安全可靠:如何處理密碼 UX

已發表: 2022-03-11

2019 年,全球網絡犯罪給企業造成的損失超過 2 萬億美元。 隨著數字產品的湧入,越來越多的人正在重複使用登錄憑據——這是數據洩露的主要原因。 長期以來,密碼管理的用戶體驗一直被忽視。 現在是設計師重新考慮密碼 UX 的各個方面的時候了。

我們的大部分生活都是數字化管理的。 幾乎每個方面的人類體驗都有一個應用程序、網站或 SaaS 平台,它們都需要密碼。 有這麼多帳戶會出現問題。

據 passwordresearch.com 稱, 80% 的數據洩露可追溯到弱或重複使用的登錄憑據,61% 的人對多個帳戶使用相同的密碼,只有 44% 的用戶每年至少更改一次密碼。

這是對在線平台的極大信任。 如果一個應用程序被黑客入侵,所有帳戶都容易受到攻擊。

密碼

目前的密碼情況令人恐懼。 作為設計師,我們可能會傾向於專注於登錄屏幕的視覺吸引力,而忽略用戶實際創建密碼的方式。 我們甚至可能認為密碼是開發人員的責任。

不幸的是,密碼問題對業務產生了實際影響。 註冊過程中的挫敗感會導致潛在用戶完全放棄該過程。 其他人忘記了他們被迫創建的複雜密碼並超出客戶支持,浪費時間、人力和金錢。

考慮不周的密碼過程會對用戶和企業產生負面的多米諾骨牌效應。 設計師能做些什麼來改善這種情況嗎?

如何改進密碼用戶體驗

有許多改進密碼用戶體驗的策略,它們並不過分複雜。 與往常一樣,在規劃密碼體驗時了解核心用戶的情況非常重要。 旨在在以下方面取得平衡:

  • 明確的指示
  • 簡單的動作
  • 長期用戶安全

重置密碼
這是一個不該做什麼的例子。 用戶收到一條錯誤消息(太長),但沒有明確指示如何修復它或可接受的長度是多少。

不要使用太多的安全規則

創建密碼應該很容易。 強迫用戶遵守一長串要求會導致註冊過程中出現摩擦。 最好允許用戶創建他們想要的任何密碼,但如果他們選擇像12345這樣明顯的密碼,讓他們知道他們的個人信息很容易受到攻擊。

告訴用戶為什麼安全密碼很重要

沒有人喜歡在沒有上下文的情況下遵循規則或指示。 與其阻止帳戶創建,不如讓用戶了解身份盜用和數據攻擊的危險。 在可能的情況下,使用真實世界的統計數據來證明這一點: “你知道每 39 秒就會發生一次網絡安全攻擊嗎?”

添加選項以顯示/隱藏密碼

“當用戶輸入密碼並且他們得到的唯一反饋是一排項目符號時,可用性會受到影響。 通常,屏蔽密碼甚至不會提高安全性,但它確實會因登錄失敗而讓您付出代價。” ——雅各布·尼爾森

允許用戶通過在密碼輸入字段中放置顯示/隱藏圖標來查看密碼。 單擊時打開和關閉的眼睛很常見,但根據產品和用戶,包含一個簡單的顯示/隱藏文本切換可能更有效。

某些站點默認使用未屏蔽的輸入字段。 雖然這種策略通常受到用戶的歡迎,但對於不太安全的環境(咖啡館、辦公室等),它應該與隱藏選項一起使用。

密碼要求 ux
除了清晰的密碼說明外,Maxwell Health 還使用帶有文本標籤的易於識別的顯示/隱藏圖標。

包括密碼強度計

密碼強度計提供實時反饋,並告訴用戶密碼能夠承受數據攻擊的程度。 強度計應與傳達不同級別密碼有效性的深思熟慮的副本配對。

Weakmediumstrong是有用的指標,但副本需要警告用戶什麼是危險的: “您的密碼使您面臨數據盜竊的風險。”

除了文案,還要考慮哪些顏色會產生影響,但請記住顏色具有文化意義。

密碼驗證最佳實踐
雲存儲提供商 MEGA 將信息副本與其密碼強度計配對。

切換到密碼短語

密碼短語的長度通常為 8 到 16 個字符,但也可以更長。 長度越大,密碼短語越有可能遭受暴力攻擊。

密碼短語的吸引力在於它們很容易記住。 用戶可能會輸入myhouseisawesomeandcozy ,而不是像myhouse5這樣脆弱和容易忘記的東西。

對於包含四個或更多單詞的密碼短語,不需要高度隨機性,但應警告用戶避免使用眾所周知的單詞配對(歌曲歌詞、電影台詞等)。

密碼驗證 ux

考慮密碼替代品

密碼是一種成熟的範例,但它們並不是保護用戶數據的唯一方法。 生物識別技術、物理硬件和重新設計的登錄流程是科技行業推動密碼成為過去的一部分。

利用單點登錄

單點登錄 (SSO) 是一種策略,用戶可以使用一個用戶名和密碼訪問多個產品和服務。 使用 SSO 的站點和應用程序依賴第三方(如 Google、Facebook 和 Apple 等公司)來驗證用戶身份。 所有用戶所要做的就是授予對其 SSO 帳戶的訪問權限。

SSO 可防止用戶堆積密碼、提高登錄速度,並允許企業從大公司的安全基礎設施中受益。

更改密碼
Kayak 新用戶無需創建更多密碼,而是可以從少數 SSO 提供商中進行選擇。

使用指紋和人臉識別

許多手機、筆記本電腦和平板電腦都配備了可輕鬆集成到登錄過程中的生物識別技術。 用戶無需輸入密碼,只需觸摸或看一眼他們的設備。 安全性提高了,因為面部和指紋很難(儘管並非不可能)偽造。

一個缺點是仍有一些設備沒有生物識別功能,因此設計人員應該提供其他登錄選項。

允許無密碼登錄

只要用戶擁有智能手機和用戶名,無密碼登錄就是一個可行的選擇。 輸入用戶名後,用戶會收到一條包含 PIN 碼的屏幕消息。 同時,電話通知會提示用戶從選項列表中選擇匹配的 PIN。 此過程也適用於指紋和麵部識別。

啟用電子郵件登錄

幾乎每個使用數字產品的人都有一個電子郵件地址,而且大多數人已經將電子郵件用於安全措施,例如忘記密碼和用戶名。 為什麼不更進一步?

電子郵件登錄的工作原理是向用戶的收件箱發送限時鏈接。 Slack 和 Medium 有一個名為“Magic Link”的電子郵件登錄功能,可以讓登錄更加無縫。

密碼恢復 ux
一旦 Medium 的電子郵件登錄鏈接進入用戶的收件箱,它只能在 15 分鐘內有效。

提供物理安全密鑰

在安全至關重要的企業組織和行業(金融、醫療保健等)中,越來越多的公司選擇使用物理密鑰。 這些加密卡插入 USB 端口並自動在應用程序登錄字段中輸入一次性密碼。

該技術仍在發展中,但事實證明:

  • 讓登錄速度提高 4 倍
  • 將支持成本降低 90%
  • 幾乎消除賬戶接管

此外,像 YubiKey 這樣的公司正在增加指紋識別以增強保護。 一個明顯的缺點是丟失硬件的風險。 儘管管理員可以禁用丟失的密鑰,但帳戶恢復比按下“忘記密碼”按鈕要復雜得多。

密碼重置 ux
YubiKey 的加密安全卡插入 USB 端口並顯著提高登錄速度。

簡單安全的密碼 UX

這不是對用戶的打擊,但他們在創建、記住或管理密碼方面並不是最好的,這一事實會導致挫敗感和不必要的用戶體驗摩擦。 作為設計師,我們不應該滿足於現狀。 我們是問題解決者,我們可以通過多種方式改進或徹底重新考慮密碼體驗。

只要存在包含敏感數據的數字賬戶,我們就需要設計方法讓用戶驗證他們的真實身份。 也許有一天密碼會過時,但在那之前,我們應該努力為各方提供簡單且安全的密碼用戶體驗。

讓我們知道您的想法! 請在下方留下您的想法、評論和反饋。

• • •

進一步閱讀 Toptal 設計博客:

  • 設計安全——用戶體驗安全概述
  • 電子商務網站設計終極指南
  • Web 表單的終結
  • 家庭智能物聯網家庭:物聯網的馴化
  • 個性化的用戶體驗以及設計和情感的力量