn)，總結(jié)了以下幾點(diǎn)關(guān)鍵因素，跟大家探討。

　　一、安全性

　　設(shè)置密碼保護(hù)問題的最關(guān)鍵的因素就是安全性，因此需要只有注冊(cè)的用戶本人才能提供正確的答案，不易被別人猜中或被機(jī)器破解。設(shè)計(jì)時(shí)可以參照如下因素：

　　答案不要問用戶經(jīng)常用到的信息，這樣防止別人通過打聽或調(diào)查而輕易獲得。（比如：你的小名，生日，身份證號(hào)，電話號(hào)碼，地址，寵物的名字等等）
問題最好和用戶的隱私相關(guān)并且記憶深刻。
　　我們看看以下例子的比較，可以看出問題1和2要優(yōu)于問題3和4：

　　你小時(shí)候夢(mèng)想的職業(yè)是？
　　你的第一個(gè)男朋友（女朋友）的生日？
　　你媽媽的名字？
　　你手機(jī)號(hào)碼的后四位數(shù)？

　　二、確定性

　　提示問題要唯一，不要同時(shí)給出多個(gè)問題。
　　以QQ的注冊(cè)頁面為例，有個(gè)問題是“你的學(xué)號(hào)（或工號(hào)）是？”就很迷惑，對(duì)于那些只有學(xué)號(hào)或工號(hào)的用戶還好，對(duì)于兩個(gè)答案都擁有的用戶就很迷惑，很可能他們?cè)谧?cè)是隨便輸入一個(gè)，在找回的時(shí)候可要回想當(dāng)初究竟填了那一種號(hào)碼？我猜想當(dāng)時(shí)的設(shè)計(jì)師會(huì)認(rèn)為擁有學(xué)號(hào)的是學(xué)生，擁有工號(hào)的是上班族，這兩個(gè)條件是互斥的，所以只能二選一。其實(shí)情況并不這么簡(jiǎn)單，就以我來舉例，注冊(cè)的qq時(shí) 候我是學(xué)生，現(xiàn)在已經(jīng)上班了。找回密碼的時(shí)候可能早就忘了當(dāng)時(shí)的學(xué)號(hào)了；或者有的人是在職的學(xué)生，同時(shí)擁有學(xué)號(hào)和工號(hào)；再或者他轉(zhuǎn)了好幾次學(xué)，換了n個(gè)工作，可能就存在不止一個(gè)學(xué)號(hào)或工號(hào)。。?？傊?，這兩個(gè)問題在很多情況下不是互斥的，甚至是重疊的。

圖1  qq的注冊(cè)頁面

 
　　2.提示問題不要含混不清。
　　以“我最好朋友的生日”來說?！白詈玫呐笥选庇泻芏嘞薅l件，一個(gè)人也許不止有一個(gè)最好的朋友，也許前兩年的朋友過了幾年就成了關(guān)系很淡的朋友。這還不算，還要在此基礎(chǔ)上價(jià)加上“生日” 這個(gè)條件涉及到很多格式（下面會(huì)提到這個(gè)問題），無疑是給用戶雪上加霜。
 
　　三、不變性  
        
　　不要讓問題的答案是可變的，不然會(huì)導(dǎo)致多種可能的答案：
　　不要讓用戶自己去定義格式 
　　比如上面提到的“生日”的格式就有很多種：1982/09/08;1982年9月8號(hào)（日）；1982-09-08等等。我的建議是，如果一定要存在該問題，在答案填寫的表單應(yīng)該對(duì)應(yīng)出現(xiàn)系統(tǒng)定義好的格式，而不單單是一個(gè)輸入框。
　　問題包含的內(nèi)容要長(zhǎng)時(shí)間保持不變
　　比如“你的手機(jī)號(hào)碼的后6位”等問題，有的人會(huì)經(jīng)常更換手機(jī)號(hào)碼，對(duì)那些不經(jīng)常更換手機(jī)號(hào)的人來說，手機(jī)被盜啊，換了居住地點(diǎn)等外在條件也會(huì)有變號(hào)的影響。所以不建議作為選項(xiàng)；“你的身份證的后6位”就會(huì)比前者要好很多。
　　答案不要有縮寫或簡(jiǎn)寫的可能
　　比如“你大學(xué)畢業(yè)的學(xué)?！贝祟悊栴}，答案會(huì)五花八門，以“西北工業(yè)大學(xué)”為例，就會(huì)有“西工大”“西北工大”“NWPU”等叫法，將問題改成”你畢業(yè)的大學(xué)的全稱？“就好很多。
 
　　四、便于記憶     
      
　　一個(gè)好的提示答案需要很容易被用戶記住，理想情況下，用戶在看到密碼提示后能立馬想到答案，而不需要去查身邊的一些資料或努力回想。比如“我的駕駛執(zhí)照號(hào)碼是？”（反正我是不知道，你們呢？）
　　另外，不要問到童年時(shí)的信息，畢竟離現(xiàn)在這么長(zhǎng)時(shí)間了。比如：“你最喜歡的小學(xué)老師的名字是？”等。

　　五、其它的細(xì)節(jié)

　　其實(shí)有的密碼提示問題并不適用于所有人（如”我的汽車牌號(hào)？“），況且還有不少缺陷，因此我建議設(shè)計(jì)師應(yīng)該多提供一些問題讓用戶選擇，比如圖1提供2-3個(gè)表單，每個(gè)包含15個(gè)問題，選擇了第一個(gè)問題后，后兩個(gè)表單可以自動(dòng)清除已選擇的選項(xiàng)。    
不要讓用戶自定義保護(hù)問題。雖然這個(gè)功能看上去很人性化，但是用戶是很怕麻煩的，如果有合適的問題，干嘛還要自己輸入呢？( Don’t make me think).況且看看上面的例子就知道設(shè)置好的問題是很不容易的，這樣的事情還是留給設(shè)計(jì)師去做吧。  
       

　　3.問題避免提到顏色，因?yàn)槊總€(gè)人對(duì)顏色的感知都不同，尤其是色盲用戶。

　　最后我想說的是，密碼保護(hù)主要是幫助用戶方便找回自己的ID，如果這個(gè)過程太過繁瑣反而會(huì)影響操作，在什么時(shí)候使用，以及怎樣掌控找回的流程，是需要前期評(píng)估的，只有在確定使用的時(shí)候再去考慮如何設(shè)計(jì)，千萬不要過于糾結(jié)問題的細(xì)節(jié)。

　　原文：http://ued.taobao.com/blog/2009/02/12/%e6%80%8e%e6%a0%b7%e8%ae%be%e7%bd%ae%e5%af%86%e7%a0%81%e4%bf%9d%e6%8a%a4%e9%97%ae%e9%a2%98/