Sano y salvo: Cómo acercarse a Password UX

En 2019, el delito cibernético costó a las empresas más de 2 billones de dólares en todo el mundo. Con la afluencia de productos digitales, cada vez más personas reutilizan las credenciales de inicio de sesión, la causa principal de las filtraciones de datos. Durante demasiado tiempo, se ha ignorado la experiencia del usuario en la gestión de contraseñas. Es hora de que los diseñadores reconsideren cada aspecto de la experiencia de usuario de las contraseñas.

Gran parte de nuestras vidas se gestionan digitalmente. Hay una aplicación, un sitio web o una plataforma SaaS para casi todos los aspectos de la experiencia humana, y todos requieren contraseñas. Con tantas cuentas vienen los problemas.

Según passwordresearch.com, el 80 % de las filtraciones de datos se deben a credenciales de inicio de sesión débiles o reutilizadas , el 61 % de las personas usa la misma contraseña para varias cuentas y solo el 44 % de los usuarios cambia las contraseñas al menos una vez al año.

Eso es mucha confianza para depositar en las plataformas en línea. Si una aplicación es pirateada, todas las cuentas son vulnerables.

La situación actual de las contraseñas es aterradora. Como diseñadores, podríamos estar tentados a concentrarnos en el atractivo visual de las pantallas de inicio de sesión mientras ignoramos cómo los usuarios realmente crean contraseñas. Incluso podríamos pensar que las contraseñas son responsabilidad de los desarrolladores.

Desafortunadamente, el problema de la contraseña tiene un impacto comercial real. La frustración durante el registro lleva a los usuarios potenciales a abandonar el proceso por completo. Otros olvidan las complicadas contraseñas que se vieron obligados a crear e invadieron la atención al cliente, perdiendo tiempo, mano de obra y dinero.

Un proceso de contraseña mal considerado tiene un efecto dominó negativo tanto en los usuarios como en las empresas. ¿Hay algo que los diseñadores puedan hacer para mejorar la situación?

Cómo mejorar la experiencia de usuario de la contraseña

Hay una serie de estrategias que mejoran la experiencia de usuario de las contraseñas y no son demasiado complejas. Como siempre, es importante tener una imagen de los usuarios principales al planificar una experiencia de contraseña. Trate de lograr un equilibrio entre:

• Instrucciones claras
• Acciones simples
• Seguridad del usuario a largo plazo

No use demasiadas reglas de seguridad

Debería ser fácil crear una contraseña. Obligar a los usuarios a adherirse a una larga lista de requisitos provoca fricciones en el proceso de registro. Es mejor permitir que los usuarios creen las contraseñas que deseen, pero si eligen algo obvio como 12345 , hágales saber que su información personal es vulnerable.

Diga a los usuarios por qué son importantes las contraseñas seguras

A nadie le gusta seguir reglas o instrucciones sin contexto. En lugar de impedir la creación de cuentas, eduque a los usuarios sobre los peligros del robo de identidad y los ataques de datos. Cuando sea posible, use estadísticas del mundo real para aclarar el punto: "¿Sabía que ocurre un ataque de seguridad cibernética cada 39 segundos?"

Agregue la opción para mostrar/ocultar contraseñas

“La usabilidad sufre cuando los usuarios ingresan contraseñas y el único comentario que reciben es una fila de viñetas. Por lo general, enmascarar las contraseñas ni siquiera aumenta la seguridad , pero le cuesta a su negocio debido a las fallas de inicio de sesión”. –Jakob Nielsen

Permita que los usuarios vean las contraseñas colocando íconos Mostrar/Ocultar dentro de los campos de ingreso de contraseñas. Un ojo que se abre y se cierra cuando se hace clic es común, pero según el producto y los usuarios, podría ser más efectivo incluir un simple cambio de Mostrar/Ocultar texto.

Algunos sitios utilizan de forma predeterminada campos de entrada sin máscara. Si bien esta estrategia generalmente es bien recibida por los usuarios, debe emplearse con una opción Ocultar para entornos menos seguros (cafés, oficinas, etc.).

Incluya un medidor de seguridad de la contraseña

Los medidores de seguridad de la contraseña brindan información en tiempo real y les dicen a los usuarios qué tan bien las contraseñas resistirán los ataques de datos. Los medidores de fuerza deben combinarse con una copia bien pensada que comunique los diferentes niveles de efectividad de la contraseña.

Débil , medio y fuerte son indicadores útiles, pero la copia debe advertir a los usuarios de lo que está en juego: "Su contraseña lo deja expuesto al robo de datos".

Junto con la copia, considere qué colores tendrán un impacto, pero recuerde que el color tiene un significado cultural.

Cambiar a frases de contraseña

Las frases de contraseña tienden a tener entre ocho y 16 caracteres, pero pueden ser más largas. Cuanto mayor sea la longitud, más probable es que una frase de contraseña pueda soportar un ataque de fuerza bruta.

El atractivo de las frases de contraseña es que son fáciles de recordar. En lugar de algo débil y olvidable como myhouse5 , un usuario podría ingresar myhouseiswesomeandcozy .

Para frases de contraseña con cuatro o más palabras, no se necesita un alto nivel de aleatoriedad, pero se debe advertir a los usuarios que eviten combinaciones de palabras conocidas (letras de canciones, citas de películas, etc.).

Considere alternativas de contraseña

Las contraseñas son un paradigma bien establecido, pero no son la única forma de proteger los datos de los usuarios. La biometría, el hardware físico y los procesos de inicio de sesión reinventados son parte de un impulso de la industria tecnológica para hacer que las contraseñas sean cosa del pasado.

Utilice el inicio de sesión único

El inicio de sesión único (SSO) es una estrategia mediante la cual los usuarios obtienen acceso a múltiples productos y servicios con un nombre de usuario y contraseña. Los sitios y aplicaciones que usan SSO dependen de terceros (compañías como Google, Facebook y Apple) para verificar las identidades de los usuarios. Todo lo que los usuarios tienen que hacer es otorgar acceso a sus cuentas SSO.

SSO evita que los usuarios acumulen contraseñas, aumenta la velocidad de incorporación y permite que las empresas se beneficien de la infraestructura de seguridad de las empresas más grandes.

Usar huellas dactilares y reconocimiento facial

Muchos teléfonos, computadoras portátiles y tabletas están equipados con tecnología biométrica que se integra fácilmente en el proceso de inicio de sesión. En lugar de ingresar contraseñas, los usuarios simplemente tocan o miran sus dispositivos. La seguridad aumenta porque los rostros y las huellas dactilares son difíciles (aunque no imposibles) de falsificar.

Un inconveniente es que todavía hay dispositivos sin capacidades biométricas, por lo que los diseñadores deberían ofrecer otras opciones de inicio de sesión.

Permitir inicio de sesión sin contraseña

Mientras los usuarios tengan teléfonos inteligentes y nombres de usuario, el inicio de sesión sin contraseña es una opción viable. Después de ingresar los nombres de usuario, los usuarios reciben un mensaje en pantalla que contiene un número PIN. Al mismo tiempo, una notificación telefónica solicita a los usuarios que seleccionen un PIN coincidente de una lista de opciones. Este proceso también funciona con huellas dactilares y reconocimiento facial.

Habilitar inicio de sesión por correo electrónico

Casi todos los que usan productos digitales tienen una dirección de correo electrónico, y la mayoría de las personas ya usan el correo electrónico para medidas de seguridad, como contraseñas y nombres de usuario olvidados. ¿Por qué no dar un paso más?

El inicio de sesión por correo electrónico funciona mediante el envío de enlaces de tiempo limitado a las bandejas de entrada de los usuarios. Slack y Medium tienen una función de inicio de sesión por correo electrónico llamada "Enlace mágico" que hace que el inicio de sesión sea mucho más sencillo.

Proporcionar claves de seguridad física

Dentro de las organizaciones empresariales y las industrias donde la seguridad es de suma importancia (finanzas, atención médica, etc.), más empresas optan por usar claves físicas. Estas tarjetas criptográficas se conectan a puertos USB e ingresan automáticamente contraseñas de un solo uso en los campos de inicio de sesión de la aplicación.

La tecnología aún se está desarrollando, pero se ha demostrado que:

• Haga que el inicio de sesión sea 4 veces más rápido
• Reduzca los costos de soporte en un 90%
• Erradicar virtualmente las adquisiciones de cuentas

Además, compañías como YubiKey están agregando reconocimiento de huellas dactilares para una mayor protección. Un inconveniente obvio es el riesgo de perder hardware. Aunque los administradores pueden deshabilitar las claves perdidas, la recuperación de la cuenta es mucho más complicada que presionar el botón "Olvidé mi contraseña".

UX de contraseña simple y segura

No es un golpe en contra de los usuarios, pero no son los mejores para crear, recordar o administrar contraseñas, un hecho que causa frustración y fricciones de UX innecesarias. Como diseñadores, no debemos conformarnos con el statu quo. Solucionamos problemas y hay varias maneras en que podemos refinar o repensar por completo la experiencia de la contraseña.

Siempre que haya cuentas digitales con datos confidenciales, necesitaremos diseñar formas para que los usuarios verifiquen que son quienes dicen ser . Quizás llegue un día en que las contraseñas sean obsoletas, pero hasta entonces, debemos esforzarnos por lograr experiencias de usuario de contraseñas que sean simples y seguras para todas las partes.

¡Háganos saber lo que piensas! Por favor, deje sus pensamientos, comentarios y comentarios a continuación.

• • •

Lectura adicional en el blog de diseño de Toptal:

• Seguro por diseño: una descripción general de la seguridad de UX
• La guía definitiva para el diseño de sitios web de comercio electrónico
• El fin de los formularios web
• Inicio Smart IoT Home: domesticando el Internet de las cosas
• UX personalizado y el poder del diseño y la emoción