Спроби аутентифікації закінчуються невдачею через те, що користувач забув пароль або логін (адреса електронної пошти). Більшість веб-сайтів не говорять користувачеві, що конкретно він вводить неправильно. Замість цього людина бачить фразу «Неправильний логін або пароль».

Зрозуміло, що такі заходи вводили для захисту. Якщо зловмисникові сказати, що поштову адресу неправильний, то він спробує інший. Якщо сказати, що адреса правильний, то він почне перебирати паролі.

Так навіщо ж ці дурні заходи безпеки, справедливо запитує Кевін?

Як фахівець з юзабіліті він знає, що така псевдозащіта створює зайві проблеми для звичайних користувачів, які дійсно не можуть пригадати, під яким адресою вони реєструвалися і сумніваються, чи правильно вводять пароль. Якщо людина дуже рідко заходить на сайт, то він дійсно може забути, під яким логіном реєструвався. Так чому б прямо не сказати йому, що пароль введений правильно, а ім'я користувача - ні?

В якості заходів для захисту від зловмисників Кевін Бурк розглядає такий варіант: при спробі реєстрації з адресою електронної пошти не говорити, що адреса зайнятий, а висилати посилання для завершення реєстрації на цю адресу електронної пошти. Але з точки зору UX це не найкращий спосіб. Ефективними заходами були б затримка між спробами аутентифікації (проти брутфорса), роз'яснення користувачам необхідності використовувати надійні паролі, інтеграція з парольний менеджерами і двухфакторная аутентифікація.