Черная пятница в UPROCK! 2 дня до конца распродажи!

Альтернативы обычным паролям: одноразовые пароли (OTP) и ключи доступа

Одноразовые пароли и ключи доступа значительно упрощают регистрацию и вход в систему.

Пароли — одна из главных болевых точек любого опыта взаимодействия. И до недавнего времени эта проблема считалась неизбежной. Одноразовые пароли и ключи доступа избавляют нас от необходимости создавать, хранить, извлекать и запоминать свои пароли. Эти новые решения особенно эффективны на мобильных устройствах, но они могут упростить жизнь и пользователям компьютеров.

Какие сложности возникают с паролями

Пароли раздражают. Их трудно придумывать, трудно набирать и трудно запоминать. 😠

Многие из нас хранят пароли на своих устройствах, что, безусловно, упрощает нам жизнь. Например, в недавнем опросе, который мы проводили:

  • 76% респондентов заявили, что сохраняют пароли на телефоне,
  • 17% используют сторонний менеджер паролей,
  • 10% используют и то, и другое.
Мы выяснили, что большинство пользователей сохраняют свои пароли на телефонах

Даже если вы используете такой «костыль», как менеджер паролей (встроенный или сторонний), он делает опыт взаимодействия более громоздким и неуклюжим.

Например, иногда поле для ввода пароля не распознается, и поэтому предложение выбрать сгенерированный менеджером пароль не появляется на экране. А иногда менеджер не считывает требования к паролю на сайте или в приложении и создает комбинацию символов, которая им не соответствует.

(1) Unsplash для iPhone: Несмотря на то что поле для ввода пароля оказалось в фокусе, телефон не распознал его и не предложил пароль (2) Пароль, созданный iPhone, не соответствовал требованиям сайта

Кроме того, если пользователь сохраняет пароли на нескольких устройствах, ему может быть трудно вспомнить, на каком из них он создал учетную запись. Например, я всегда забываю, где сохранен конкретный пароль — в iCloud на одном из моих Apple-устройств, в Edge или Chrome (которые я использую на компьютере с Windows) или в стороннем приложении для управления паролями.

С паролями связаны два важных сценария взаимодействия: регистрация и вход.

Что касается входа в систему — этот процесс стал значительно удобнее, когда появилась биометрическая аутентификация. Люди, готовые поделиться своими отпечатками пальцев и параметрами лица, могут не вспоминать и не вводить пароль. Биометрическая аутентификация экономит пользователям немало времени и сил.

Но как насчет регистрации? До недавнего времени, пользователям, создающим учетную запись (к сожалению, это происходит слишком часто в современном вебе), приходилось придумывать пароль, удовлетворяющий сложным требованиям, которые меняются от одного сайта/приложения к другому. Часто эти требования не раскрывались заранее, что вынуждало людей гадать, как должен выглядеть пароль и раз за разом получать сообщения об ошибках.

Приложение MLB (бейсбольной лиги) для iPhone не отображает требования, которым должен соответствовать пароль

И вот, наконец, новый, долгожданный тренд, решающий проблему регистрации, — учетные записи без пароля.

Учетные записи без пароля

Речь идет о случаях, когда пользователь может безопасно пройти аутентификацию и войти в систему без фиксированного пароля.

Существует два типа учетных записей без пароля: учетные записи с одноразовым паролем (OTP) и учетные записи с ключом доступа.

Учетные записи с одноразовым паролем (OTP)

Одноразовые пароли (OTP — one-time password) — это коды, которые отправляются на номер телефона или электронную почту, связанную с учетной записью. Эти коды служат временными паролями: человек может войти в свой аккаунт, используя OTP для аутентификации. Иногда код, отправленный по электронной почте, принимает форму так называемой «волшебной ссылки» (magic link).

Одноразовые пароли хороши тем, что пользователю не нужно:

  • извлекать пароль из своей долговременной памяти или из внешнего источника (например, браузера или менеджера паролей),
  • вводить пароль вручную.

Однако с применением одноразовых паролей сопряжены определенные издержки. Пользователю приходится:

  • ждать, пока OTP придет на устройство, причем ожидание может быть довольно продолжительным в районах с плохой связью,
  • заходить в почтовый ящик или сообщения, чтобы получить доступ к OTP и ввести его на сайте или в приложении

Обратите внимание: издержки будут минимальными, если ОТР отправляется в формате текстового сообщения, которое отображается в виде подсказки над клавиатурой (при этом пользователю не нужно закрывать страницу). 

Получить доступ к OTP сложнее, если ссылка была отправлена по электронной почте. Человеку придется покинуть приложение и зайти в свой ящик, чтобы пройти аутентификацию. Кроме того, существует риск, что письмо попадет в папку со спамом.

До недавнего времени OTP использовались в основном для входа в систему. Владельцы учетных записей могли выбрать предпочтительную опцию — войти по обычному паролю или получить одноразовый. Но почему бы не использовать OTP постоянно, даже не создавая пароль?

В этом и заключается идея беспарольных учетных записей на основе OTP: владелец аккаунта всегда использует одноразовый пароль или волшебную ссылку для входа в систему. Ему в принципе не нужен пароль.

Приложение Yummly для Android не требует создания пароля при регистрации (слева) Чтобы войти в аккаунт, пользователю нужно перейти по волшебной ссылке в письме (справа)

Несмотря на то что OTP чрезвычайно эффективны, если пользователь забыл свой пароль, как мы уже упоминали выше, они не лишены издержек. Людям, которые хранят пароли на своем телефоне или в браузере, может быть удобнее, чтобы они вставлялись автоматически. Они предпочитают задать пароль один раз, а затем пользоваться автоматическим заполнением.

Поэтому даже если учетная запись на вашем сайте/в приложении может быть создана без пароля, предложите пользователям возможность впоследствии привязать к ней пароль. Так они смогут входить в систему еще быстрее — по крайней мере, на некоторых устройствах. Однако не следует заставлять пользователей создавать пароль, если они этого не хотят.

Кроме того, добавьте опцию входа в систему с помощью биометрической аутентификации. Это может еще больше ускорить процесс для тех, кто готов делиться своими данными. (Наше исследование показало, что 83% пользователей хотя бы иногда выбирают биометрический метод аутентификации).

Kayak для iOS (слева) и Waze для iOS (справа) дают возможность добавить пароль к своей учетной записи. Однако ни одно из приложений не позволяет использовать биометрическую аутентификацию для входа в аккаунт

OTP на десктопе

OTP применимы и на компьютерах. Если код отправляется в виде текстового сообщения, скопировать его будет немного сложнее, кроме случаев, когда пользователь настроил получение сообщений на компьютере (например, с помощью приложения Messages на Mac). Зато здесь гораздо проще скопировать и вставить код из электронного письма, поскольку экран больше, а переключаться между окнами на десктопе обычно проще.

Поэтому, если вы создаете отзывчивый сайт, который будет работать как на компьютерах, так и на мобильных устройствах, предложите пользователю выбор способа получения OTP — по электронной почте или в формате текстового сообщения.

Ключи доступа

Еще один интересный тренд в мире аутентификации — ключи доступа (passkeys). Хотя они отличаются от OTP, они также позволяют владельцам учетных записей обойтись без стандартного пароля. Основа этого подхода — биометрическая аутентификация.

Ключ доступа — это пароль, невидимый для пользователя. При регистрации на сайте, поддерживающем эту технологию, ваше устройство создает для вас пароль; этот пароль будет храниться в зашифрованном виде на устройстве (или где-то в облаке). 

В следующий раз, когда вы будете входить на сайт, устройство будет использовать биометрическую аутентификацию (например, отпечаток пальца или Face ID), чтобы идентифицировать вас, и, если аутентификация пройдет успешно, отправит ваш зашифрованный ключ на сайт. После этого сайт пропустит вас в систему.

Приложение Kayak для iPhone: вход в систему с помощью ключа доступа

Безусловно, ключи доступа являются более удобными, чем обычные пароли: пользователю не нужно запоминать, хранить или вводить их. Они также имеют более низкую стоимость взаимодействия, чем OTP: их не надо копировать и вставлять, как и нажимать на ссылку.

Кроме того, они более безопасны, чем обычные пароли, поскольку хранятся не на сайтах, а в зашифрованном виде на вашем устройстве, а значит, они менее подвержены утечке и взлому. Даже если данные будут украдены, мошенники должны будут получить доступ к вашей биометрической аутентификации, чтобы воспользоваться ими. Также ключи неприменимы для фишинга, поскольку они отправляются только на те сайты, с которыми связаны.

Трудности могут возникнуть в том случае, если вы собираетесь использовать сайт на нескольких устройствах. Например, если вы создали ключ доступа на iPhone и пытаетесь пройти аутентификацию на планшете с Android или Windows, сайт отобразит QR-код, который необходимо будет отсканировать с помощью iPhone. (При этом ключи доступа будут без проблем работать на всех устройствах Apple, поскольку они синхронизируются в iCloud).

Kayak.com: пользователи браузера Chrome могут пройти аутентификацию с помощью ключа доступа, созданного на телефоне, отсканировав QR-код его камерой

Когда пользователь сканирует QR-код, он видит предложение войти при помощи ключа доступа. Если он соглашается, он автоматически входит в систему на десктопе

Таким образом, мы можем говорить о более низких затратах на взаимодействие только в том случае, если человек использует одно и то же устройство (или одну и ту же экосистему устройств) для доступа к веб-сайту. Тем не менее, большинство людей всегда держат телефоны под рукой, а отсканировать QR-код проще, чем вводить или копировать и вставлять пароль.

Рекомендации по проектированию учетных записей без пароля

Учетные записи без пароля упрощают процесс регистрации и входа в систему. Вот несколько рекомендаций, которые помогут сделать опыт ваших пользователей максимально комфортным:

  • Предоставьте пользователям несколько опций: (1) создать и использовать обычный пароль или (2) создать аккаунт без пароля, а затем заходить в него при помощи биометрической аутентификации/OTP. 
  • В случае с OTP позвольте пользователям выбирать между электронной почтой и текстовыми сообщениями. Помните, что некоторым пользователям текстовые сообщения приходят на текущее устройство, а другим — нет.
  • В случае с ключами доступа обеспечьте поддержку нескольких устройств, предоставив пользователям возможность сканировать QR-код. Это особенно полезно, если человек использует не то устройство, на котором хранится ключ.

Спасибо за внимание!

Источник
и
:
arrow