Cela dépend vraiment du contexte de votre site Web spécifique.
Par exemple, s'il s'agit d'un site Web grand public, il y a de fortes chances que la plupart d'entre eux ne se soucient que de leurs mots de passe (peut-être), de leurs informations financières / de santé (selon), et de leurs informations privées telles que des photos (hahaha, ouais c'est vrai ...) .
S'il s'agit d'une application métier, le niveau de sécurité de l'ensemble du site est pertinent, pas seulement les mots de passe. De même, cela dépend de qui sont vos utilisateurs cibles - hautement technique / pas si technique, etc.
Tout ce contexte définit considérablement ce que vous devez communiquer et le niveau d'assurance requis.
Par exemple, pour les consommateurs non techniques, il suffit d'avoir des commentaires génériques et simples, tels que:
Ce site est construit en utilisant des techniques de sécurité de pointe. Votre mot de passe est toujours crypté et nous n'enverrons jamais vos photos à la NSA.
(Et, comme d'autres l'ont dit, il vaut mieux ne pas avoir du tout de mots de passe, utilisez un standard comme OpenId ou OAuth.)
Pour les entreprises hautement techniques, vous voudriez avoir une page complète de détails techniques et procéduraux, tels que:
Nous avons mis en place un SDL complet (cycle de vie de développement sécurisé) tout au long de notre processus de développement et de déploiement.
...
Notre architecture de sécurité est ... Cela donne les avantages de ...
Nous assurons un codage sécurisé tel que ... par ... Nous effectuons ces tests et ceux-ci.
Notre cryptographie comprend ces algorithmes ... et ... Nous sommes conformes à la réglementation de l'industrie dont vous avez besoin et certifiés pour ...
Notre sécurité est vérifiée par ce consultant tiers indépendant.
...
Pour plus de détails, et pour revoir nos politiques ou pour organiser un audit indépendant, veuillez en discuter avec le service marketing.
Bien sûr, vous ne voulez pas donner trop d'informations détaillées, cela devrait être plus sur le processus que sur les mots de passe eux-mêmes ... Et bien sûr, cela devrait aller de soi que la réalité devrait en fait être conforme à tout ce que vous y écrivez , quel que soit le contexte avec lequel vous traitez.
Comme l'une des réponses a fait allusion, la plupart des utilisateurs ne s'en soucient pas, ne comprendraient pas ce que vous leur dites et continueraient de s'inscrire de toute façon, même si vous dites que vous ENVOYEZ des données utilisateur à la NSA.
Ce n'est pas pour eux.
Ils seraient tout aussi heureux de ne pas avoir de mot de passe, laissez-moi simplement choisir mon nom d'utilisateur dans la liste et me connecter automatiquement.
De toute évidence, c'est pour le petit pourcentage de ceux qui se soucient - vous devez permettre aux utilisateurs intelligents de faire ce qui est bien, de leur donner les informations dont ils ont besoin et de leur accorder l'éducation qu'ils pourraient demander.
Si vous ne le faites pas, lorsque cela se passe mal, les 98% restants se réveillent soudainement et se mettent en colère.
("Bien sûr, je savais que je n'avais pas besoin d'un mot de passe pour voir mes photos, mais je ne pensais pas que quelqu'un d' autre pouvait aussi les voir !!")