Sicuro e sicuro: come avvicinarsi alla password UX

Nel 2019, la criminalità informatica è costata alle aziende più di 2 trilioni di dollari a livello globale. Con l'afflusso di prodotti digitali, sempre più persone stanno riutilizzando le credenziali di accesso, la principale causa di violazione dei dati. Per troppo tempo, l'esperienza dell'utente nella gestione delle password è stata ignorata. È tempo che i designer ripensino a ogni aspetto della password UX.

Gran parte della nostra vita è gestita digitalmente. C'è un'app, un sito Web o una piattaforma SaaS per quasi ogni aspetto dell'esperienza umana e tutti richiedono password. Con così tanti account arrivano i problemi.

Secondo passwordresearch.com, l' 80% delle violazioni dei dati è riconducibile a credenziali di accesso deboli o riutilizzate , il 61% delle persone utilizza la stessa password per più account e solo il 44% degli utenti cambia password almeno una volta all'anno.

Questa è molta fiducia da riporre nelle piattaforme online. Se un'app viene violata, tutti gli account sono vulnerabili.

La situazione attuale delle password è spaventosa. Come designer, potremmo essere tentati di concentrarci sul fascino visivo delle schermate di accesso ignorando il modo in cui gli utenti creano effettivamente le password. Potremmo anche pensare che le password siano responsabilità degli sviluppatori.

Sfortunatamente, il problema della password ha un reale impatto sul business. La frustrazione durante la registrazione porta i potenziali utenti ad abbandonare del tutto il processo. Altri dimenticano le password contorte che sono stati costretti a creare e sovraccaricano l'assistenza clienti, sprecando tempo, manodopera e denaro.

Un processo di password mal considerato ha un effetto domino negativo sia sugli utenti che sulle aziende. C'è qualcosa che i designer possono fare per migliorare la situazione?

Come migliorare la password UX

Esistono numerose strategie che migliorano l'esperienza utente delle password e non sono eccessivamente complesse. Come sempre, è importante avere un'immagine degli utenti principali quando si pianifica un'esperienza con la password. Puntare a trovare un equilibrio tra:

• Istruzioni chiare
• Azioni semplici
• Sicurezza dell'utente a lungo termine

Non utilizzare troppe regole di sicurezza

Dovrebbe essere facile creare una password. Costringere gli utenti a rispettare un lungo elenco di requisiti causa attrito nel processo di registrazione. È meglio consentire agli utenti di creare le password che desiderano, ma se scelgono qualcosa di ovvio come 12345 , fagli sapere che le loro informazioni personali sono vulnerabili.

Spiega agli utenti perché le password sicure sono importanti

A nessuno piace seguire regole o istruzioni senza contesto. Invece di ostacolare la creazione di account, istruisci gli utenti sui pericoli del furto di identità e degli attacchi ai dati. Ove possibile, usa le statistiche del mondo reale per portare a casa il punto: "Sapevi che un attacco alla sicurezza informatica si verifica ogni 39 secondi?"

Aggiungi l'opzione per mostrare/nascondere le password

"L'usabilità ne risente quando gli utenti digitano le password e l'unico feedback che ricevono è una fila di punti elenco. In genere, il mascheramento delle password non aumenta nemmeno la sicurezza , ma costa all'azienda a causa di errori di accesso". –Jakob Nielsen

Consenti agli utenti di vedere le password posizionando le icone Mostra/Nascondi nei campi di immissione della password. Un occhio che si apre e si chiude quando si fa clic è comune, ma a seconda del prodotto e degli utenti, potrebbe essere più efficace includere un semplice interruttore Mostra/Nascondi testo.

Alcuni siti impostano automaticamente i campi di input non mascherati. Sebbene questa strategia sia generalmente apprezzata dagli utenti, dovrebbe essere utilizzata con un'opzione Nascondi per ambienti meno sicuri (bar, uffici, ecc.).

Includi un misuratore di sicurezza della password

I misuratori di sicurezza delle password forniscono feedback in tempo reale e indicano agli utenti quanto bene le password resisteranno agli attacchi di dati. I misuratori di forza dovrebbero essere associati a una copia ponderata che comunichi diversi livelli di efficacia della password.

Debole , medio e forte sono indicatori utili, ma la copia deve avvertire gli utenti della posta in gioco: "La tua password ti espone al furto di dati".

Insieme alla copia, considera quali colori avranno un impatto, ma ricorda che il colore ha un significato culturale.

Passa a Passphrase

Le passphrase tendono a contenere da otto a 16 caratteri, ma possono essere più lunghe. Maggiore è la lunghezza, più è probabile che una passphrase possa sopportare un attacco di forza bruta.

Il fascino delle passphrase è che sono facili da ricordare. Invece di qualcosa di debole e dimenticabile come myhouse5 , un utente potrebbe entrare in myhouseisawesomeandcozy .

Per le passphrase con quattro o più parole, non è necessario un alto livello di casualità, ma gli utenti dovrebbero essere avvisati di evitare abbinamenti di parole ben noti (testi di canzoni, citazioni di film, ecc.).

Considera le alternative alle password

Le password sono un paradigma consolidato, ma non sono l'unico modo per proteggere i dati degli utenti. La biometria, l'hardware fisico e i processi di accesso reinventati fanno parte di una spinta del settore tecnologico per rendere le password un ricordo del passato.

Utilizza Single Sign-on

Il Single Sign-On (SSO) è una strategia in base alla quale gli utenti accedono a più prodotti e servizi con un nome utente e una password. I siti e le app che utilizzano SSO si affidano a terze parti (aziende come Google, Facebook e Apple) per verificare le identità degli utenti. Tutto ciò che gli utenti devono fare è concedere l'accesso ai propri account SSO.

SSO impedisce agli utenti di accumulare password, aumenta la velocità di onboarding e consente alle aziende di beneficiare dell'infrastruttura di sicurezza delle aziende più grandi.

Usa le impronte digitali e il riconoscimento facciale

Molti telefoni, laptop e tablet sono dotati di tecnologia biometrica facilmente integrabile nel processo di accesso. Invece di inserire le password, gli utenti devono semplicemente toccare o dare un'occhiata ai propri dispositivi. La sicurezza aumenta perché i volti e le impronte digitali sono difficili (anche se non impossibili) da falsificare.

Uno svantaggio è che ci sono ancora dispositivi senza capacità biometriche, quindi i progettisti dovrebbero rendere disponibili altre opzioni di accesso.

Consenti accesso senza password

Finché gli utenti hanno smartphone e nomi utente, l'accesso senza password è un'opzione praticabile. Dopo aver inserito i nomi utente, gli utenti ricevono un messaggio sullo schermo contenente un numero PIN. Allo stesso tempo, una notifica del telefono richiede agli utenti di selezionare un PIN corrispondente da un elenco di opzioni. Questo processo funziona anche con le impronte digitali e il riconoscimento facciale.

Abilita accesso e-mail

Quasi tutti coloro che utilizzano prodotti digitali hanno un indirizzo e-mail e la maggior parte delle persone utilizza già l'e-mail per misure di sicurezza come password e nomi utente dimenticati. Perché non fare un passo avanti?

L'accesso tramite e-mail funziona inviando collegamenti a tempo limitato alle caselle di posta degli utenti. Slack e Medium hanno una funzione di accesso e-mail chiamata "Magic Link" che rende l'accesso molto più semplice.

Fornire chiavi di sicurezza fisiche

All'interno delle organizzazioni aziendali e dei settori in cui la sicurezza è della massima importanza (finanza, assistenza sanitaria, ecc.), sempre più aziende scelgono di utilizzare chiavi fisiche. Queste schede crittografiche si collegano alle porte USB e inseriscono automaticamente password monouso nei campi di accesso all'applicazione.

La tecnologia è ancora in fase di sviluppo, ma è stato dimostrato che:

• Rendi l'accesso 4 volte più veloce
• Riduci i costi di supporto del 90%
• Elimina virtualmente le acquisizioni di account

Inoltre, aziende come YubiKey stanno aggiungendo il riconoscimento delle impronte digitali per una maggiore protezione. Uno svantaggio evidente è il rischio di perdere l'hardware. Anche se le chiavi perse possono essere disabilitate dagli amministratori, il recupero dell'account è molto più complicato che premere un pulsante "password dimenticata".

UX password semplice e sicuro

Non è un colpo agli utenti, ma non sono i migliori nel creare, ricordare o gestire le password, un fatto che causa frustrazione e inutili attriti UX. Come designer, non dovremmo accontentarci dello status quo. Siamo risolutori di problemi e ci sono diversi modi in cui possiamo perfezionare o ripensare completamente l'esperienza della password.

Finché ci sono account digitali con dati sensibili, dovremo progettare modi per consentire agli utenti di verificare che siano chi dicono di essere . Forse verrà il giorno in cui le password saranno obsolete, ma fino ad allora, dovremo impegnarci per un'esperienza utente che sia semplice e sicura per tutte le parti.

Fateci sapere cosa ne pensate! Si prega di lasciare i vostri pensieri, commenti e feedback qui sotto.

• • •

Ulteriori letture sul blog di Toptal Design:

• Sicuro in base alla progettazione: una panoramica della sicurezza dell'esperienza utente
• La guida definitiva alla progettazione di siti Web di e-commerce
• La fine dei moduli Web
• Home Smart IoT Home: addomesticare l'Internet delle cose
• UX personalizzata e il potere del design e delle emozioni