Safe and Sound: Wie man sich Password UX nähert

Im Jahr 2019 kostete Cyberkriminalität Unternehmen weltweit mehr als 2 Billionen US-Dollar. Mit dem Zustrom digitaler Produkte verwenden immer mehr Menschen Anmeldeinformationen wieder – die Hauptursache für Datenschutzverletzungen. Zu lange wurde die Benutzererfahrung der Passwortverwaltung ignoriert. Es ist an der Zeit, dass Designer jeden Aspekt von Passwort-UX überdenken.

Ein Großteil unseres Lebens wird digital verwaltet. Es gibt eine App, Website oder SaaS-Plattform für fast jeden Aspekt der menschlichen Erfahrung, und sie alle erfordern Passwörter. Bei so vielen Konten treten Probleme auf.

Laut passwordresearch.com werden 80 % der Datenschutzverletzungen auf schwache oder wiederverwendete Anmeldeinformationen zurückgeführt , 61 % der Menschen verwenden dasselbe Passwort für mehrere Konten und nur 44 % der Benutzer ändern mindestens einmal im Jahr ihr Passwort.

Das ist viel Vertrauen in Online-Plattformen. Wenn eine App gehackt wird, sind alle Konten anfällig.

Die heutige Passwortsituation ist erschreckend. Als Designer könnten wir versucht sein, uns auf die visuelle Attraktivität von Anmeldebildschirmen zu konzentrieren, während wir ignorieren, wie Benutzer tatsächlich Passwörter erstellen. Wir könnten sogar denken, dass Passwörter in der Verantwortung der Entwickler liegen.

Leider hat das Passwortproblem echte geschäftliche Auswirkungen. Frustration während der Anmeldung führt dazu, dass potenzielle Benutzer den Vorgang ganz abbrechen. Andere vergessen die komplizierten Passwörter, zu deren Erstellung sie gezwungen waren, und überlasten den Kundensupport, was Zeit, Arbeitskraft und Geld verschwendet.

Ein schlecht durchdachter Passwortprozess hat einen negativen Dominoeffekt für Benutzer und Unternehmen gleichermaßen. Können Designer etwas tun, um die Situation zu verbessern?

So verbessern Sie die Passwort-UX

Es gibt eine Reihe von Strategien, die die Passwort-UX verbessern, und sie sind nicht übermäßig komplex. Wie immer ist es wichtig, sich ein Bild von den Stammbenutzern zu machen, wenn Sie ein Passworterlebnis planen. Versuchen Sie, ein Gleichgewicht zu finden zwischen:

• Klare Anweisungen
• Einfache Aktionen
• Langfristige Benutzersicherheit

Verwenden Sie nicht zu viele Sicherheitsregeln

Es sollte einfach sein, ein Passwort zu erstellen. Benutzer zu zwingen, sich an eine lange Liste von Anforderungen zu halten, führt zu Reibungen im Anmeldeprozess. Es ist am besten, Benutzern zu erlauben, beliebige Passwörter zu erstellen, aber wenn sie etwas Offensichtliches wie 12345 wählen, lassen Sie sie wissen, dass ihre persönlichen Daten angreifbar sind.

Teilen Sie den Benutzern mit, warum sichere Passwörter wichtig sind

Niemand befolgt gerne Regeln oder Anweisungen ohne Kontext. Anstatt die Kontoerstellung zu behindern, sollten Sie die Benutzer über die Gefahren von Identitätsdiebstahl und Datenangriffen aufklären. Verwenden Sie nach Möglichkeit reale Statistiken, um den Punkt zu verdeutlichen: „Wussten Sie, dass alle 39 Sekunden ein Cybersicherheitsangriff stattfindet?“

Fügen Sie die Option zum Anzeigen/Ausblenden von Kennwörtern hinzu

„Die Benutzerfreundlichkeit leidet, wenn Benutzer Passwörter eingeben und das einzige Feedback, das sie erhalten, eine Reihe von Aufzählungszeichen ist. Typischerweise erhöht das Maskieren von Passwörtern nicht einmal die Sicherheit , aber es kostet Sie Geschäft aufgrund von Anmeldefehlern.“ –Jakob Nielsen

Erlauben Sie Benutzern, Passwörter zu sehen, indem Sie Symbole zum Ein- /Ausblenden in Passwort-Eingabefelder einfügen. Ein Auge, das sich beim Klicken öffnet und schließt, ist üblich, aber je nach Produkt und Benutzer kann es effektiver sein, einen einfachen Umschalter zum Anzeigen/Ausblenden von Text hinzuzufügen.

Einige Websites verwenden standardmäßig unmaskierte Eingabefelder. Obwohl diese Strategie von Benutzern allgemein begrüßt wird, sollte sie in weniger sicheren Umgebungen (Cafés, Büros usw.) mit einer Option zum Ausblenden verwendet werden.

Fügen Sie einen Passwortstärkemesser hinzu

Passwortstärkemesser geben Echtzeit-Feedback und sagen Benutzern, wie gut Passwörter Datenangriffen standhalten. Stärkemesser sollten mit durchdachten Texten kombiniert werden, die unterschiedliche Ebenen der Passworteffektivität kommunizieren.

Schwach , mittel und stark sind hilfreiche Indikatoren, aber Copy muss die Benutzer warnen, was auf dem Spiel steht: „Ihr Passwort macht Sie anfällig für Datendiebstahl.“

Berücksichtigen Sie neben dem Text, welche Farben eine Wirkung erzielen, aber denken Sie daran, dass Farbe eine kulturelle Bedeutung hat.

Wechseln Sie zu Passphrasen

Passphrasen sind in der Regel zwischen acht und 16 Zeichen lang, können aber auch länger sein. Je größer die Länge, desto wahrscheinlicher ist es, dass eine Passphrase einem Brute-Force-Angriff standhält.

Der Reiz von Passphrasen liegt darin, dass sie leicht zu merken sind. Anstelle von etwas Schwachem und Vergessenem wie myhouse5 könnte ein Benutzer myhouseisawesomeandcozy eingeben .

Für Passphrasen mit vier oder mehr Wörtern ist kein hohes Maß an Zufälligkeit erforderlich, aber Benutzer sollten gewarnt werden, bekannte Wortpaare (Liedtexte, Filmzitate usw.) zu vermeiden.

Ziehen Sie Passwort-Alternativen in Betracht

Passwörter sind ein etabliertes Paradigma, aber sie sind nicht die einzige Möglichkeit, Benutzerdaten zu schützen. Biometrie, physische Hardware und neu gestaltete Anmeldeprozesse sind Teil eines Vorstoßes der Technologiebranche, Passwörter der Vergangenheit angehören zu lassen.

Nutzen Sie Single-Sign-On

Single Sign-On (SSO) ist eine Strategie, bei der Benutzer mit einem Benutzernamen und Passwort Zugriff auf mehrere Produkte und Dienste erhalten. Websites und Apps, die SSO verwenden, verlassen sich auf Drittanbieter (Unternehmen wie Google, Facebook und Apple), um Benutzeridentitäten zu überprüfen. Benutzer müssen lediglich Zugriff auf ihre SSO-Konten gewähren.

SSO verhindert, dass Benutzer Passwörter anhäufen, erhöht die Onboarding-Geschwindigkeit und ermöglicht es Unternehmen, von der Sicherheitsinfrastruktur größerer Unternehmen zu profitieren.

Verwenden Sie Fingerabdrücke und Gesichtserkennung

Viele Telefone, Laptops und Tablets sind mit biometrischer Technologie ausgestattet, die einfach in den Anmeldeprozess integriert werden kann. Anstatt Passwörter einzugeben, berühren oder blicken Benutzer einfach auf ihre Geräte. Die Sicherheit steigt, da Gesichter und Fingerabdrücke schwer (aber nicht unmöglich) zu fälschen sind.

Ein Nachteil ist, dass es immer noch Geräte ohne biometrische Funktionen gibt, daher sollten Designer andere Anmeldeoptionen zur Verfügung stellen.

Anmeldung ohne Passwort zulassen

Solange die Benutzer über Smartphones und Benutzernamen verfügen, ist die passwortlose Anmeldung eine praktikable Option. Nach Eingabe des Benutzernamens erhalten die Benutzer eine Bildschirmmeldung mit einer PIN-Nummer. Gleichzeitig fordert eine telefonische Benachrichtigung die Benutzer auf, eine passende PIN aus einer Liste von Optionen auszuwählen. Dieser Vorgang funktioniert auch mit Fingerabdrücken und Gesichtserkennung.

E-Mail-Anmeldung aktivieren

Fast jeder, der digitale Produkte verwendet, hat eine E-Mail-Adresse, und die meisten Menschen verwenden E-Mail bereits für Sicherheitsmaßnahmen wie vergessene Passwörter und Benutzernamen. Warum nicht einen Schritt weiter gehen?

Die E-Mail-Anmeldung funktioniert, indem zeitlich begrenzte Links an die Posteingänge der Benutzer gesendet werden. Slack und Medium haben eine E-Mail-Login-Funktion namens „Magic Link“, die die Anmeldung viel nahtloser macht.

Geben Sie physische Sicherheitsschlüssel an

In Unternehmen und Branchen, in denen Sicherheit von größter Bedeutung ist (Finanzen, Gesundheitswesen usw.), entscheiden sich immer mehr Unternehmen für die Verwendung physischer Schlüssel. Diese kryptografischen Karten werden an USB-Ports angeschlossen und geben automatisch Einmalkennwörter in die Anmeldefelder der Anwendung ein.

Die Technologie befindet sich noch in der Entwicklung, aber sie hat sich bewährt:

• Melden Sie sich 4x schneller an
• Reduzierung der Supportkosten um 90 %
• Beseitigen Sie praktisch Kontoübernahmen

Darüber hinaus fügen Unternehmen wie YubiKey die Fingerabdruckerkennung für erhöhten Schutz hinzu. Ein offensichtlicher Nachteil ist das Risiko, Hardware zu verlieren. Obwohl verlorene Schlüssel von Administratoren deaktiviert werden können, ist die Kontowiederherstellung viel aufwendiger als das Drücken einer Schaltfläche „Passwort vergessen“.

Einfache und sichere Passwort-UX

Es ist kein Schlag gegen Benutzer, aber sie sind nicht die besten beim Erstellen, Erinnern oder Verwalten von Passwörtern, eine Tatsache, die Frustration und unnötige UX-Reibungen verursacht. Als Designer sollten wir uns nicht mit dem Status quo zufriedengeben. Wir sind Problemlöser und es gibt mehrere Möglichkeiten, wie wir das Passworterlebnis verfeinern oder komplett neu überdenken können.

Solange es digitale Konten mit sensiblen Daten gibt, müssen wir Möglichkeiten entwickeln, mit denen Benutzer überprüfen können, ob sie die sind, für die sie sich ausgeben . Vielleicht wird der Tag kommen, an dem Passwörter veraltet sind, aber bis dahin sollten wir uns um ein einfaches und sicheres Passwort-Benutzererlebnis für alle Parteien bemühen.

Lassen Sie uns wissen, was Sie denken! Bitte hinterlassen Sie unten Ihre Gedanken, Kommentare und Ihr Feedback.

• • •

Weiterführende Literatur im Toptal Design Blog:

• Safe by Design – Ein Überblick über UX-Sicherheit
• Der ultimative Leitfaden für das Design von E-Commerce-Websites
• Das Ende der Webformulare
• Home Smart IoT Home: Das Internet der Dinge domestizieren
• Personalisierte UX und die Kraft von Design und Emotion