Potwierdzenie adresu e-mail a aktywacja konta
Często w ramach przygotowywania wpisów rejestruję się na różnych stronach. Większość z nich wymaga potwierdzenia adresu e-mail dla aktywacji konta, a większość z tych, które wymagają, robi to zupełnie niepotrzebnie. Adres e-mail może pełnić wobec konta jakieś funkcje służebne, jak przypomnienie hasła lub wysyłka powiadomień, ale bardzo rzadko zdarza się, że są one krytyczne dla jego działania.
Wygórowane mniemanie
Często chyba zdarza się autorom stron myśleć, że potrzebują, w ramach świadczonych na stronie X usług, rozszerzenia ich świadczenia także poza obszar strony X, a więc na prywatną skrzynkę pocztową użytkownika. Bo jak nie, to skąd będzie wiedział o jakże ważnej promocji, o wprowadzeniu istotnej funkcjonalności, o nowej wiadomości wreszcie? Ano, jeśli będzie chciał się dowiedzieć, to zaloguje się i popatrzy, co tam nowego. Jeśli uzna, że życzy sobie otrzymywać powiadomienia e-mail, to wyrazi na to oddzielną zgodę lub oddzielnie zadeklaruje chęć. Jeśli nie chce wiedzieć lub się zgadzać, nie ma sensu go zmuszać.
Niezupełnie konto instant
Większość poweruserów jest w stałym kontakcie ze swoją skrzynką e-mail, czy to przez otwarte okno Gmaila, czy przez desktopowego klienta. W takim przypadku rzeczywiście potwierdzenie e-maila trwa chwilę. Większość zwykłych userów nie prowadzi natomiast bogatej korespondencji e-mailowej i używa skrzynki raz na parę dni, więc aby aktywować konto, musi dokonać logowania na swoją skrzynkę, zazwyczaj przez webmail obłożony reklamami, które dodatkowo zwiększają czas ładowania strony. Niby to tylko parę sekund, ale dodajmy do tego chwilę zastanowienia („Jakie ja mam hasło na tej skrzynce?”), kliknięcie lub dwa, aby dostać się do wiadomości z linkiem, a następnie wylogowanie i znów mulące reklamy. Oczekiwania użytkownika („zarejestruje się i mogę korzystać!”) zostają zawiedzione.
Krytyczne powiadomienia
Istnieją powiadomienia krytyczne. Przykładem niech będzie zmiana w regulaminie. O ile użytkownik nie zatwierdzi jej na czas, jego konto zostaje zawieszone. Brzmi strasznie, a w rzeczywistości: skoro użytkownik nie loguje się na konto i nie akceptuje nowego regulaminu, to znaczy, że akurat nie potrzebuje konta. Jak zacznie potrzebować, zaloguje się, potwierdzi regulamin i po problemie. Nie musi być informowany na e-mail.
Ograniczenie funkcjonalności
Jeśli podstawową funkcją strony jest wysyłka e-mail, niby logiczne, że e-mail powinien być potwierdzony. Ale ponownie: konto to nie e-mail, e-mail to nie konto. Konto z niepotwierdzonym e-mailem ma po prostu ograniczoną lub zerową funkcjonalność. O ile nie wysyłamy mailingu, będzie bez znaczenia, czy użytkownik oleje konto przed, czy po aktywacji. Jeśli natomiast jej nie wymusimy, być może wróci do konta w przyszłości i zechce je aktywować.
(Warto w tym miejscu przypomnieć, że niepotwierdzony adres e-mail nie powinien być przez stronę traktowany jako zajęty – taki, którego nie można podać przy rejestracji. Zdarzyło mi się raz nieopatrznie przeładować wypełniony formularz rejestracji i wyskoczył mi komunikat o zajętości e-maila, chociaż zarejestrowałem się kilka sekund wcześniej.)
Problem z doręczeniem
E-mail z linkiem aktywacyjnym może zostać zatrzymany przez filtr antyspamowy, pełną skrzynkę itd. Nietypowa domena, źle skonstruowany tytuł, albo jeszcze gorzej: strona w branży porno z podejrzanymi słowami w treści e-maila – i skuteczność doręczenia spada na łeb. Jeżeli użytkownik ma działające konto, można rozszerzyć zakres pomocy dla przypadków niedoręczenia. Jeśli może je aktywować dopiero po potwierdzeniu e-maila, ilość akcji, jakie można podjąć w przypadku niedoręczenia, a jednocześnie nie naruszać prywatności, spada.
Mit przydatności przypomnienia hasła
(Update z 27 maja 2009 r., 08:30: Zagubiony akapit, sorewicz.) Tylko raz zdarzyło mi się skorzystać z przypomnienia hasła, i to tylko dlatego, że nabazgrałem je tak (bo zapisuje hasła długopisem), że po paru miesiącach nie byłem w stanie odczytać tekstu, bo zdążył wyblaknąć. Nauczyło mnie to tylko tego, żeby zapisywać hasła dobrymi długopisami i czasem przepisać na nowo, natomiast żaden pokłon dziękczynny nie wyrwał mi się w stronę tego, kto zmusił (czy zachęcił) mnie do potwierdzenia kiedyś e-maila.
Kiedy wymuszać potwierdzenie
Istnieją w zasadzie trzy przypadki, gdy potwierdzenie adresu e-mail powinno być jednym z warunków aktywacji konta. Pierwszym jest wysyłka mailingu, na który użytkownik zgadza się, akceptując regulamin. Druga przypadek to sytuacja, gdy loginem jest e-mail. Można wtedy przy rejestracji poprosić tylko o e-mail, a następnie, po tym, jak user kliknie w link potwierdzający, od razu przenieść do tworzenia konta (tylko żeby link nie wygasł przed założeniem konta!). Trzeci przypadek to sytuacja, gdy e-mail jest identyfikatorem użytkownika w systemie w jakiś inny, ważny sposób. Przykładem PayPal. I tyle.
Tagi: usability
 Komentarze (5) 
Kategoria: refleksje 
RSS komentarzy do tego wpisu
Trackback:
|
| ||
|---|---|---|---|
2009-05-26 o 21:12
kłóciłbym się. od strony developerskiej email ma tę zaletę, że jest raczej unikalny oraz stanowi ochronę przed spamem.
a ile jest zalet unikalności maila – chyba każdy wie.
2009-05-26 o 23:25
@ruiz: Wszystkie te serwisy o których piszesz starają się bronić przed spamem botów. Pół biedy jeśli w serwisie można wykonywać tylko operacje na własnym koncie [typu chociażby upload plików], ale jeśli w uprawnienia po rejestracji wchodzi np. pisanie postów/wiadomości tudzież komentowanie – wtedy staje się to niebezpieczne.
2009-05-27 o 04:46
Co do ochrony przed spamem i spambotami. Przede wszystkich jest od tego CAPTCHA i jest pierwszym testem pozwalającym odróżnić człowieka od bota. Jeśli nawet robot przejdzie ten test, pozostaje szereg kryteriów, na podstawie których można zablokować aktywność na podejrzanym koncie: zbyt częste wywoływanie stron, zbyt regularne wywoływanie, wysyłanie tej samej wiadomości X razy, zbyt częste wysyłanie wiadomości, wysyłanie wiadomości w innym języku (to polski startup, załóżmy, a więc wiadomość po angielsku jest podejrzana), wysyłanie wiadomości, która googluje się na znacznej liczbie stron. A są jeszcze inne narzędzie: zgłoszenie nadużycia, obserwowanie ostatnich akcji użytkowników.
Zresztą nie jest wcale tak, że bot nie może potwierdzić adresu e-mail, bo przecież skądś ten spam jest wysyłany i boty mają dostęp do całej masy skrzynek. Na pewno już się naumiały potwierdzać, skoro tyle stron wymaga potwierdzenia. :)
@bimas: Nie mogę się zgodzić, że wszystkie serwisy, o których piszę, starają się bronić przed spambotami. Przede wszystkim piszę o startupach, stronach, których nikt, póki co, nie atakuje. Rozwiązywanie problemów w miarę, jak się pojawiają, nie jest wcale gorsze od przewidzenia możliwie dużej ilości już przed startem, a następnie zabezpieczenie się. Bo wszystkich nie przewidzisz, a tylko się spocisz.
2009-06-01 o 09:47
Wygląda na to, że autor pisze z perspektywy użytkownika, który nie ma pojęcia dlaczego serwisom potrzebny jest e-mail. A jest potrzebny choćby po to, aby ten sam użytkownik nie zakładał wielokrotnie konta pod różnymi nickami, np. w przypadku, gdy zapomni hasła (hmmm, autorowi się to nie zdarza). Albo po to, aby nie udostępniał tego konta wielu osobom (gdy konto jest przypisane do emaila, to jest mniej anonimowe), albo po to, aby serwis miał jakikolwiek kontakt z użytkownikiem (kontakt się przydaje w BARDZO wielu, często nieprzewidzianych, sytuacjach, np. zmiana adresu serwisu – to tylko jeden z dziesiątek przykładów).
I jeszcze jedno mnie ciekawi – po co dodając ten komentarz MUSZĘ podać swój adres email (ciekawe, czy będę go musiał potwierdzić ;) ?
2009-06-01 o 10:07
Nie przekonuje mnie taka argumentacja.
Czy chce się odzyskać zapomniane hasło, to wybór usera. Czy chce się mieć kilka konta, to też, w większości przypadków, wybór usera. W przypadku serwisów, gdzie obowiązuje zasada jednego konta na usera, kilka kont można założyć, bo można mieć kilka adresów e-mail. Ktoś, kto z zamiłowania jest multiaccountowcem, ma też w odwodzie kilka adresów.
Konto z potwierdzonym e-mailem mniej anonimowe? W ogóle bym tak na to nie spojrzał. Raczej tak: Konta udostępnia się albo tym, którym się ufa, albo dając się wkręcić. Osoba zaufana nie zrobi tejka i zna zazwyczaj e-mail właściciela konta. Osoba niezaufana (takie przypadki, jak w MMORPG, gdzie się dzieciaki dają wkręcić w „daj hasło do konta, to ci doładuję”), mając hasło, może zmienić i e-mail.
Zmiana adresu serwisu jako przykład? No kaman, ile serwisów zmienia adresy? A ile z tych, co zmieniają, nie zostawia pod starym adresem żadnej informacji?
Waham się już jakiś czas, czy wymóg podania e-maila i nicku ma jakikolwiek sens tutaj. Adresy e-mail podawane i tak są często fałszywe, do tego nie są weryfikowane. Natomiast nick i e-mail są sprzężone w WordPressie, a nicki jednak bym zostawił.