Пароли больше не нужны. В Chrome и Android появилась авторизация нового типа
Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы Техника
|
Поделиться
Google создала систему Passkeys для авторизации на сайтах и в сервисах без пароля. Это до нуля снижает риск утечки пароля, так как криптотокены Passkeys являются одноразовыми, но работают пока лишь в Android и только в браузере Chrome. В разработке участвовали Apple и Microsoft – скоро Passkeys может появиться и на их платформах.
Эпоха паролей близится к завершению
Корпорация Google реализовала новый способ авторизации в различных сервисах, позволяющий навсегда забыть о паролях.
Новый проект Google носит название Passkeys. Интернет-гигант позиционирует его непосредственно как новый стандарт аутентификации и действительно преподносит его в качестве замены паролей.
По словам разработчиков, Passkeys или «парольные ключи» в разы безопаснее обычных паролей ввиду того, что они одноразовые. Это сразу лишает злоумышленников выудить столь ценную информацию путем фишинга, социальной инженерии или классического брутфорса.
Google явно пытается выставить пароли как средство безопасности в неблагоприятном свете
В Google уверяют, что Passkeys нельзя не только использовать повторно, но и перехватить при вводе.
Принцип работы
Passkeys – это уникальные (потому что одноразовые) криптографические токены, генерируемые непосредственно на устройстве. Затем они передаются веб-сайтам для авторизации вместо паролей.
Для пользователя это означает, что ему больше не придется держать в голове пароли от десятков сервисов, хранить их в менеджерах паролей и постоянно переживать, что хакеры могут добраться до этих менеджеров. Такое за последние годы происходило не раз – сервисы хранения паролей, основанные на облачных технологиях, наглядно продемонстрировали всему миру свою ненадежность.
Пользоваться Passkeys можно исключительно при наличии физического доступа к смартфону, что еще сильнее снижает вероятность получения доступа к аккаунту. Существует дополнительная степень защиты – перед отправкой парольного слова на сайт Android попросит ввести код разблокировки устройства или коснуться сканера отпечатков пальцев.
Доступ пока ограничен
Чтобы заменители паролей работали, владельцам сайтов и сервисов нужно задействовать WebAuthn API для Chrome. Если этого не сделать, система Passkeys работать не будет. В этом случае пользователь сможет авторизоваться по старой схеме – при помощи своего пароля.
На момент выхода материала оценить работу Passkeys могли не все пользователи Android. Функция работает исключительно в мобильной версии браузера Chrome, и к тому же в сборке Canary для бета-тестеров. Также потребуется перейти на использование бета-версии Google Play Services.
Команда в сборе
Когда Google планирует открыть более широкий доступ к Passkeys, неизвестно. Однако над данной технологией она работала при посильно участии альянса FIDO, а также корпораций Apple и Microsoft, что увеличивает вероятность ее появления в их браузерах и операционных системах.
Алексей Трефилов, ELMA: Low-code инструменты помогут эволюции ИТ-ландшафта компании
Инфраструктура
На то, что и Apple и Google в очень скором будущем тоже внедрят Passkeys указывает еще один важный факт. Ежегодно 5 мая отмечается всемирный день паролей. В этот день в 2022 г. все три корпорации заявили о скором отказе от паролей в своих сервисах.
Как сообщал CNews, они говорили именно о едином стандарте авторизации, который позволит идентифицировать пользователя при помощи распознавания лица или отпечатка пальца или же при помощи PIN-кода. Все это в точности совпадает с описанием Passkeys.
Следует отметить, что Google пытается сделать пароли пережитком прошлого как минимум с 2016 г. На сегодняшний день только Passkeys является наиболее значимым шагом в этом направлении. Однако на повсеместное внедрение технологии могут уйти годы.
Что не так с паролями
Пароль – это классический способ защиты от несанкционированного доступа к информации. Пользователи, использующие разные сложные пароли для разных ресурсов, а также хранящие их в офлайновых менеджерах и не переходящие по сомнительным ссылкам, крайне редко сталкиваются со взломом своих аккаунтов.
Александр Губинский, Самараавтожгут: Как мы получали грант на внедрение компьютерного зрения
Поддержка ИТ-отрасли
Но никогда не стоит забывать, что владельцы сервисов, где у пользователя есть профиль, тоже могут допустить утечку. Например, летом 2021 г. в свободном доступе в Интернете оказался файл с 8,2 млрд паролей. Это больше всего населения Земли и почти вдвое больше суммарного количества пользователей интернета, что сделало данную утечку крупнейшей в истории.
Также в сентябре 2022 г. CNews писал, что Google и Microsoft сами годами воруют пароли пользователей, особо при этом не скрываясь.
- Как выполнять указ президента №250 «О дополнительных мерах информационной безопасности»
Евгений Черкесов
Barsik123: зачем нужны сложные пароли и как хранить их в безопасности?
Слушать подкаст:
Яндекс.Музыка | Apple Podcasts| Soundcloud |YouTube
Согласно недавним исследованиям, самыми популярными паролями среди пользователей остаются «123456», «123456789», «picture1», «пароль» и «12345678». Пользователи по-прежнему продолжают использовать в качестве паролей имена близких, название книг, игр и клички домашних животных.
Выходит, что люди до сих пор так и не научились их защищать, а может, не осознали, почему это нужно делать.
Вместе с Екатериной Рехерт задали вопросы Евгению Питолину — управляющему директору «Лаборатории Касперского» в Центральной Азии, странах СНГ и Балтии, о том, как у нас крадут пароли и чем их защищать.
Как злоумышленники узнают пароли?
Брутфорс (от англ. brute force — грубая сила) — метод, при котором идет перебор всех возможных комбинаций пароля. Брутфорс-программы выполняют перебор, основываясь на данных словаря, дополняя их цифрами и знаками.
Например, если пароль от почты выглядит так — parol123, — то взломать его можно за 3 минуты. А если он выглядит так —[email protected]#o$l%123, — то для того, чтобы взломать такой пароль потребуется больше времени — сотни лет.
Фишинг. Мы рассказывали о том, как во время «черных пятниц» злоумышленники рассылают фишинговые сообщения, но, как оказалось, с их помощью можно не только заманить на фейковые онлайн-магазины, но и отдать злоумышленникам пароли от любых интернет-аккаунтов.
Происходит это так: пользователь получает уведомление от платформы, на которой он зарегистрирован, где требуется ввести данные учетной записи. На фишинг можно попасться не только через почтовое сообщение, но и увидев интересующее вас предложение на сторонних сайтах или сообщениях в соцсети. В дальнейшем киберпреступники используют украденные данные с целью продажи на черном рынке или выведут средства, опустошая ваши банковские счета.
Пароли других учетных записей. Мошенники — инженеры человеческих душ. Они уж точно знают, что мы не любим запоминать много паролей и используем один — для разных платформ. Поэтому они ищут самый незащищенный сервис и взламывают его, а потом добираются до вашего пароля и применяют его к более значимым аккаунтам, к которым вы привязали, например, банковскую карту.
Интернет-магазины и сервисы покупки билетов. Мошенники знают, что мы не любим вводить данные удостоверений или ИИН каждый раз, чтобы купить билеты или оплатить покупку, именно поэтому халатно привязываем банковские карты и конфиденциальные данные к сервисам покупки билетов и интернет-магазинам, которые легко взломать.
Информация, которая хранится в браузере. Чаще всего пользователи сохраняют пароли в браузере. Это упрощает работу для вируса — троянской программы, который крадет данные из браузера.
Вирус такого типа умеет извлекать различную информацию напрямую из браузеров, в том числе логины и пароли к различным аккаунтам, а также сохраненные данные платежных карт и содержимое форм для автозаполнения.
Фотографии в интернете. В мире, где цифровая жизнь заменяет реальную, стало довольно легко слить в сеть конфиденциальные данные своих коллег. Например, если вы сфотографировали рабочий стол, на котором лежит открытый блокнот с логинами и паролями, как это случилось в Нидерландах.
Голландский журналист смог попасть на закрытую конференцию Министров обороны ЕС после того, как министр Нидерландов — Анка Бейлевелд — опубликовала фотографию со встречи, где «спалила» пароль и адрес конференции. В самой конференции больше не было никаких других способов защиты или «кабинета ожидания».
Каким должен быть хороший пароль?
- Быть сложным и не короче 12 символов
Придумайте свою технику создания паролей. Например, скомбинируйте вашу любимую цитату, набор любимых цифр, оценку по математике за четвертый класс и имя любимого персонажа из «Смешариков». Выглядеть это должно так:
45ЯвасЛюбилКРОШЛюбовьЕще555БытьМожетСделайте ваш пароль неожиданным, а следовательно — надежным.
- Отличаться от паролей на других платформах
Об этом также говорилось выше: если вы годами не обновляете пароли в учетных записях, есть вероятность, что, взломав ваш старый аккаунт в «Моём мире», мошенники попытают удачу и попробуют те же пароли для всех оставшихся учетных записей и доберутся до ваших банковских счетов и другой конфиденциальной информации.
- Иметь двухфакторную аутентификацию
Помимо основного пароля, можно «привязать» к учетной записи номер телефона. С одной стороны, так вы оставляете больше информации на платформе, а с другой — усложняете вход в свою учетную запись.
Поэтому важно привязывать номер телефона к проверенным сервисам и узнать о том, как настроить двухфакторную аутентификацию в Facebook, Twitter, Instagram и Вконтакте. - Менять пароли раз в три-шесть месяцев
Это стоит делать хотя бы для трех ключевых аккаунтов: почтового, банковского и в любимой социальной сети.
Как запомнить сложные пароли?
Если вы сомневаетесь, что запомните разные пароли для разных учетных записей, воспользуйтесь менеджером паролей. Такой есть, например, в Kaspersky Total Security. Он может создавать устойчивые к взлому пароли и безопасно хранить все ваши коды доступа. А запомнить придется один единственный — мастер-пароль к сервису.
Второй способ:
![](/800/600/http/u.9111s.ru/uploads/202102/09/63ac5922abceedcd5288cfaff1989942.jpg)
В следующих эпизодах подкаста поговорим о том, как обезопасить ребенка в интернете и можно ли избавиться от навязчивой таргетированной рекламы.
Читайте также:
Cервисы видеоконференций собирают аудиоданные даже при выключенном микрофоне
В Казахстане предлагают повысить штрафы за нарушение кибербезопасности
Данные более 45 млн пользователей мобильных VPN-сервисов попали в интернет
Читай нас в Инстаграм и Телеграм
Новые требования к надежному паролю — программное обеспечение для управления проектами Workzone
В рамках нашего постоянного внимания к обеспечению безопасности вашей информации Workzone внедряет несколько улучшений безопасности. В пятницу, 29 апреля, в 22:00 по восточному стандартному времени Workzone будет отключен примерно на 5 минут для обновления системы.
После обновления системы перед входом в Workzone все пользователи должны будут изменить свои пароли в соответствии с новыми требованиями к надежным паролям. Раньше можно было использовать надежные пароли пользователей; теперь они потребуются. Чтобы правильно запустить этот новый аспект нашей системы, нам потребуется, чтобы ВСЕ пользователи (даже те, у которых уже были надежные пароли) создали новый надежный пароль.
После обновления при следующей попытке входа в Workzone вы попадете на страницу входа.
Если вы находитесь за своим личным компьютером, мы настоятельно рекомендуем установить флажок «Запомнить меня» на странице входа. Это позволит Workzone запомнить вас после смены пароля и требуется для сайтов, которые используют недельный интервал автоматического выхода из системы.
После ввода адреса электронной почты и пароля (которые должны быть заполнены автоматически для большинства пользователей) вы попадете на страницу «Изменить пароль». Эта страница запросит ваш существующий пароль (который должен быть автоматически заполнен для большинства пользователей) и потребует от вас создать и подтвердить новый надежный пароль.
При создании надежного пароля перечисляются требуемые критерии и появляется индикатор надежности пароля. Если вы не хотите придумывать собственный надежный пароль, вы можете выбрать, чтобы Workzone автоматически генерировала для вас очень надежный пароль, щелкнув ссылку «создать очень надежный пароль для меня».
Если ваш старый пароль не заполняется автоматически и вы его не помните, нажмите на ссылку «забыли пароль». Это приведет вас на страницу, где вы введете адрес электронной почты, связанный с вашей учетной записью Workzone, после чего вам будет отправлена ссылка, которая позволит вам сбросить пароль.
Щелкните ссылку «показать пароль», чтобы отобразить новый пароль для копирования в поле «Подтвердить пароль».
Если вы не используете автоматический менеджер паролей (например, LastPass), обязательно сохраните новый надежный пароль в безопасном месте для использования в будущем. Если вы не установили флажок «Запомнить меня» на экране входа в систему, вам потребуется ввести новый пароль при следующем входе в систему. [Вы автоматически войдете в систему в первый раз после успешной смены пароля.]
Система отправит инструкции по сбросу пароля на ваш адрес электронной почты Workzone, который будет содержать временную ссылку, которая приведет вас прямо на страницу «Смена пароля», для которой не требуется существующий пароль. Ссылка будет действительна в течение 15 минут после отправки письма. Если эти 15 минут истекут, вернитесь на страницу входа и повторно используйте ссылку «забыли пароль», чтобы повторно отправить электронное письмо с инструкциями по сбросу пароля.
9_`{|}~ )
Когда вы вводите новый пароль, Workzone укажет, какие требования еще необходимо выполнить, и покажет приблизительную надежность вашего пароля на измерителе надежности пароля. Если вы не хотите придумывать собственный надежный пароль, вы можете выбрать, чтобы Workzone автоматически генерировала для вас очень надежный пароль, щелкнув ссылку «создать очень надежный пароль для меня».
Нечастые пользователи Workzone
Описанный выше процесс сброса пароля будет работать только для пользователей, которые попытаются получить доступ к Workzone до пятницы, 13 мая. После 13 мая Workzone больше не будет распознавать старые пароли пользователей. Пользователи, пытающиеся войти со своим старым паролем, получат сообщение «неверный адрес электронной почты или пароль». Эти пользователи должны щелкнуть ссылку «забыли пароль» на странице входа, и Workzone отправит им по электронной почте ссылку, которая позволит им сбросить пароль.
Автоматическая блокировка после 5 неудачных попыток
Еще одно новое улучшение безопасности в этом обновлении блокирует пользователя после 5 неверных попыток ввода пароля. Раньше это был вариант; теперь это стандарт. После 5 попыток пользователь будет заблокирован и получит сообщение, чтобы связаться с администратором своего сайта, чтобы повторно активировать свою учетную запись пользователя. Workzone также отправит пользователю электронное письмо о блокировке и предложит связаться с администратором.
Ссылки для сброса пароля заменяют временные пароли
Еще одно приятное усовершенствование этого обновления заменяет предыдущую систему временных паролей ссылками для сброса пароля. Этот новый метод более удобен для пользователя (просто нажмите на ссылку), а также более безопасен.
Письма с подтверждением при смене пароля
При смене пароля Workzone автоматически отправит пользователю электронное письмо с уведомлением об изменении пароля. Это предупреждает их об изменении, если они не внесли изменения.
Избегайте излишне сложных требований к созданию паролей (82% этого не делают) – Статьи – Baymard Institute
Основные выводы получить доступ к своим существующим учетным записям
![](/800/600/http/i2.wp.com/zoomapp.ru/wp-content/uploads/2020/05/Punkt-Zabyli-parol-na-ofitsialnom-sajte-Zoom-768x551.png)
Для многих пользователей необходимость помнить и поддерживать длинный и сложный пароль является ключевым фактором их нежелания регистрировать учетную запись на сайте.
Действительно, в ходе многочисленных крупномасштабных исследований мы наблюдали, что излишне сложные и строгие правила паролей самым непосредственным образом наносили ущерб способности участников фактически войти в систему — иногда это даже приводило к отказу от участия, когда пользователи не могли вспомнить или точно воссоздать свои сложный пароль.
На практике слишком строгие правила паролей могут резко повлиять на скорость завершения оформления заказа, блокируя законных возвращающихся пользователей в той же или большей степени, чем потенциальные хакеры. В некоторых из наших тестов у существующих пользователей учетных записей на розничных сайтах уровень отказа от оформления заказа достигал 18% исключительно из-за проблем со сбросом пароля.
Тем не менее, наш тест UX электронной коммерции показывает, что 82% сайтов электронной коммерции имеют очень сложные требования к паролю, что не позволяет новым пользователям создавать учетные записи и ограничивает возможность существующих пользователей получать доступ к своим учетным записям без значительных проблем.
В этой статье мы обсудим результаты нашего исследования Premium, связанные с UX паролей учетных записей электронной коммерции:
- Как излишне сложные требования к паролям вызывают проблемы у пользователей
- Как реализовать требование простого пароля, которое будет удобно для большинства пользователей
- 2 способа снижения рисков безопасности, связанных с несанкционированным доступом к учетной записи
Как излишне сложные требования к паролю вызывают проблемы у пользователей
«Требуется по крайней мере одна строчная буква, одна прописная буква. Ты шутишь, что ли?» Этот участник, создавший учетную запись на Sunbasket, был ошеломлен длинным списком сложных требований к паролю, что вынудило его пересмотреть свою запись, чтобы выполнить ее и двигаться дальше. В то время как пользователи могут создать пароль, который соответствует требованиям в данный момент, вспомнить его позже, чтобы войти в систему, — это другой вопрос.
Хотя требования к паролю в Argos (Великобритания) четко показаны (первое изображение), они по-прежнему слишком строгие и могут вызывать у пользователей ненужные задержки при попытке войти в систему позже (второе изображение).
В ходе нескольких раундов юзабилити-тестов мы часто наблюдали, как участники разочаровывались длинными и сложными списками требований к паролям.
Несмотря на это, мы только редко наблюдаем , что сложные требования к паролю заставляют пользователей немедленно отказываться (при условии, что требования к паролю четко сообщаются заранее).
Однако при измерении влияния требований к паролю это не показатель завершения создания учетной записи имеет наибольшее значение, а скорее частота неудачных попыток входа при последующих посещениях сайта.
Короче говоря, реальный риск чрезмерно высоких требований к паролям заключается в неспособности пользователей легко войти в систему позже.
В то время как пользователи могут быть в состоянии сформулировать достаточно сложный пароль, чтобы «отметить все поля» при создании учетной записи, их способность вспомнить из памяти и успешно воссоздать его для входа в систему уменьшается с каждым дополнительным требованием.
Действительно, при попытке войти в систему пользователи могут напрягаться, чтобы вспомнить очень сложный пароль, который они были вынуждены создать ранее, что приводит к попытке выполнить одно или несколько из следующих действий:
- Попытка входа с несколькими попытками ввода пароля
- Повторная попытка входа с использованием нескольких комбинаций пароля и адреса электронной почты (для пользователей с несколькими учетными записями электронной почты)
- Отказаться и инициировать сброс пароля
- Открыть свой почтовый клиент в новой вкладке или приложении
- Дождитесь письма для сброса пароля (которое сначала должно быть отправлено с сервера исходящей почты сайта, а затем обработано сервером входящей почты пользователя)
- Нажмите или коснитесь ссылки, чтобы установить новый пароль (когда они часто не могут использовать ранее использовавшийся пароль)
- И, наконец, вернуться на сайт — и все это еще до начала процесса оформления заказа
На самом деле, удобство наличия существующей учетной записи на сайте — с сохраненным адресом и потенциально сохраненной платежной информацией — существенно снижается, если учесть, что это занимает много времени и обременительная необходимость просто войти в систему, когда пользователи не могут вспомнить свой ранее созданный пароль.
«Обычно у меня есть несколько паролей, которые я использую… Я думаю, что пароли трудно запомнить, их довольно много нужно запомнить. Это боль… и там разные требования, и поэтому вы не можете вспомнить пароли. Теперь я здесь, хочу эту футболку, и мне нужно что-то придумать прямо здесь, на месте, так что это не будет очень хорошо продумано». Участник тестирования пожаловался на требования к паролю в ASOS, из-за чего ему пришлось создать пароль, отличающийся от его обычного пароля для электронной коммерции.
Чтобы снизить риск забывания своих паролей, пользователи могут разработать свои собственные личные формулы или стратегии сохранения паролей на разных сайтах (при условии, что они не используют браузер или менеджер паролей для запоминания своих паролей).
Например, один участник тестирования поделился, «У меня есть код, который я использую для всего. Он начинается с заглавной буквы, затем идет шесть букв, а затем он заканчивается двумя цифрами… Иногда требуется заглавная буква, иногда цифра, так что у меня такой для всех сайтов» .
Другой поделился своей стратегией: «Я использую свой город с заглавной начальной буквы, за которой следует почтовый индекс, потому что тогда у вас есть заглавная буква, длинный пароль и число, и тогда все довольны, и это относительно легко запомнить» .
Тем не менее, сайты с очень сложными или новыми требованиями могут вынудить пользователей отказаться от использования своих «стандартных» паролей, что еще больше увеличивает вероятность того, что у них возникнут трудности с запоминанием пароля позже и, следовательно, возникнут проблемы со входом при последующих посещениях.
Еще хуже то, что пользователи полагаются на такие стратегии для преодоления «перегрузки паролем» и запоминания пароля на любом заданном сайте, рискуя тем, что они неизбежно прибегнут к вариантам, облегчающим их запоминание, будь то повторное использование одного и того же или слишком похожего паролей на нескольких сайтах, записывая их в небезопасном месте (физическом или цифровом) или применяя предсказуемые правила (например, заменяя букву «о» на «0» в словарных словах).
«Это расстраивает. На самом деле, мне нужно подумать, стоит ли мне покупать это, я думаю, я бы подумал, есть ли другое место, где я мог бы купить это, а затем пошел бы туда. Это очень расстраивает». Этот терпеливый, но разочарованный участник ждал более 6 минут, пока не придет его электронное письмо для сброса пароля, несколько раз проверяя адрес электронной почты.
Во время тестирования получение электронного письма для сброса пароля было особенно проблематичным шагом, поскольку многие участники расстраивались и отказывались от своей задачи, когда электронные письма с паролем задерживались или попадали в спам-фильтры, или когда у них возникали отдельные проблемы со входом в свою учетную запись. учетная запись электронной почты в первую очередь.
У всех участников теста, которые пытались войти в свои личные, ранее существовавшие учетные записи на крупных тестовых сайтах, таких как Amazon и ASOS, мы наблюдали, что незапомненный пароль, за которым следовал процесс сброса пароля, вызвал массовый 18,75% средний показатель отказа от оформления заказа. — все из-за проблем со сбросом электронной почты.
На практике даже одноразовые ссылки для входа (иногда называемые «магическими ссылками»), которые позволяют пользователям обходить части традиционного процесса сброса пароля, являются склонны к этим проблемам, , которые могут полностью помешать пользователям войти в систему.
Как реализовать требование простого пароля, чтобы большинству пользователей было удобно встречаться
В Dollar Shave Club единственным требованием к паролям является минимум из 6 символов.
Учитывая серьезные последствия слишком строгих правил паролей для удобства использования — и последующие отказы от владельцев учетных записей при попытке сбросить свой пароль — сайты должны свести к минимуму нагрузку требований к сложности пароля, вместо этого используя технические решения для защиты от различных видов атак (дальнейшее обсуждение см. ниже).
Чтобы облегчить пользователям создание и запоминание пароля по своему выбору, сайты должны устанавливать только минимальную длину пароля, чтобы предотвратить использование очень коротких (и простых для взлома) паролей.
Многие эксперты по онлайн-безопасности (например, NIST) рекомендуют минимум 8 символов (или 6, если пароль сгенерирован автоматически), что обеспечивает баланс между повышенной безопасностью и чрезмерной обременительностью для пользователей.
Важно, чтобы сайты также не налагали ограничений на ввод паролей, таких как разрешение только определенных специальных символов или ограничение максимальной длины пароля.
Предоставление большой степени свободы позволяет опытным пользователям применять безопасные стратегии паролей — например, использовать более 16 символов или, в идеале, пароли, сгенерированные машиной из приложения менеджера паролей, — не беспокоясь о том, что они не соответствуют сайту требования.
В идеале длина пароля должна ограничиваться только максимально разрешено серверными системами сайта.
В то время как Etsy предоставляет рекомендации по надежному паролю наряду с динамическим индикатором «качества пароля», единственным строгим требованием к паролям является минимум 6 символов, что позволяет пользователям гибко определять свой собственный пароль.
Несмотря на то, что требование дополнительных ограничений паролей может привести к тому, что пользователи не смогут легко войти в систему в будущем, сайты могут по-прежнему поощрять пользователей использовать надежные пароли, предлагая использовать более длинный пароль, в то же время позволяя пользователям продолжить работу с 6–8- символьный пароль.
Таким образом, пользователи могут выбрать в технически более безопасный пароль без необходимости делать это.
Когда сайты запрещают пользователям выходить из системы в качестве гостя, если у них уже есть существующая учетная запись (как показано здесь в Urban Outfitter’s), они гарантируют, что любая задержка или проблемы с процессом сброса пароля гарантированно заставят почти всех пользователей отказаться сайт, так как они не могут продолжить работу со своим зарегистрированным адресом электронной почты.
Дополнительно к во избежание проблем со сбросом пароля из-за того, что пользователи не могут завершить покупку, очень важно, чтобы пользователи всегда могли оформить гостевую проверку, даже если их электронная почта уже привязана к существующей учетной записи.
Если пользователи не могут выполнить гостевую проверку в целом или не могут выполнить гостевую проверку с адресом электронной почты, который уже привязан к учетной записи, тогда сайты на практике вынуждают всех пользователей отказаться от покупки при малейшей задержке или проблеме с процессом сброса пароля.
Несмотря на то, что остаются ощутимые риски плохой безопасности учетной записи, сайты могут предпринять существенные шаги, чтобы смягчить проблемы безопасности, избавив пользователей от чрезмерно сложных паролей.
Прежде чем снижать требования к паролю, сайты электронной коммерции должны принять дополнительные меры безопасности учетной записи, подобные двум, предложенным в этом разделе:
1) Установление препятствий и ограничений при попытке ввода пароля
«Я не робот» CAPTCHA в HP может быть одним из уровней безопасности, защищающих учетные записи пользователей от несанкционированного доступа.
Прежде всего, сайты могут затруднить доступ потенциальных хакеров к существующим учетным записям.
Существует различных стратегий, которые могут использовать сайтов, включая регулирование или ограничение попыток входа в систему и внедрение удобных для человека CAPTCHA для блокировки атак грубой силы. (Подробнее об этих стратегиях см. в NCSC.)
«Мне нравится двухэтапный режим… Я чувствую, что это безопасно, когда они отправляют вам текст или электронное письмо, я думаю, что это безопасно». При создании учетной записи в Samsung этот участник оценил предложение добавить двухэтапную аутентификацию, восприняв ее как полезный уровень дополнительной безопасности.
«Я бы сказал, что несколько лет назад меня бы это немного раздражало, но на самом деле меня это больше не раздражает. Я бы сказал, что за последние два или три года я поставил двойную защиту на… много вещей, просто потому, что это более безопасно, так что я больше не возражаю. Это стоит дополнительных вещей для меня». Эта участница, выполнившая вход в Walgreens, поделилась, что она высоко оценила дополнительную безопасность, обеспечиваемую двухфакторной аутентификацией, несмотря на дополнительные шаги. Другой поделился: : «Я думаю, что они хороши. Мне нравится, что. Он просто лучше проверяет вашу конфиденциальность» .
На Etsy пользователи могут выбрать двухфакторную аутентификацию с помощью телефона, SMS или приложения для аутентификации. Кроме того, пользователи могут следить за использованием своей учетной записи, получая электронное письмо всякий раз, когда используется их вход в систему.
Другим способом дополнительной защиты учетных записей пользователей является реализация двухфакторная аутентификация, требуется подтверждение с адреса электронной почты или номера телефона, связанного с учетной записью пользователя, прежде чем он сможет войти в систему. пользователи пытаются войти в систему с нового браузера или устройства, чтобы предложить возможность связать данные своей учетной записи с приложением для проверки подлинности на устройстве.
Требование кода электронной почты или SMS в дополнение — или вместо, в случае «магических ссылок» — паролей пользователей не полностью устраняет риск проблем со входом, поскольку пользователям по-прежнему потребуется доступ к источнику второго фактора.
Тем не менее, они существенно повышают безопасность учетной записи, одновременно снижая умственную нагрузку, связанную со слишком сложными паролями.
Кроме того, при тестировании, в то время как некоторые участники оценили и приветствовали дополнительную безопасность , обеспечиваемую двухфакторной аутентификацией, другие сочли это бременем, заявив, что, хотя это явно полезно для конфиденциальных сайтов, таких как финансовые или медицинские счета, требующих для входа в большинство учетных записей электронной коммерции не было необходимости.
Например, один участник заявил: «Я признаю, что делаю это со своей электронной почтой и со своим банком, но это немного обременительно. Для большинства торговых сайтов я не думаю, что это действительно необходимо… Я думаю, что это излишество для большинства сайтов» , в то время как другой признался, «Я чувствую, что это заноза в заднице. [Если бы это было необязательно] я бы отказался» .
В зависимости от характера собираемых данных учетной записи сайты могут рассмотреть возможность создания дополнительных уровней двухфакторной аутентификации необязательный, позволяет пользователям, заботящимся о безопасности, соглашаться, не обременяя пользователей, которые считают некоторый риск приемлемым.
2) Требование от пользователей повторно вводить платежные реквизиты при отправке на новый адрес
При оплате в Sephora пользователи должны повторно вводить защитный код, связанный с их картой, при использовании нового адреса, что может помешать хакерам получить выгоду от несанкционированных покупок .
Если хакер получит доступ к учетной записи пользователя, сайты могут минимизировать последствия нарушения, не позволяя пользователям платить с помощью сохраненной кредитной карты, если покупка отправляется на недавно добавленный адрес без предварительного повторного ввода данных кредитной карты — как показано в двух примерах выше.
Эта защита не позволяет хакерам отправлять заказы самим себе с помощью сохраненных способов оплаты жертвы и снижает риск серьезных последствий.
Если хакерам не удастся получить выгоду от мошеннических заказов, основные последствия взлома аккаунта уменьшатся для отправки товаров на сохраненные адреса пользователя (которые затем могут быть отменены или возвращены), просмотра истории заказов пользователя или удаления сохраненной информации пользователя (поскольку сохраненные данные кредитной карты недоступны для просмотра на панели управления учетной записью и неправомерного использования карты на других веб-сайтах). таким образом, невозможно).
Внедрение технических решений для безопасности учетных записей — не полагайтесь на чрезмерно сложные требования к созданию паролей
Сайты всегда должны заботиться о защите сохраненных паролей — и всех пользовательских данных.
На практике существует множество передовых технических реализаций, которые могут свести к минимуму риск перехвата паролей при передаче или доступа непосредственно из пользовательской базы данных сайта. По сути, сложность паролей играет лишь часть роли в риске утечки данных в целом, а ответственность за безопасность учетных записей пользователей должна ложиться на сам сайт, а не на пользователей. Тем не менее, 82% сайтов в нашем тесте UX электронной коммерции предъявляют излишне сложные требования к паролю.
Действительно, наше тестирование показало, что на практике ограничительные требования к паролю имеют серьезные последствия для пользовательского интерфейса при оформлении заказа и, следовательно, для коэффициента конверсии. На некоторых сайтах во время нашего тестирования наблюдалось до 18% отказов от всех существующих пользователей их учетных записей, поскольку эти пользователи пытались войти в свои существующие учетные записи, но не смогли из-за забытых паролей (и в конечном итоге отказались от них в процессе сброса пароля).
Наконец, важно отметить, что здесь мы рекомендуем , а не , чтобы принять низкие стандарты безопасности, а скорее , чтобы признать значительное негативное влияние требований к сложности пароля на взаимодействие с пользователем и предложить сайтам вместо этого взять на себя ответственность за обеспечение безопасности информации учетной записи путем внедрения дополнительных решений безопасности учетной записи, таких как те, что обсуждаются в этой статье.
Однако, в конце концов, влияние на безопасность и последствия строгих правил паролей могут существенно различаться в зависимости от пользователей и контекста сайта, например, сайт розничной торговли, который собирает минимальные пользовательские данные, по сравнению с интернет-аптекой, финансовым приложением или социальная сеть. Кроме того, даже в контексте электронной коммерции разные сайты могут иметь различные требования безопасности и допуски.
Таким образом, в конечном счете каждый сайт должен определить, какими должны быть минимальные требования безопасности для своего собственного уникального контекста. Тем не менее, важно иметь в виду, что любые дополнительные требования к паролю, превышающие минимум 6–8 символов, имеют компромиссов UX и приведут к тому, что по крайней мере некоторые пользователи откажутся от своей покупки.
В этой статье представлены результаты исследования только одного из 600+ руководств по UX в Baymard Premium — получите полный доступ, чтобы узнать, как создать «современный» пользовательский интерфейс электронной коммерции.