安全可靠:如何处理密码 UX

已发表: 2022-03-11

2019 年,全球网络犯罪给企业造成的损失超过 2 万亿美元。 随着数字产品的涌入,越来越多的人正在重复使用登录凭据——这是数据泄露的主要原因。 长期以来,密码管理的用户体验一直被忽视。 现在是设计师重新考虑密码 UX 的各个方面的时候了。

我们的大部分生活都是数字化管理的。 几乎每个方面的人类体验都有一个应用程序、网站或 SaaS 平台,它们都需要密码。 有这么多帐户会出现问题。

据 passwordresearch.com 称, 80% 的数据泄露可追溯到弱或重复使用的登录凭据,61% 的人对多个帐户使用相同的密码,只有 44% 的用户每年至少更改一次密码。

这是对在线平台的极大信任。 如果一个应用程序被黑客入侵,所有帐户都容易受到攻击。

密码

目前的密码情况令人恐惧。 作为设计师,我们可能会倾向于专注于登录屏幕的视觉吸引力,而忽略用户实际创建密码的方式。 我们甚至可能认为密码是开发人员的责任。

不幸的是,密码问题对业务产生了实际影响。 注册过程中的挫败感会导致潜在用户完全放弃该过程。 其他人忘记了他们被迫创建的复杂密码并超出客户支持,浪费时间、人力和金钱。

考虑不周的密码过程会对用户和企业产生负面的多米诺骨牌效应。 设计师能做些什么来改善这种情况吗?

如何改进密码用户体验

有许多改进密码用户体验的策略,它们并不过分复杂。 与往常一样,在规划密码体验时了解核心用户的情况非常重要。 旨在在以下方面取得平衡:

  • 明确的指示
  • 简单的动作
  • 长期用户安全

重置密码
这是一个不该做什么的例子。 用户收到一条错误消息(太长),但没有明确指示如何修复它或可接受的长度是多少。

不要使用太多的安全规则

创建密码应该很容易。 强迫用户遵守一长串要求会导致注册过程中出现摩擦。 最好允许用户创建他们想要的任何密码,但如果他们选择像12345这样明显的密码,让他们知道他们的个人信息很容易受到攻击。

告诉用户为什么安全密码很重要

没有人喜欢在没有上下文的情况下遵循规则或指示。 与其阻止帐户创建,不如让用户了解身份盗用和数据攻击的危险。 在可能的情况下,使用真实世界的统计数据来证明这一点: “你知道每 39 秒就会发生一次网络安全攻击吗?”

添加选项以显示/隐藏密码

“当用户输入密码并且他们得到的唯一反馈是一排项目符号时,可用性会受到影响。 通常,屏蔽密码甚至不会提高安全性,但它确实会因登录失败而让您付出代价。” ——雅各布·尼尔森

允许用户通过在密码输入字段中放置显示/隐藏图标来查看密码。 单击时打开和关闭的眼睛很常见,但根据产品和用户,包含一个简单的显示/隐藏文本切换可能更有效。

某些站点默认使用未屏蔽的输入字段。 虽然这种策略通常受到用户的欢迎,但对于不太安全的环境(咖啡馆、办公室等),它应该与隐藏选项一起使用。

密码要求 ux
除了清晰的密码说明外,Maxwell Health 还使用带有文本标签的易于识别的显示/隐藏图标。

包括密码强度计

密码强度计提供实时反馈,并告诉用户密码能够承受数据攻击的程度。 强度计应与传达不同级别密码有效性的深思熟虑的副本配对。

Weakmediumstrong是有用的指标,但副本需要警告用户什么是危险的: “您的密码使您面临数据盗窃的风险。”

除了文案,还要考虑哪些颜色会产生影响,但请记住颜色具有文化意义。

密码验证最佳实践
云存储提供商 MEGA 将信息副本与其密码强度计配对。

切换到密码短语

密码短语的长度通常为 8 到 16 个字符,但也可以更长。 长度越大,密码短语越有可能遭受暴力攻击。

密码短语的吸引力在于它们很容易记住。 用户可能会输入myhouseisawesomeandcozy ,而不是像myhouse5这样脆弱和容易忘记的东西。

对于包含四个或更多单词的密码短语,不需要高度随机性,但应警告用户避免使用众所周知的单词配对(歌曲歌词、电影台词等)。

密码验证 ux

考虑密码替代品

密码是一种成熟的范例,但它们并不是保护用户数据的唯一方法。 生物识别技术、物理硬件和重新设计的登录流程是科技行业推动密码成为过去的一部分。

利用单点登录

单点登录 (SSO) 是一种策略,用户可以使用一个用户名和密码访问多个产品和服务。 使用 SSO 的站点和应用程序依赖第三方(如 Google、Facebook 和 Apple 等公司)来验证用户身份。 所有用户所要做的就是授予对其 SSO 帐户的访问权限。

SSO 可防止用户堆积密码、提高登录速度,并允许企业从大公司的安全基础设施中受益。

更改密码
Kayak 新用户无需创建更多密码,而是可以从少数 SSO 提供商中进行选择。

使用指纹和人脸识别

许多手机、笔记本电脑和平板电脑都配备了可轻松集成到登录过程中的生物识别技术。 用户无需输入密码,只需触摸或看一眼他们的设备。 安全性提高了,因为面部和指纹很难(尽管并非不可能)伪造。

一个缺点是仍有一些设备没有生物识别功能,因此设计人员应该提供其他登录选项。

允许无密码登录

只要用户拥有智能手机和用户名,无密码登录就是一个可行的选择。 输入用户名后,用户会收到一条包含 PIN 码的屏幕消息。 同时,电话通知会提示用户从选项列表中选择匹配的 PIN。 此过程也适用于指纹和面部识别。

启用电子邮件登录

几乎每个使用数字产品的人都有一个电子邮件地址,而且大多数人已经将电子邮件用于安全措施,例如忘记密码和用户名。 为什么不更进一步?

电子邮件登录的工作原理是向用户的收件箱发送限时链接。 Slack 和 Medium 有一个名为“Magic Link”的电子邮件登录功能,可以让登录更加无缝。

密码恢复 ux
一旦 Medium 的电子邮件登录链接进入用户的收件箱,它只能在 15 分钟内有效。

提供物理安全密钥

在安全至关重要的企业组织和行业(金融、医疗保健等)中,越来越多的公司选择使用物理密钥。 这些加密卡插入 USB 端口并自动在应用程序登录字段中输入一次性密码。

该技术仍在发展中,但事实证明:

  • 让登录速度提高 4 倍
  • 将支持成本降低 90%
  • 几乎消除账户接管

此外,像 YubiKey 这样的公司正在增加指纹识别以增强保护。 一个明显的缺点是丢失硬件的风险。 尽管管理员可以禁用丢失的密钥,但帐户恢复比按下“忘记密码”按钮要复杂得多。

密码重置 ux
YubiKey 的加密安全卡插入 USB 端口并显着提高登录速度。

简单安全的密码 UX

这不是对用户的打击,但他们在创建、记住或管理密码方面并不是最好的,这一事实会导致挫败感和不必要的用户体验摩擦。 作为设计师,我们不应该满足于现状。 我们是问题解决者,我们可以通过多种方式改进或彻底重新考虑密码体验。

只要存在包含敏感数据的数字账户,我们就需要设计方法让用户验证他们的真实身份。 也许有一天密码会过时,但在那之前,我们应该努力为各方提供简单且安全的密码用户体验。

让我们知道您的想法! 请在下方留下您的想法、评论和反馈。

• • •

进一步阅读 Toptal 设计博客:

  • 设计安全——用户体验安全概述
  • 电子商务网站设计终极指南
  • Web 表单的终结
  • 家庭智能物联网家庭:物联网的驯化
  • 个性化的用户体验以及设计和情感的力量