bts防弹少年团演唱会

bts防弹少年团演唱会

密码UX的问题(以及如何解决)

《密码UX的问题(以及如何解决)》

你有没有忘记网站的密码? 安全问题怎么样?

你有没有花费大量的时间来考虑你能记住的密码,但也符合任意要求的列表(例如7个大写字母,4个特殊字符等)?

当弹出这些UX问题时,它们会引起摩擦。

阻止新SaaS客户注册的摩擦,阻止忠诚电子商务客户下次创建帐户的摩擦,阻止当前客户访问其帐户的摩擦。

为什么密码UX出现问题?

首先,普通人有很多密码需要跟踪。 根据2012年NorSIS密码调查 ,私人密码的平均最低总数为17,工作密码的平均总数为8.5。 另一项调查发现,超过50%的人每天使用三个或更多密码。

密码很难记住。

根据2012年在线注册和密码研究 ,51%的人不喜欢记住另一个密码的想法。 不那么令人惊讶。 但38%的人认为做家务的吸引力比提出另一个新的用户名或密码更有吸引力。

同一项研究发现,每个月至少有一个网站,37%的人不得不在用户名或密码上寻求帮助。

事实上, 根据一项调查显示 ,对密码记忆的简易性的关注非常普遍。

  • 18至24岁的人中有76%担心这一点。
  • 25至34岁的人中有59%担心这一点。
  • 35至49岁的人中有55%担心这一点。
  • 50至64岁的人中有50%担心这一点。

尽管这显然不喜欢密码创建和记忆,但IT%E5%A8%81%E8%83%81%E7%9A%84%E6%84%9F%E7%9F%A5%E5%92%8C%E7%9F%A5%E8%AF%86%EF%BC%9A%E6%B6%88%E8%B4%B9%E8%80%85%E7%9A%84%E8%A7%82%E7%82%B9%E5%8F%91%E7%8E%B0%EF%BC%8C71%EF%BC%85%E7%9A%84%E5%8F%97%E8%AE%BF%E8%80%85%E4%BE%9D%E8%B5%96%E4%BB%96%E4%BB%AC%E7%9A%84%E8%AE%B0%E5%BF%86%E6%9D%A5%E5%9B%9E%E5%BF%86%E5%AF%86%E7%A0%81%E3%80%82″>

这可以解释为什么人们在多个站点重复使用他们的密码 ,无论年龄大小……

  • 18至24岁的人中有76%重复使用密码。
  • 25至34岁的人中有58%重复使用密码。
  • 35至49岁的人中有61%重复使用密码。
  • 50至64岁的人中有56%重复使用密码。
  • 65岁以上的人中有62%重复使用密码。

IT威胁研究的观念和知识也发现,7%的人使用特殊工具(如LastPass )来记住他们的密码。 然而, 研究表明 ,人们只是不相信密码管理器才能成为可行的主流解决方案。

密码并不安全。

由于重用密码的流行表明,密码实际上并不像大多数公司所假设的那样安全。 根据一项消费者调查 ,36%的人每年只更改一次密码(甚至更少),这也是可怕的,因为强制性重置也在起作用。

说到强制重置,您对用户更改密码的要求有多高效? 根据ESET&Harris Interactive Password Poll ,18%的人完全忽略了这些请求,而19%的人“有时会更改他们的密码”。

当他们因威胁或强制重置而更改密码时, 一项研究发现许多用户对其现有密码进行了小幅增量更改,这并不会使黑客的工作变得太困难。

KoreLogic的研究表明 ,只有不到10%,可能不到2%的用户拥有足够复杂且长度足以承受字典,彩虹和暴力攻击组合的密码。

但是你的密码要求呢? 他们有帮助吗? 分析表明 ,超过70%的人使用简单的数字前缀或后缀来避免“必须包含数字”的要求。 类似地,当存在“必须包含特殊字符”要求时,30%的人将在最后添加一个特殊字符。

密码造成严重摩擦。

密码也阻止人们购买。 如果有人试图在电子商务网站上查看时恢复密码,则75%的人无法完成购买

另外的研究发现,在美国接受调查的人中,有46%的人认为,身份验证失败经常或非常频繁地禁止在线交易。

对消费者态度研究发现,在过去两年中,67%的美国受访者至少被锁定过一次账户。 54%的受访者表示在过去两年中至少等待一次用户名或密码。 63%的受访者表示他们同意或非常同意由于忘记密码,用户名或安全问题答案而导致的失败是导致身份验证和识别失败的原因。

但这不是一个新问题。

实际上,自2004年以来,人们一直在寻求传统用户名和密码认证系统的替代解决方案,当时80%的员工表示 “厌倦”使用密码,92%的人表示他们对使用生物识别技术或代币/智能卡更感兴趣。

但随着近年来对网络隐私的关注日益增加,密码问题再次暴露出来。 据YouGov网络安全部门称 ,61%的人对于遭受黑客攻击持中度态度。 另一项研究发现 ,46%的美国受访者同意或非常同意他们不信任仅依赖密码的网站。

这就是说传统的用户名/密码认证系统在很大程度上被打破了。 而且,似乎主流创新停滞不前的唯一原因是公司希望这样做“它总是如何完成”。

  • 《密码UX的问题(以及如何解决)》
  • 免费的用户体验和可用性课程

    由卡尔吉利斯

    超越改善您的密码UX。 观看这些关于UX和可用性的免费课程,以改善整个客户体验。

  • 此字段用于验证目的,应保持不变。

如何优化密码验证

如果您想坚持使用传统的用户名/密码身份验证过程,至少要花时间优化它并改进UX。

您可以立即执行五项操作,以便让访问者更轻松:限制和突出显示密码要求,允许取消屏蔽,显示强度计,不要让他们确认密码,并尝试使用密码短语。

1.限制要求并使其可见。

以下是Hootsuite完成的密码要求示例…

《密码UX的问题(以及如何解决)》

选择密码字段时,三个简单的规则清晰可见。 正如尼尔森诺曼集团的 Katie Sherwin解释的那样,这使得这个过程更加高效……

《密码UX的问题(以及如何解决)》

Katie Sherwin ,尼尔森诺曼集团

“说明密码要求,并确保用户可以在选择字段的整个时间内看到它们。 如果您可以成功地减少某些技术限制,那么您将显示较少的文本,并且用户可以处理更少的规则,从而更快地创建密码。“ (通过NN / g)

从一开始就简单明了的期望意味着更少的错误 。 作为用户,没有什么比输入密码只是为了返回三个错误而烦恼,因为你没有包含特殊字符,三个大写字母和两个数字。

2.允许揭露。

以下是MailChimp密码取消屏蔽的示例…

《密码UX的问题(以及如何解决)》

如您所见,您可以单击密码字段上方的“隐藏”文本以显示或隐藏密码字段中的文本。

Katie分享了一些特定于设备的揭露最佳实践……

《密码UX的问题(以及如何解决)》

Katie Sherwin ,尼尔森诺曼集团

“允许用户取消屏蔽密码。 查看密码将支持内存,并允许用户检查他们的工作。 在桌面上,默认情况下隐藏密码,然后在旁边放置一个标有“ 显示密码”的复选框。 在移动设备和平板电脑上,默认显示密码,并允许用户使用隐藏密码控件切换可见性。“ (通过NN / g)

密码通常被屏蔽以增加安全性。 有人可能会从桌子上看到你的肩膀甚至是你的手机,并抓住你的密码。

但正如Luke Wroblewski解释的那样,它确实没有像大多数公司认为的那样增加安全性……

《密码UX的问题(以及如何解决)》

Google的Luke Wroblewski

等等……什么? 你默认显示人的密码? 简单地说,是的。 我们决定优化可用性和易于登录的可疑安全性增加。 在触摸屏手机上,将设备从窥探的眼睛中移开是微不足道的。 或者更简单地点击隐藏操作来隐藏密码。

但不重要的是,在输入区域正下方有一个可见的触摸键盘,当您按下它时会突出显示每个键。 这些反馈显示密码中的字符大于大多数输入字段。 所以实际上,无论如何,••••字符并不是真正隐藏密码。 因此,我们选择改进可用性。“ (来自LukeW)

所以,总结一下……

  • 在桌面上,默认情况下屏蔽密码,但添加“显示”选项,以便人们可以记住密码并检查其工作。
  • 在移动设备上,默认情况下取消屏蔽密码,但添加“隐藏”选项。 在移动设备上输入复杂,安全的密码尤其困难。
  • 在移动设备上取消屏蔽密码并不会真正损害安全性。 移动键盘无论如何都准确地指出了哪些字母被打字。

3.显示力量指标。

下面,您会注意到Airbnb的密码强度指标低于该字段……

《密码UX的问题(以及如何解决)》

你很可能一次又一次地看到这个。 凯蒂解释了为什么它不是一种过时的做法,实际上可以帮助提高安全性……

《密码UX的问题(以及如何解决)》

Katie Sherwin ,尼尔森诺曼集团

“通过展示密码的安全性,激励人们创建更好的密码。

Egelman等人的一项研究。 (2013)发现强度计激励用户创建更强的密码 。 视觉上代表用户密码的强度,并显示存在改进的空间,改变了动机。 好处是获得安全密码,而不仅仅是遵守系统的任意命令。 这是一种轻微的心理转变,对安全性有潜在的巨大影响。“ (通过NN / g)

通常,如上面的Airbnb示例所示,强度指标取代了可见的密码要求。 这不是必需的,特别是如果您限制了要求,如上所述。

相反,您可以将它们结合使用以减少错误,同时巧妙地激励人们关心自己的安全性(相对于执行大量的任意要求)。

4.不要让人们确认。

请注意,注册Facebook时,您无需输入密码两次…

《密码UX的问题(以及如何解决)》

是的, 重复力量 ,但密码确认字段主要是由于密码屏蔽而引入的。 如果您遵循上述建议并让人们选择取消屏蔽其密码,则密码确认字段可能没有您想象的那么必要。

制剂的杰西卡·恩德斯解释说……

《密码UX的问题(以及如何解决)》

Jessica Enders ,制定

“防止表格错误的愿望很好。 但考虑到双重进入……

  • 增加每个用户的工作量;
  • 可以通过复制和粘贴或自动填表工具来绕过;
  • 只确保两个字段匹配,而不是它们包含有效信息; 和
  • 可能被视为贬低用户;

……在实施双重录入之前确定真正的需求非常重要。“ (通过制定)

Formisimo分享了一个案例研究 ,在阅读了它的现代无关性后,他们尝试删除了密码确认字段。

这是控制……

这是治疗……

结果令人印象深刻,至少可以说……

  • 访问该页面后,14.3%的访问者开始访问该%E8%A1%A8%E5%8D%95“>
  • 总体转化次数增加56.3%。
  • 开始时表格完成率增加35.5%。
  • 更正数量减少23.9%。

5.用密码短语进行实验。

看一下Simple对传统密码认证过程的迭代……

《密码UX的问题(以及如何解决)》

密码短语不是你经常看到的东西,但肯定值得测试。

一些用户体验专家表示,密码短语更加用户友好,因为记住一系列可识别的单词比随机字符更容易。 此外,默认情况下,通过密码短语与密码相比减少了需求。

不过,它们也有助于提高安全性。 由于密码短篇,它们会阻止更多的暴力攻击,使用多个单词有助于阻止字典攻击。

认证的替代方案

如果你想摆脱传统,你有很多选择,都有自己的优点和缺点。

1.生物识别认证

生物识别身份验证的最常见示例是使用拇指指纹解锁手机。 但是,该功能正在迅速扩展。 例如,三星Galaxy S6正在为网站引入生物识别身份验证 ,而不仅仅是硬件……

《密码UX的问题(以及如何解决)》

当然,拇指指纹不是所有生物识别身份验证的全部。 对消费者态度调查发现,受访者对许多不同的生物识别认证方法感兴趣……

  • 83%的人对语音识别感兴趣。
  • 70%的人对面部扫描很感兴趣。
  • 57%的人对手几何感兴趣。
  • 56%的人对指纹感兴趣。
  • 50%的人对眼部扫描感兴趣。

实际上,每10个英国人中就有8个会丢弃密码以支持生物识别安全性。

即使对于像银行这样敏感的东西,消费者也对生物认证感兴趣……

  • 53%的受访者同意或非常同意他们希望自己的银行使用指纹扫描仪。
  • 33%的受访者同意或非常同意他们希望银行使用虹膜扫描仪。
  • 30%的受访者同意或非常同意他们希望自己的银行使用面部识别。
  • 29%的受访者同意或非常同意他们希望他们的银行使用心电图(ECG)心跳监测器。
  • 27%的受访者同意或非常同意他们希望银行使用语音验证。

好处…

  • 没有什么可忘记的; 你的生物学总是和你在一起。
  • 非常安全。
  • 易于用户; 需要最小的努力。

缺点…

  • 它处于开发的早期阶段,因此难以实施。 大多数手机和平板电脑都配备了,但台式机刚刚迎头赶上(例如Windows 10)。

2.双因素身份验证

如果您是常规的iTunes或Gmail用户,您可能已经熟悉双因素身份验证。 仍然需要密码,但代码会发送到第二个设备(例如您的手机)以提高安全性。 因此,当您以外的其他人尝试登录您的帐户时,您会收到通知。

《密码UX的问题(以及如何解决)》

众所周知的陪审团仍然在这个问题上。 虽然它无疑增加了安全性,但它仍然需要记忆密码并且可能很快变得烦人。

一方面,Siber Systems RoboForm在线安全调查发现,如果他们引入了双因素身份验证流程,43.2%的人会更加信任公司的个人信息。

另一方面,在2013年,75%的受访者从未使用双因素身份验证登录网站,27%的受访者决定不使用双因素身份验证登录网站,因为他们不想透露他们的手机号码和/或者因为他们觉得不方便。

好处…

  • 您可以减少密码要求,使UX略微更好。
  • 增加安全性。

缺点…

  • 如果过度使用会变得很烦人。 在可能的情况下,添加“信任此设备X天”选项或考虑使其可选(或至少,易于禁用),如iTunes和Gmail。

3.社交(和其他第三方)身份验证

社交和其他第三方身份验证越来越受欢迎 。 Twitter,Facebook,Google,LinkedIn等提供第三方认证选项。 例如, Basecamp提供了使用您的Google帐户注册的选项…

《密码UX的问题(以及如何解决)》

一般来说,人们都接受社会认证兴起 。 一项调查发现,77%的人认为该选项很有帮助且很有吸引力。

好处…

  • 您最终可以从第三方帐户中获取有关您用户的大量信息。
  • 不比标准密码安全。
  • 访问者很容易使用。
  • 你很容易实现。

缺点…

  • 它始终需要备份身份验证方法,因为访问者可能没有您选择的第三方帐户。
  • 要求第三方提供各种权限,可能会吓跑人们。
  • 它在防火墙后面不起作用,这对于那些无法在工作中使用Facebook的人来说是一个问题。
  • 用户需要记住他们最初注册的方式,如果他们想要登录。

4.无密码验证

也许最着名的无密码认证示例是Slack 。 您可以选择通过电子邮件接收魔术链接,而不是在移动设备上输入密码,这可能会让您自动登录…

《密码UX的问题(以及如何解决)》

但是,当然,不只是Slack在没有密码的情况下进行身份验证。 状态英雄也使用类似的过程……

《密码UX的问题(以及如何解决)》

Auth0编写了一个分步指南,使用通用链接设置类似的身份验证过程,您可以在此处阅读

好处…

  • 他们根本不需要创建,记住或使用密码。 可以将其视为双因素身份验证,而无需初始密码步骤。
  • 通常,这些链接会在很短的时间后过期,从而增加了额外的安全层。

缺点…

  • 这可能很难设置和支持,具体取决于您的网站。

结论

现在是我们重新考虑现代密码UX和在线身份验证的时候了。 不再采取一种方式,因为它始终如一。

以下是您需要了解的有关我们所面临的密码UX问题的信息……

  1. 密码是一个问题,因为它们难以记忆,不如我们想象的那么安全,并造成严重的挫折和摩擦。
  1. 如果您想使用传统密码,您应该:限制要求并使其可见,允许取消屏蔽,显示强度指示器,避免密码确认字段,并尝试使用密码短语。
  1. 生物特征认证很有前景,但仍处于开发和实施的早期阶段。
  1. 如果过度使用,双因素身份验证可能会令人讨厌,但会略微改善用户体验并增加一层安全性。
  1. 社交(和其他第三方)身份验证由于易于使用和实现而越来越受欢迎,但您仍然需要一种后备方法并且为您提供第三方权限可能会吓跑人们。
  2. 没有密码验证可能难以设置和支持,但易于使用且非常安全。

相关文章

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注