Web用户体验&密码强度问题

一些看似能够改善用户体验的设计，如果考虑的不够周全，并不一定能带来好的效果。

比如现在我经常见到一些网站，在用户注册时使用js提供了密码强度验证的功能，能根据用户输入的密码，给用户一个反馈：你输入的密码是不是足够的复杂，难以被破解。如图：


——密码强度低，容易被破解

——密码强度中等，比较不容易被破解

——密码强度较高，难被破解

这样的设计看似贴心，提醒用户输入较复杂的密码，但我在最初使用这种密码强度检验方式时，觉得很头疼：

现象
我首先是习惯性的输入了常用的密码，一串字母。发现系统提示我：密码强度太弱。我又换了另一个密码：字母和数字的组合，长度接近20字节了。但系统也只是提示：强度中等。我不断的尝试，就是不能设计出一种高强度的密码。于是我带着挫败感，带着强度为中的密码，提交了注册表单。

原因
后来我在某个地方，看到一篇介绍实现这种机制的教程，才知道原因：
1.如果密码都是字母或都是数字，强度就是低
2.如果密码既有字母也有数字，强度就是中
3.如果密码有字母由数字，还有特殊字符，强度就高了
整个判断过程与密码长度无关，而事实上，密码强度和密码长度并非无关

分析
为什么这样的设计会给我带来不好的体验呢？
1.如上面所说，密码强度单纯只和密码字符串里包含的字符种类挂钩，是不科学的
2.我被判定成“中”的密码，其实已经较难破解了，但给我评分只是“中”，让我感到不安全，不满足现有密码
3.“中”这个字使用黄颜色，虽不如红色强烈，但仍然属于报警的颜色，加重了我的不安全感
4.并未告诉用户，怎么才是强度高的密码，让用户盲目去试探，试图获得“高”的评分
5.用户尝试获得“高”不成功的话，黄色警报、中等强度的印象带来的危机感，尝试未果带来的挫败感，伴随着用户进入网站
ps：上面这个例子，密码输入框失去焦点才触发显示强度的函数，用户尝试获得“高”分的过程，就得不停的把鼠标点进输入框，修改了，再点出来，看结果。如果不行再点进…点出…累啊！

解决方案
1.修改函数，也考虑密码长度的因素
2.如果不修改函数，就把“弱、中、高”改成“易被破解、较难被破解、很难被破解”之类的不容易给用户带来危机感的语言
3.修改字色：较难被破解，就不需要用黄色表示了
4.提示用户：怎样的密码是很难被破解的密码
5.用户输入字符，就检测密码强度，而不是输入框失去焦点再检测

好的例子
又是Google……

——密码长度不够

——6个相同的字母，密码太弱

——不同的字母，密码较好

——增大了字母的复杂程度，密码很好，色彩已经变成蓝色

——密码较复杂，既有字母也有数字，Google觉得已经极佳了。我也是这么觉得

点击“密码强度”，会看到一个相关的小说明。

另外，这里用户输入字符，就会触发判断密码强度的函数，不用点来点去，比较顺畅。能做到上面这种程度，就算没有做到极致，也已经接近了吧。