Ini benar-benar tergantung pada konteks situs web spesifik Anda.
Misalnya, jika ini adalah situs web konsumen, kemungkinan besar kebanyakan dari mereka hanya akan peduli dengan kata sandi mereka (mungkin), informasi keuangan / kesehatan (tergantung), dan informasi pribadi mereka seperti gambar (hahaha, ya benar ...) .
Jika ini adalah aplikasi bisnis, maka tingkat keamanan seluruh situs relevan, bukan hanya kata sandi. Demikian juga, itu tergantung pada siapa pengguna target Anda - sangat teknis / tidak begitu teknis, dll.
Semua konteks ini sangat menentukan apa yang harus Anda komunikasikan, dan tingkat jaminan apa yang diperlukan.
Misalnya, untuk konsumen non-teknis, cukuplah memiliki komentar umum yang sederhana, seperti:
Situs ini dibangun dengan menggunakan teknik keamanan canggih. Kata sandi Anda selalu dienkripsi, dan kami tidak akan pernah mengirim gambar Anda ke NSA.
(Dan, seperti yang orang lain katakan, Anda lebih baik bahkan tidak memiliki kata sandi sama sekali, gunakan beberapa standar seperti OpenID atau OAuth.)
Untuk bisnis yang sangat teknis, Anda ingin memiliki halaman lengkap detail teknis dan prosedural, seperti:
Kami telah menerapkan SDL penuh (siklus pengembangan aman) selama proses pengembangan dan penerapan kami.
...
Arsitektur keamanan kami adalah ... Ini memberikan manfaat dari ...
Kami memastikan pengkodean yang aman seperti ... oleh ... Kami melakukan ini dan pengujian tersebut.
Kriptografi kami mencakup algoritme ini ... dan ... Kami mematuhi peraturan industri mana pun yang Anda butuhkan, dan disertifikasi untuk ...
Keamanan kami diverifikasi oleh konsultan pihak ketiga yang independen ini.
...
Untuk perincian lebih lanjut, dan untuk meninjau kebijakan kami atau untuk mengatur audit independen, silakan diskusikan dengan departemen pemasaran.
Tentu saja, Anda tidak ingin memberikan terlalu banyak informasi terperinci, itu harus lebih banyak tentang prosesnya daripada kata sandi itu sendiri ... Dan tentu saja harus berjalan tanpa mengatakan bahwa kenyataannya harus benar-benar sesuai dengan apa pun yang Anda tulis di sana , konteks apa pun yang Anda hadapi.
Sebagai salah satu jawaban yang disinggung, sebagian besar pengguna tidak peduli, tidak akan mengerti apa pun yang Anda katakan kepada mereka, dan tetap akan mendaftar, bahkan jika Anda mengatakan bahwa Anda DO mengirim data pengguna ke NSA.
Ini bukan untuk mereka.
Mereka akan sama senangnya tidak memiliki kata sandi, biarkan saya memilih nama pengguna saya dari daftar dan login saya secara otomatis.
Jelas ini adalah untuk persentase kecil yang peduli - Anda harus memungkinkan pengguna cerdas untuk melakukan apa yang benar, memberi mereka informasi yang mereka butuhkan, dan memberi mereka pendidikan yang mungkin mereka minta.
Jika tidak, saat itu salah, 98% lainnya akan tiba-tiba bangun dan marah.
("Tentu, saya tahu bahwa saya tidak perlu kata sandi untuk melihat foto-foto saya, tetapi saya tidak berpikir bahwa orang lain juga bisa melihatnya !!")