В целости и сохранности: как подойти к паролю UX

В 2019 году киберпреступность обошлась предприятиям во всем мире более чем в 2 триллиона долларов. С появлением цифровых продуктов все больше и больше людей повторно используют учетные данные для входа в систему, что является основной причиной утечки данных. Слишком долго пользовательский опыт управления паролями игнорировался. Пришло время дизайнерам переосмыслить каждый аспект UX пароля.

Большая часть нашей жизни управляется цифровыми технологиями. Существует приложение, веб-сайт или платформа SaaS почти для каждого аспекта человеческого опыта, и все они требуют паролей. С таким количеством учетных записей возникают проблемы.

По данным passwordresearch.com, 80% утечек данных связаны с использованием слабых или повторно используемых учетных данных для входа , 61% людей используют один и тот же пароль для нескольких учетных записей, и только 44% пользователей меняют пароли не реже одного раза в год.

Это большое доверие к онлайн-платформам. Если взломано одно приложение, уязвимы все учетные записи.

Нынешняя ситуация с паролями пугает. Как дизайнеры, у нас может возникнуть соблазн сосредоточиться на визуальной привлекательности экранов входа в систему, игнорируя при этом то, как пользователи на самом деле создают пароли. Можно даже подумать, что за пароли отвечают разработчики.

К сожалению, проблема с паролем имеет реальное влияние на бизнес. Разочарование во время регистрации приводит к тому, что потенциальные пользователи вообще отказываются от процесса. Другие забывают о запутанных паролях, которые им пришлось создавать, и нарушают работу службы поддержки, тратя впустую время, рабочую силу и деньги.

Плохо продуманный процесс пароля оказывает негативное влияние домино как на пользователей, так и на бизнес. Что дизайнеры могут сделать, чтобы улучшить ситуацию?

Как улучшить UX пароля

Существует ряд стратегий, которые улучшают UX паролей, и они не слишком сложны. Как всегда, при планировании взаимодействия с паролем важно иметь представление об основных пользователях. Стремитесь найти баланс между:

• Четкие инструкции
• Простые действия
• Долгосрочная безопасность пользователя

Не используйте слишком много правил безопасности

Должно быть легко создать пароль. Принуждение пользователей к выполнению длинного списка требований вызывает трения в процессе регистрации. Лучше всего позволить пользователям создавать любые пароли, которые они хотят, но если они выберут что-то очевидное, например 12345 , дайте им знать, что их личная информация уязвима.

Расскажите пользователям, почему безопасные пароли важны

Никто не любит следовать правилам или инструкциям без контекста. Вместо того, чтобы препятствовать созданию учетной записи, информируйте пользователей об опасностях кражи личных данных и атак на данные. По возможности используйте реальную статистику, чтобы донести мысль: «Знаете ли вы, что кибератака происходит каждые 39 секунд?»

Добавьте возможность показать/скрыть пароли

«Удобство использования страдает, когда пользователи вводят пароли, а единственная обратная связь, которую они получают, — это ряд маркеров. Как правило, маскировка паролей даже не повышает безопасность , но из-за сбоев при входе в систему может стоить вам бизнеса». – Якоб Нильсен

Разрешите пользователям видеть пароли, разместив значки Показать/Скрыть в полях ввода пароля. Глаз, который открывается и закрывается при нажатии, является обычным явлением, но в зависимости от продукта и пользователей может быть более эффективным включить простой переключатель « Показать/скрыть текст».

Некоторые сайты по умолчанию не маскируют поля ввода. Хотя эта стратегия обычно приветствуется пользователями, ее следует использовать с опцией « Скрыть » для менее безопасных сред (кафе, офисы и т. д.).

Включите измеритель надежности пароля

Измерители надежности паролей дают обратную связь в режиме реального времени и сообщают пользователям, насколько хорошо пароли выдерживают атаки на данные. Измерители надежности должны сочетаться с продуманным текстом, который сообщает о разных уровнях эффективности паролей.

Слабый , средний и сильный являются полезными индикаторами, но текст должен предупреждать пользователей о том, что поставлено на карту: «Ваш пароль делает вас уязвимыми для кражи данных».

Наряду с текстом подумайте, какие цвета окажут влияние, но помните, что цвет имеет культурное значение.

Переключиться на парольные фразы

Парольные фразы обычно содержат от восьми до 16 символов, но могут быть и длиннее. Чем больше длина, тем больше вероятность того, что парольная фраза выдержит атаку грубой силы.

Преимущество кодовых фраз в том, что их легко запомнить. Вместо чего-то слабого и легко забываемого, например, myhouse5 , пользователь может ввести myhouseisawesomeandcozy .

Для кодовых фраз из четырех и более слов высокий уровень случайности не требуется, но пользователей следует предупредить, чтобы они избегали общеизвестных пар слов (тексты песен, цитаты из фильмов и т. д.).

Рассмотрите альтернативные пароли

Пароли — это хорошо зарекомендовавшая себя парадигма, но это не единственный способ защитить пользовательские данные. Биометрия, физическое оборудование и переосмысленные процессы входа в систему являются частью стремления технологической индустрии сделать пароли делом прошлого.

Используйте единый вход

Единый вход (SSO) — это стратегия, при которой пользователи получают доступ к нескольким продуктам и службам с одним именем пользователя и паролем. Сайты и приложения, использующие систему единого входа, полагаются на третьи стороны (такие компании, как Google, Facebook и Apple) для проверки личности пользователей. Все, что нужно сделать пользователям, — это предоставить доступ к своим учетным записям SSO.

Система единого входа не позволяет пользователям накапливать пароли, повышает скорость регистрации и позволяет предприятиям использовать инфраструктуру безопасности крупных компаний.

Используйте отпечатки пальцев и распознавание лиц

Многие телефоны, ноутбуки и планшеты оснащены биометрическими технологиями, которые легко интегрируются в процесс входа в систему. Вместо того, чтобы вводить пароли, пользователи просто касаются своих устройств или смотрят на них. Безопасность повышается, потому что лица и отпечатки пальцев трудно (хотя и не невозможно) подделать.

Одним из недостатков является то, что до сих пор существуют устройства без биометрических возможностей, поэтому разработчикам следует сделать доступными другие варианты входа в систему.

Разрешить вход без пароля

Пока у пользователей есть смартфоны и имена пользователей, вход без пароля является приемлемым вариантом. После ввода имени пользователя пользователи получают сообщение на экране, содержащее PIN-код. В то же время телефонное уведомление предлагает пользователям выбрать соответствующий PIN-код из списка вариантов. Этот процесс также работает с отпечатками пальцев и распознаванием лиц.

Включить вход по электронной почте

Почти каждый, кто использует цифровые продукты, имеет адрес электронной почты, и большинство людей уже используют электронную почту для мер безопасности, таких как забытые пароли и имена пользователей. Почему бы не пойти дальше?

Вход по электронной почте работает путем отправки ограниченных по времени ссылок на почтовые ящики пользователей. В Slack и Medium есть функция входа в систему по электронной почте под названием «Волшебная ссылка», которая значительно упрощает вход в систему.

Предоставьте физические ключи безопасности

В корпоративных организациях и отраслях, где безопасность имеет первостепенное значение (финансы, здравоохранение и т. д.), все больше компаний предпочитают использовать физические ключи. Эти криптографические карты подключаются к портам USB и автоматически вводят одноразовые пароли в поля входа в приложение.

Технология все еще развивается, но уже доказано:

• Сделайте вход в 4 раза быстрее
• Сокращение расходов на поддержку на 90 %
• Практически исключить захват аккаунтов

Кроме того, такие компании, как YubiKey, добавляют распознавание отпечатков пальцев для повышения уровня защиты. Одним очевидным недостатком является риск потери оборудования. Несмотря на то, что утерянные ключи могут быть отключены администратором, восстановление учетной записи требует гораздо больше усилий, чем нажатие кнопки «забыли пароль».

Простой и безопасный пароль UX

Это не удар по пользователям, но они не лучшие в создании, запоминании или управлении паролями, факт, который вызывает разочарование и ненужные трения UX. Как дизайнеры, мы не должны соглашаться на статус-кво. Мы умеем решать проблемы, и у нас есть несколько способов улучшить или полностью переосмыслить работу с паролями.

Пока существуют цифровые учетные записи с конфиденциальными данными, нам нужно разработать способы, позволяющие пользователям подтверждать, что они являются теми, за кого себя выдают . Возможно, придет день, когда пароли устареют, но до тех пор мы должны стремиться к тому, чтобы пользовательский опыт с паролями был простым и безопасным для всех сторон.

Поделитесь с нами вашими мыслями! Пожалуйста, оставьте свои мысли, комментарии и отзывы ниже.

• • •

Дальнейшее чтение в блоге Toptal Design:

• Safe by Design — обзор UX-безопасности
• Полное руководство по дизайну веб-сайта электронной коммерции
• Конец веб-форм
• Главная Умный дом IoT: одомашнивание Интернета вещей
• Персонализированный UX и сила дизайна и эмоций