Tem algo que me incomoda muito para se autenticar em sites/serviços que exibe 2 telas para se autenticar (não é autenticação de 2 fatores!).
Por exemplo, para se autenticar no feedly.com para quem se cadastrou primeiro precisa informar o e-mail e, na tela seguinte, precisa informar a senha. Enfim, não ter os campos e-mail e senha na mesma tela requer mais ação do usuário e atrapalha quem usa gerenciadores de senha que não consegue fazer o preenchimento automático dos campos em 2 telas.
Achei algumas informações sobre isso no link abaixo, diz que é para segurança, evitar invasores ou que algum site tente emular a mesma tela. Em todo caso isso me incomoda, será que não há jeito melhor de fazer isso em uma única tela?
https://www.twilio.com/blog/why-username-and-password-on-two-different-pages
Pior que isso deve mitigar muitos tipos de ataques de força bruta, que podem até comprometer a estabilidade da aplicação. O link citado diz que alguns gerenciadores de senhas se adaptaram a esse login em duas telas. Infelizmente parece ser a melhor abordagem para minimizar essa chateação.
bitwarden aqui tem funcionado bem assim.
Eu utilizo o Enpass, ele até preenche os dois campos corretamente, mas eu preciso liberar duas vezes o app e as vezes enche o saco por que não estou no celular e sem biometria a senha de acesso e chatunha de digitar.
Faz parte para alguma segurança? Sim, mas não deixa de ser desagradável realmente.
Acredito que isso diz respeito a uma validação inicial se o usuário existe. Caso não exista, ao invés de direcionar para a tela de login com a senha, redireciona para a criação de um novo usuário. É uma maneira de fomentar a criação de novas contas, que podem eventualmente se converter em MAUs (monthly active users).
Não sou muito especialista em segurança, mas acredito que esse tipo de fluxo pode ser problemático pra privacidade.
Levando em conta, por exemplo, um site sensível (tipo um Tinder da vida)… o parceiro de alguém poderia descobrir se essa pessoa tem conta lá só colocando o e-mail dela nessa primeira página pra ver se vai pro fluxo de criar ou de logar.
Igual quando tem funções de “Esqueci a Senha”, não é muito bem recomendado que você exiba uma mensagem de erro do tipo “não encontramos seu e-mail na nossa base” porque isso já é uma informação que você dá pra um potencial invasor ou bisbilhotador da vida alheia.
Um pouco mais dessa discussão de um ponto de vista de privacidade por aqui: https://ux.stackexchange.com/questions/5291/why-is-the-common-practice-of-sign-in-error-message-always-mix-the-wrong-usernam
O que eu acho mais certo, é quando o site diz a seguinte mensagem quando clico em esqueci a senha por exemplo: “se existir um cadastro com email x, ele será enviado”.
rennan, eu fiz um teste sobre o que disse no site feedly.com e realmente quis fazer um novo cadastro!
Digitei um e-mail qualquer tipo abobrinha_naoexiste@gmail.com e a tela seguinte me pediu uma senha e nome completo para fazer um novo cadastro no Feedly.
Vinícius concordo contigo. Isso fere a privacidade, alguém pode testar vários e-mails para saber quem tem cadastro no site.
Nunca tinha olhado por esse ponto de vista do Vinícius. Claro que depende do caso de uso (como nos apps de relacionamento que ele mencionou acima) mas para serviços como o feedly, não vejo problema, exceto pela chatice de clicar duas vezes.