ปลอดภัยและเสียง: วิธีเข้าถึงรหัสผ่าน UX

เผยแพร่แล้ว: 2022-03-11

ในปี 2019 อาชญากรรมทางอินเทอร์เน็ตทำให้ธุรกิจทั่วโลกเสียหายกว่า 2 ล้านล้านดอลลาร์ ด้วยการไหลเข้าของผลิตภัณฑ์ดิจิทัล ทำให้ผู้คนจำนวนมากขึ้นใช้ข้อมูลรับรองการเข้าสู่ระบบซ้ำ ซึ่งเป็นสาเหตุหลักของการละเมิดข้อมูล ประสบการณ์ผู้ใช้ในการจัดการรหัสผ่านถูกละเลยเป็นเวลานานเกินไป ถึงเวลาแล้วที่นักออกแบบจะต้องคิดใหม่ทุกแง่มุมของรหัสผ่าน UX

ชีวิตของเราส่วนใหญ่ได้รับการจัดการแบบดิจิทัล มีแอป เว็บไซต์ หรือแพลตฟอร์ม SaaS สำหรับประสบการณ์ของมนุษย์เกือบทุกด้าน และทุกอย่างต้องใช้รหัสผ่าน ด้วยบัญชีจำนวนมากจึงเกิดปัญหา

จากข้อมูลของ passwordresearch.com พบว่า 80% ของการละเมิดข้อมูลเกิดจากข้อมูลรับรองการเข้าสู่ระบบที่อ่อนแอหรือนำมาใช้ซ้ำ ผู้คน 61% ใช้รหัสผ่านเดียวกันสำหรับหลายบัญชี และมีเพียง 44% ของผู้ใช้เปลี่ยนรหัสผ่านอย่างน้อยปีละครั้ง

นั่นเป็นความไว้วางใจอย่างมากที่จะวางบนแพลตฟอร์มออนไลน์ หากแอปใดแอปหนึ่งถูกแฮ็ก บัญชีทั้งหมดจะมีความเสี่ยง

รหัสผ่าน ux

สถานการณ์รหัสผ่านในปัจจุบันนั้นน่ากลัว ในฐานะนักออกแบบ เราอาจถูกล่อลวงให้จดจ่อกับการดึงดูดสายตาของหน้าจอการเข้าสู่ระบบ โดยไม่สนใจวิธีที่ผู้ใช้สร้างรหัสผ่านจริงๆ เราอาจคิดว่ารหัสผ่านเป็นความรับผิดชอบของนักพัฒนา

ขออภัย ปัญหารหัสผ่านมีผลกระทบต่อธุรกิจอย่างแท้จริง ความหงุดหงิดระหว่างการลงชื่อสมัครใช้ทำให้ผู้ที่มีแนวโน้มจะเป็นผู้ใช้ละทิ้งกระบวนการไปโดยสิ้นเชิง คนอื่นๆ ลืมรหัสผ่านที่ซับซ้อนซึ่งพวกเขาถูกบังคับให้สร้างและเอาชนะการสนับสนุนลูกค้า ทำให้เสียเวลา กำลังคน และเงิน

กระบวนการรหัสผ่านที่ถือว่าไม่ดีนั้นส่งผลกระทบในทางลบต่อผู้ใช้และธุรกิจ มีอะไรที่นักออกแบบสามารถทำได้เพื่อปรับปรุงสถานการณ์หรือไม่?

วิธีปรับปรุงรหัสผ่าน UX

มีกลยุทธ์หลายอย่างที่ช่วยปรับปรุง UX ของรหัสผ่าน และไม่ซับซ้อนเกินไป และเช่นเคย การมีภาพผู้ใช้หลักเมื่อวางแผนประสบการณ์การใช้รหัสผ่านเป็นสิ่งสำคัญ ตั้งเป้าที่จะสร้างสมดุลระหว่าง:

  • คำแนะนำที่ชัดเจน
  • การกระทำง่ายๆ
  • ความปลอดภัยของผู้ใช้ในระยะยาว

รีเซ็ตรหัสผ่าน ux
นี่คือตัวอย่างของสิ่งที่ไม่ควรทำ ผู้ใช้ได้รับข้อความแสดงข้อผิดพลาด (ยาวเกินไป) แต่ไม่มีการระบุวิธีแก้ไขหรือความยาวที่ยอมรับได้อย่างชัดเจน

อย่าใช้กฎความปลอดภัยมากเกินไป

ควรจะสร้างรหัสผ่านได้ง่าย การบังคับให้ผู้ใช้ปฏิบัติตามข้อกำหนดที่ยาวเหยียดทำให้เกิดความยุ่งยากในกระบวนการสมัครใช้งาน เป็นการดีที่สุดที่จะอนุญาตให้ผู้ใช้สร้างรหัสผ่านอะไรก็ได้ที่พวกเขาต้องการ แต่ถ้าพวกเขาเลือกสิ่งที่ชัดเจนเช่น 12345 ให้พวกเขารู้ว่าข้อมูลส่วนบุคคลของพวกเขามีความเสี่ยง

บอกผู้ใช้ว่าทำไมรหัสผ่านที่ปลอดภัยจึงสำคัญ

ไม่มีใครชอบที่จะปฏิบัติตามกฎหรือคำแนะนำโดยไม่มีบริบท แทนที่จะขัดขวางการสร้างบัญชี ให้ความรู้แก่ผู้ใช้เกี่ยวกับอันตรายของการขโมยข้อมูลประจำตัวและการโจมตีข้อมูล หากเป็นไปได้ ใช้สถิติในโลกแห่งความเป็นจริงเพื่อขับเคลื่อนประเด็นหลัก: “คุณทราบหรือไม่ว่าการโจมตีความปลอดภัยทางไซเบอร์เกิดขึ้นทุกๆ 39 วินาที”

เพิ่มตัวเลือกเพื่อแสดง/ซ่อนรหัสผ่าน

“การใช้งานจะแย่ลงเมื่อผู้ใช้พิมพ์รหัสผ่าน และคำติชมเดียวที่พวกเขาได้รับคือแถวของสัญลักษณ์แสดงหัวข้อย่อย โดยทั่วไป การมาสก์รหัสผ่านไม่ได้เพิ่มความปลอดภัย ด้วยซ้ำ แต่จะทำให้คุณสูญเสียธุรกิจเนื่องจากการเข้าสู่ระบบล้มเหลว” –จาค็อบ นีลเซ่น

อนุญาตให้ผู้ใช้ดูรหัสผ่านโดยการวางไอคอน แสดง/ซ่อน ภายในช่องป้อนรหัสผ่าน ตาที่เปิดและปิดเมื่อคลิกเป็นเรื่องปกติ แต่ขึ้นอยู่กับผลิตภัณฑ์และผู้ใช้ การรวมการสลับ แสดง/ซ่อน ข้อความอย่างง่ายอาจมีประสิทธิภาพมากกว่า

บางไซต์มีค่าเริ่มต้นเป็นฟิลด์ป้อนข้อมูลที่ไม่ได้ปิดบัง แม้ว่าโดยทั่วไปผู้ใช้จะยินดีกับกลยุทธ์นี้ แต่ก็ควรใช้ร่วมกับตัวเลือก ซ่อน สำหรับสภาพแวดล้อมที่ปลอดภัยน้อยกว่า (ร้านกาแฟ สำนักงาน ฯลฯ)

ข้อกำหนดรหัสผ่าน ux
นอกจากคำแนะนำรหัสผ่านที่ชัดเจนแล้ว Maxwell Health ยังใช้ไอคอนแสดง/ซ่อนที่ระบุได้อย่างง่ายดายด้วยป้ายข้อความ

รวมตัววัดความแรงของรหัสผ่าน

เครื่องวัดความแรงของรหัสผ่านให้ข้อเสนอแนะแบบเรียลไทม์และบอกผู้ใช้ว่ารหัสผ่านจะทนต่อการโจมตีข้อมูลได้ดีเพียงใด เครื่องวัดความแรงควรจับคู่กับสำเนาที่รอบคอบซึ่งสื่อสารระดับต่างๆ ของประสิทธิภาพของรหัสผ่าน

อ่อนแอ ปานกลาง และ แข็งแกร่ง เป็นตัวบ่งชี้ที่เป็นประโยชน์ แต่การคัดลอกจำเป็นต้องเตือนผู้ใช้ถึงสิ่งที่เสี่ยง: “รหัสผ่านของคุณทำให้คุณเสี่ยงต่อการขโมยข้อมูล”

นอกจากการทำสำเนาแล้ว ให้พิจารณาว่าสีใดที่จะสร้างผลกระทบ แต่จำไว้ว่าสีนั้นมีความสำคัญทางวัฒนธรรม

แนวทางปฏิบัติที่ดีที่สุดในการตรวจสอบรหัสผ่าน
MEGA ผู้ให้บริการพื้นที่เก็บข้อมูลบนคลาวด์ จับคู่สำเนาข้อมูลกับตัวตรวจสอบความเข้มงวดของรหัสผ่าน

เปลี่ยนไปใช้ข้อความรหัสผ่าน

วลีรหัสผ่านมักจะมีความยาวตั้งแต่แปดถึง 16 อักขระ แต่อาจยาวกว่านั้นได้ ยิ่งมีความยาวมากเท่าใด ก็ยิ่งมีโอกาสมากขึ้นที่ข้อความรหัสผ่านจะทนต่อการโจมตีด้วยกำลังเดรัจฉาน

ความน่าสนใจของข้อความรหัสผ่านคือจดจำได้ง่าย แทนที่จะเป็นสิ่งที่อ่อนแอและลืมไม่ลง เช่น myhouse5 ผู้ใช้อาจเข้าสู่ myhouseisawesomeandcozy

สำหรับข้อความรหัสผ่านที่มีคำตั้งแต่สี่คำขึ้นไป ไม่จำเป็นต้องมีการสุ่มในระดับสูง แต่ผู้ใช้ควรได้รับการเตือนเพื่อหลีกเลี่ยงการจับคู่คำที่รู้จักกันดี (เนื้อเพลง คำพูดในภาพยนตร์ ฯลฯ)

การตรวจสอบรหัสผ่าน ux

พิจารณาทางเลือกรหัสผ่าน

รหัสผ่านเป็นกระบวนทัศน์ที่มีพื้นฐานมาเป็นอย่างดี แต่ก็ไม่ใช่วิธีเดียวที่จะปกป้องข้อมูลผู้ใช้ได้ ไบโอเมตริก ฮาร์ดแวร์จริง และกระบวนการเข้าสู่ระบบที่คิดใหม่เป็นส่วนหนึ่งของอุตสาหกรรมเทคโนโลยีที่ผลักดันให้รหัสผ่านกลายเป็นอดีต

ใช้การลงชื่อเพียงครั้งเดียว

การลงชื่อเพียงครั้งเดียว (SSO) เป็นกลยุทธ์ที่ผู้ใช้สามารถเข้าถึงผลิตภัณฑ์และบริการที่หลากหลายด้วยชื่อผู้ใช้และรหัสผ่านเดียว ไซต์และแอปที่ใช้ SSO อาศัยบุคคลที่สาม (บริษัท เช่น Google, Facebook และ Apple) เพื่อยืนยันตัวตนของผู้ใช้ ผู้ใช้ทั้งหมดต้องทำคือให้สิทธิ์เข้าถึงบัญชี SSO ของตน

SSO ป้องกันผู้ใช้จากการซ้อนรหัสผ่าน เพิ่มความเร็วในการออนบอร์ด และช่วยให้ธุรกิจได้รับประโยชน์จากโครงสร้างพื้นฐานด้านความปลอดภัยของบริษัทขนาดใหญ่

เปลี่ยนรหัสผ่าน ux
แทนที่จะสร้างรหัสผ่านมากขึ้น ผู้ใช้เรือคายัครายใหม่สามารถเลือกจากผู้ให้บริการ SSO จำนวนหนึ่งได้

ใช้ลายนิ้วมือและการจดจำใบหน้า

โทรศัพท์ แล็ปท็อป และแท็บเล็ตจำนวนมากติดตั้งเทคโนโลยีไบโอเมตริกซ์ที่ผสานรวมเข้ากับกระบวนการลงชื่อเข้าใช้ได้อย่างง่ายดาย แทนที่จะป้อนรหัสผ่าน ผู้ใช้เพียงแค่แตะหรือเหลือบมองอุปกรณ์ของตน ความปลอดภัยเพิ่มขึ้นเนื่องจากใบหน้าและลายนิ้วมือยากต่อการปลอมแปลง (แต่ไม่ใช่สิ่งที่เป็นไปไม่ได้)

ข้อเสียเปรียบประการหนึ่งคือยังมีอุปกรณ์ที่ไม่มีความสามารถด้านไบโอเมตริก ดังนั้นนักออกแบบจึงควรสร้างตัวเลือกการเข้าสู่ระบบอื่นๆ ให้พร้อมใช้งาน

อนุญาตการลงชื่อเข้าใช้แบบไม่มีรหัสผ่าน

ตราบใดที่ผู้ใช้มีสมาร์ทโฟนและชื่อผู้ใช้ การลงชื่อเข้าใช้แบบไม่มีรหัสผ่านก็เป็นตัวเลือกที่ใช้การได้ หลังจากป้อนชื่อผู้ใช้แล้ว ผู้ใช้จะได้รับข้อความบนหน้าจอที่มีหมายเลข PIN ในขณะเดียวกัน การแจ้งเตือนทางโทรศัพท์จะแจ้งให้ผู้ใช้เลือก PIN ที่ตรงกันจากรายการตัวเลือก กระบวนการนี้ยังใช้ได้กับลายนิ้วมือและการจดจำใบหน้า

เปิดใช้งานการเข้าสู่ระบบอีเมล

เกือบทุกคนที่ใช้ผลิตภัณฑ์ดิจิทัลมีที่อยู่อีเมล และคนส่วนใหญ่ใช้อีเมลอยู่แล้วสำหรับมาตรการรักษาความปลอดภัย เช่น ลืมรหัสผ่านและชื่อผู้ใช้ ทำไมไม่ก้าวไปอีกขั้น?

การเข้าสู่ระบบอีเมลทำงานโดยส่งลิงก์แบบจำกัดเวลาไปยังกล่องจดหมายของผู้ใช้ Slack และ Medium มีคุณสมบัติการเข้าสู่ระบบอีเมลที่เรียกว่า "Magic Link" ที่ทำให้การลงชื่อเข้าใช้ราบรื่นยิ่งขึ้น

กู้คืนรหัสผ่าน ux
เมื่อลิงก์ลงชื่อเข้าใช้อีเมลของ Medium เข้าสู่กล่องจดหมายของผู้ใช้แล้ว ลิงก์ดังกล่าวจะใช้งานได้เพียง 15 นาทีเท่านั้น

ให้คีย์ความปลอดภัยทางกายภาพ

ภายในองค์กรและอุตสาหกรรมขององค์กรที่การรักษาความปลอดภัยมีความสำคัญสูงสุด (การเงิน การดูแลสุขภาพ ฯลฯ) มีบริษัทจำนวนมากขึ้นที่เลือกใช้คีย์จริง การ์ดเข้ารหัสเหล่านี้เสียบเข้ากับพอร์ต USB และป้อนรหัสผ่านแบบใช้ครั้งเดียวโดยอัตโนมัติในช่องลงชื่อเข้าใช้แอปพลิเคชัน

เทคโนโลยียังคงพัฒนาอยู่ แต่ได้รับการพิสูจน์แล้วว่า:

  • ลงชื่อเข้าใช้เร็วขึ้น 4 เท่า
  • ลดต้นทุนการสนับสนุนลง 90%
  • แทบขจัดการครอบครองบัญชี

นอกจากนี้ บริษัทเช่น YubiKey กำลังเพิ่มการจดจำลายนิ้วมือเพื่อเพิ่มการป้องกัน ข้อเสียเปรียบอย่างหนึ่งที่เห็นได้ชัดคือความเสี่ยงที่จะสูญเสียฮาร์ดแวร์ แม้ว่าผู้ดูแลระบบสามารถปิดใช้งานคีย์ที่สูญหายได้ แต่การกู้คืนบัญชีนั้นเกี่ยวข้องมากกว่าการกดปุ่ม "ลืมรหัสผ่าน"

รีเซ็ตรหัสผ่าน ux
การ์ดรักษาความปลอดภัยการเข้ารหัสของ YubiKey เสียบเข้ากับพอร์ต USB และปรับปรุงความเร็วในการลงชื่อเข้าใช้อย่างมาก

รหัสผ่านที่ง่ายและปลอดภัย UX

ผู้ใช้ไม่ได้สร้างปัญหาให้กับผู้ใช้ แต่ก็ไม่ได้ดีที่สุดในการสร้าง จดจำ หรือจัดการรหัสผ่าน ซึ่งเป็นข้อเท็จจริงที่ก่อให้เกิดความหงุดหงิดและความไม่ลงรอยกันของ UX โดยไม่จำเป็น ในฐานะนักออกแบบ เราไม่ควรยึดติดกับสถานะที่เป็นอยู่ เราเป็นนักแก้ปัญหา และมีหลายวิธีที่เราสามารถปรับแต่งหรือคิดใหม่ทั้งหมดเกี่ยวกับประสบการณ์การใช้รหัสผ่าน

ตราบใดที่มีบัญชีดิจิทัลที่มีข้อมูลที่ละเอียดอ่อน เราจะต้องออกแบบวิธีให้ผู้ใช้ตรวจสอบได้ว่าพวกเขาเป็นใคร อาจมีวันหนึ่งที่รหัสผ่านล้าสมัย แต่จนถึงตอนนี้ เราควรพยายามหาประสบการณ์ผู้ใช้รหัสผ่านที่ง่ายและปลอดภัยสำหรับทุกฝ่าย

แจ้งให้เราทราบสิ่งที่คุณคิด! โปรดแสดงความคิดเห็น ความคิดเห็น และข้อเสนอแนะของคุณด้านล่าง

• • •

อ่านเพิ่มเติมเกี่ยวกับบล็อก Toptal Design:

  • ปลอดภัยโดยการออกแบบ – ภาพรวมของการรักษาความปลอดภัย UX
  • สุดยอดคู่มือการออกแบบเว็บไซต์อีคอมเมิร์ซ
  • จุดสิ้นสุดของเว็บฟอร์ม
  • หน้าแรก Smart IoT Home: การสร้างอินเทอร์เน็ตของสิ่งต่าง ๆ
  • UX ส่วนบุคคลและพลังของการออกแบบและอารมณ์