安全で健全:パスワードUXにアプローチする方法

公開: 2022-03-11

2019年、サイバー犯罪は世界で2兆ドル以上のコストを企業にもたらしました。 デジタル製品の流入により、ますます多くの人々がログイン資格情報を再利用しています。これはデータ侵害の主な原因です。 あまりにも長い間、パスワード管理のユーザーエクスペリエンスは無視されてきました。 デザイナーがパスワードUXのあらゆる側面を再考する時が来ました。

私たちの生活の多くはデジタル管理されています。 人間の経験のほぼすべての側面に対応するアプリ、Webサイト、またはSaaSプラットフォームがあり、それらはすべてパスワードを必要とします。 非常に多くのアカウントで問題が発生します。

passwordresearch.comによると、データ侵害の80%は、弱いログイン資格情報または再利用されたログイン資格情報に起因し、61%の人が複数のアカウントに同じパスワードを使用し、44%のユーザーだけが少なくとも年に1回パスワードを変更しています。

これは、オンラインプラットフォームに置くことへの大きな信頼です。 1つのアプリがハッキングされた場合、すべてのアカウントが脆弱になります。

パスワードUX

現在のパスワードの状況は恐ろしいものです。 デザイナーとして、ユーザーが実際にパスワードを作成する方法を無視して、ログイン画面の視覚的な魅力に集中したくなるかもしれません。 パスワードは開発者の責任であるとさえ考えるかもしれません。

残念ながら、パスワードの問題は実際のビジネスに影響を及ぼします。 サインアップ中のフラストレーションは、潜在的なユーザーがプロセスを完全に放棄することにつながります。 他の人は、顧客サポートを作成して超過することを余儀なくされた複雑なパスワードを忘れ、時間、人的資源、およびお金を浪費します。

十分に考慮されていないパスワードプロセスは、ユーザーと企業に同様に悪影響を及ぼします。 状況を改善するためにデザイナーができることはありますか?

パスワードUXを改善する方法

パスワードUXを改善する戦略はいくつかあり、それらはそれほど複雑ではありません。 いつものように、パスワードエクスペリエンスを計画するときは、コアユーザーの写真を撮ることが重要です。 次のバランスを取ることを目指します。

  • 明確な指示
  • 簡単なアクション
  • 長期的なユーザーセキュリティ

パスワードUXをリセット
してはいけないことの例を次に示します。 ユーザーはエラーメッセージ(長すぎます)を受け取りますが、それを修正する方法や許容できる長さを明確に示していません。

あまりにも多くのセキュリティルールを使用しないでください

パスワードは簡単に作成できるはずです。 ユーザーに要件の長いリストに従うように強制すると、サインアッププロセスで摩擦が発生します。 ユーザーが好きなパスワードを作成できるようにするのが最善ですが、 12345のような明白なものを選択した場合は、個人情報が脆弱であることをユーザーに知らせてください。

安全なパスワードが重要である理由をユーザーに伝える

文脈なしに規則や指示に従うことを好む人は誰もいません。 アカウントの作成を妨げるのではなく、個人情報の盗難やデータ攻撃の危険性についてユーザーを教育します。 可能であれば、実際の統計を使用してポイントを家に持ち帰ります。 「サイバーセキュリティ攻撃が39秒ごとに発生することをご存知ですか?」

パスワードを表示/非表示にするオプションを追加する

「ユーザーがパスワードを入力すると使い勝手が悪くなり、ユーザーが受け取るフィードバックは箇条書きの列だけです。 通常、パスワードをマスクしてもセキュリティは向上しませんが、ログインに失敗するため、ビジネスにコストがかかります。」 –ヤコブ・ニールセン

パスワード入力フィールド内に表示/非表示アイコンを配置して、ユーザーがパスワードを表示できるようにします。 クリックすると開閉する目が一般的ですが、製品やユーザーによっては、単純なテキストの表示/非表示の切り替えを含める方が効果的な場合があります。

一部のサイトでは、デフォルトでマスクされていない入力フィールドが使用されます。 この戦略は一般的にユーザーに歓迎されていますが、安全性の低い環境(カフェ、オフィスなど)では非表示オプションを使用する必要があります。

パスワード要件UX
Maxwell Healthは、明確なパスワードの指示に加えて、テキストラベル付きの簡単に識別できる表示/非表示アイコンを利用しています。

パスワード強度メーターを含める

パスワード強度メーターは、リアルタイムのフィードバックを提供し、パスワードがデータ攻撃にどれだけ耐えられるかをユーザーに知らせます。 強度メーターは、さまざまなレベルのパスワードの有効性を伝える思慮深いコピーと組み合わせる必要があります。

は有用な指標ですが、コピーはユーザーに何が問題になっているのかを警告する必要があります。「パスワードを使用すると、データが盗まれる可能性があります。」

コピーとともに、どの色が影響を与えるかを検討しますが、色には文化的な重要性があることを忘れないでください。

パスワード検証のベストプラクティス
クラウドストレージプロバイダーであるMEGAは、有益なコピーとパスワード強度メーターを組み合わせています。

パスフレーズに切り替える

パスフレーズは8〜16文字になる傾向がありますが、それより長くなることもあります。 長さが長いほど、パスフレーズがブルートフォース攻撃に耐えられる可能性が高くなります。

パスフレーズの魅力は、覚えやすいことです。 myhouse5のような弱くて忘れがちなものの代わりに、ユーザーはmyhouseisawesomeandcozyと入力する可能性があります。

4語以上のパスフレーズの場合、高度なランダム性は必要ありませんが、よく知られている単語の組み合わせ(歌詞、映画の引用など)を避けるようにユーザーに警告する必要があります。

パスワード検証UX

パスワードの代替案を検討する

パスワードは確立されたパラダイムですが、ユーザーデータを保護する唯一の方法ではありません。 バイオメトリクス、物理ハードウェア、および再考されたログインプロセスは、パスワードを過去のものにするためのテクノロジー業界の推進の一部です。

シングルサインオンを利用する

シングルサインオン(SSO)は、ユーザーが1つのユーザー名とパスワードで複数の製品やサービスにアクセスできるようにする戦略です。 SSOを使用するサイトとアプリは、サードパーティ(Google、Facebook、Appleなどの企業)に依存してユーザーIDを確認します。 ユーザーがしなければならないのは、SSOアカウントへのアクセスを許可することだけです。

SSOは、ユーザーがパスワードを積み上げるのを防ぎ、オンボーディング速度を向上させ、企業が大企業のセキュリティインフラストラクチャから利益を得ることができるようにします。

パスワードUXを変更する
より多くのパスワードを作成するのではなく、新しいカヤックユーザーは少数のSSOプロバイダーから選択できます。

指紋と顔認識を使用する

多くの電話、ラップトップ、およびタブレットには、サインオンプロセスに簡単に統合できる生体認証テクノロジーが搭載されています。 ユーザーは、パスワードを入力するのではなく、デバイスをタッチまたは一瞥するだけです。 顔や指紋を偽造するのは難しい(不可能ではありませんが)ため、セキュリティが向上します。

欠点の1つは、生体認証機能のないデバイスがまだ存在するため、設計者は他のログインオプションを利用できるようにする必要があることです。

パスワードなしのサインインを許可する

ユーザーがスマートフォンとユーザー名を持っている限り、パスワードなしのサインインは実行可能なオプションです。 ユーザー名を入力すると、ユーザーはPIN番号を含む画面上のメッセージを受け取ります。 同時に、電話通知により、オプションのリストから一致するPINを選択するようにユーザーに促します。 このプロセスは、指紋と顔認識でも機能します。

電子メールログインを有効にする

デジタル製品を使用するほぼすべての人が電子メールアドレスを持っており、ほとんどの人はパスワードやユーザー名を忘れたなどのセキュリティ対策のためにすでに電子メールを使用しています。 さらに一歩進んでみませんか?

電子メールログインは、時間制限のあるリンクをユーザーの受信ボックスに送信することで機能します。 SlackとMediumには、サインオンをはるかにシームレスにする「MagicLink」と呼ばれる電子メールログイン機能があります。

パスワード回復UX
Mediumの電子メールサインオンリンクがユーザーの受信トレイに届くと、15分間しか実行できません。

物理的セキュリティキーを提供する

セキュリティが最も重要な企業組織や業界(金融、医療など)では、物理キーの使用を選択する企業が増えています。 これらの暗号化カードはUSBポートに接続し、アプリケーションのサインオンフィールドに使い捨てパスワードを自動的に入力します。

技術はまだ開発中ですが、次のことが証明されています。

  • サインインを4倍速くする
  • サポートコストを90%削減
  • アカウントの乗っ取りを事実上根絶する

さらに、YubiKeyのような企業は、保護を強化するために指紋認識を追加しています。 明らかな欠点の1つは、ハードウェアを失うリスクです。 管理者は紛失したキーを無効にすることができますが、アカウントの回復は「パスワードを忘れた場合」ボタンを押すよりもはるかに複雑です。

パスワードリセットUX
YubiKeyの暗号化セキュリティカードはUSBポートに接続し、サインイン速度を劇的に向上させます。

シンプルで安全なパスワードUX

ユーザーをノックすることはありませんが、パスワードの作成、記憶、管理が得意ではありません。これは、フラストレーションや不要なUXの摩擦を引き起こす事実です。 デザイナーとして、私たちは現状に甘んじるべきではありません。 私たちは問題解決者であり、パスワードエクスペリエンスを改善または完全に再考する方法は複数あります。

機密データを含むデジタルアカウントがある限り、ユーザーが本人であることを確認する方法を設計する必要があります。 パスワードが廃止される日が来るかもしれませんが、それまでは、すべての関係者にとってシンプルで安全なパスワードのユーザーエクスペリエンスを追求する必要があります。

ご意見をお聞かせください。 以下にあなたの考え、コメント、フィードバックを残してください。

•••

Toptal Designブログでさらに読む:

  • 安全な設計–UXセキュリティの概要
  • eコマースウェブサイトデザインの究極のガイド
  • Webフォームの終わり
  • ホームスマートIoTホーム:モノのインターネットの家畜化
  • パーソナライズされたUXとデザインと感情の力