“无效的用户名或密码”：这种设计真的糟透了？

如果您在登录时输入了错误的用户名(通常是电子邮件地址)或密码，大多数系统会弹出以下句子：用户名或密码无效。系统不会告诉你哪个是错的，因为它们是专门这样设计的，比如下面的例子：

这样做的原因是为了安全。如果有人恶意尝试破解，在尝试出错时告诉他们密码是错的，就意味着邮箱是对的(账号是存在的)，这就无形中为他们排除了一个选项。

可惜这种设计明显低估了人的智商。

99.9%的网站只允许一封邮件注册一个账号，所以如果你真的想知道一个账号是否存在，就试着用同样的邮件再注册一次。如果注册失败，则表示用户名正确。

也就是说，“无效用户名或密码”短语的设计根本达不到预期的安全防御目的。这个设计不仅没有安全价值，更重要的是，它把普通用户登陆时的用户体验搞得很糟糕。.

登录时错误的用户名或密码会导致系统报告错误。如果系统没有给用户一个准确的反馈，就不会告诉你用户名错了还是密码错了，这对用户纠正输入错误是完全没有用的。这是一次非常糟糕的经历。

“无效用户名或密码”的设计不能说是安全性和用户体验之间的权衡，因为它不具备安全性的优势。 优艾设计网_平面设计

真正的安全性和用户体验之间的权衡设计应该是这样的：你可以在登录系统中保留“无效用户名或密码”作为一种试错方法，但是当用户尝试通过电子邮件注册时，系统应该向可以直接完成剩余注册过程的电子邮件发送一封电子邮件，这样除了真正拥有该电子邮件的用户之外，没有人可以知道该电子邮件是否注册了帐户。

如今，为了保证登录的安全性，越来越多的网站开始使用其他设计方法：例如，使用动态条形码技术的双重认证；结合LastPass或1Password等第三方密码管理软件；结合iPhone 触控ID的指纹识别技术；甚至是直接放弃密码的无密码登录系统等。

但是现在太多的网站仍然保留着“用户名或密码无效”的蹩脚设计。

其实这是一个很小的细节，但背后的设计逻辑很有问题。这反映出网站系统的设计应该是多方面的，像这种防试错的落地系统，没有注册系统的配合，是没有用的，只会白白降低用户体验。