• Begränsa varifrån man kan använda webbplatsen
• Säkra pengarna istället för användarens identitet

Autentisera inte innan eller mer än behörigheten kräver

För att surfa runt på webbplatsen räcker det ofta att användaren är okänd eller gäst. Då är det onödigt att be henne autentisera sig bara för att komma in på webbplatsen, utan detta kan vänta tills användaren försöker gå in på en sida som kräver högre behörighet.

Om autentiseringen sker via lösenord, kan fälten för användarnamn och lösenord eller en länk till inloggningen finnas på alla sidor, så att användaren kan logga in när det passar henne.

En likartad variant är använda osäkra autentiseringsmetoder, till exempel automatisk autentisering med hjälp av kaka (se sid 317 ), fram till dess användaren vill se eller göra något som kräver större säkerhet. Detta är inte ovanligt till exempel på e-handelsplatser som kan ha en mycket låg säkerhetsnivå när användaren surfar runt (då användaridentiteten används för att anpassa vilka erbjudanden hon får) och en annan, betydligt högre, när hon går till kassan och skall börja hantera personuppgifter och betalning.

Ibland kan det dock vara en bra sak att bryta mot detta råd – om användaren krävs på autentisering så snart hon kommer till webbplatsen kan detta signalera att det är en plats där säkerheten är god.