Избегайте неоправданно сложных требований к созданию паролей
В 82% случаях пользователям сайтов приходится придумывать сложные пароли
- Если вы требуете от людей использовать слишком сложные пароли, то они всё реже будут создавать учётные записи, а большинство пользователей не смогут беспроблемно получить доступ к существующим учётным записям
- Как правило, для сайтов электронной коммерции пароль, необходимый для обеспечения безопасности, может состоять из 6-8 символов
- Однако в рамках нашего исследования в 82% случаях пользователи интернет-магазинов были вынуждены создавать неоправданно сложные пароли
Многие покупатели не хотят регистрироваться на сайте из-за необходимости запоминать длинный и сложный пароль.
В ходе многочисленных крупномасштабных исследований мы выявили, что слишком строгие требования к паролям усложняли участникам процесс регистрации на сайте. Иногда люди даже покидали сайт, когда не могли вспомнить или точно воспроизвести свой сложный пароль.
На практике слишком строгие требования к паролю могут оказать значительное влияние на скорость завершения оформления заказа. Они блокируют действия постоянных покупателей в той же степени или даже больше, чем атаки потенциальных хакеров. Результаты некоторых тестов показали, что пользователи интернет-магазинов, у которых уже была учётная запись, в 18% случаев отказывались от оформления заказа из-за проблем со сбросом пароля.
При этом наше UX-исследование сайтов электронной коммерции показывает, что в 82% случаев в интернет-магазинах предусмотрены сложные требования к паролю. Они мешают новым пользователям создавать учётные записи, а постоянные покупатели не могут быстро войти в свои уже созданные аккаунты.
В этой статье мы обсудим результаты Premium-исследования на тему UX-паролей от учётных записей на сайтах электронной коммерции. Вы узнаете:
- С какими проблемами сталкиваются пользователи в случае наличия неоправданно сложных требований к паролям
- Как внедрить простые и удобные правила к созданию паролей для большинства покупателей
- 2 способа снизить риски, связанные с несанкционированным доступом к аккаунту
С какими проблемами сталкиваются пользователи в случае наличия неоправданно сложных требований к паролям
❌ «Нужна хотя бы одна строчная буква и одна заглавная. Вы издеваетесь?» Участник, который регистрировался на сайте Sunbasket, был ошеломлен длинным списком сложных требований к паролю. Это вынудило его придумывать пароль, который бы соответствовал требованиям сайта. Пользователи могут создать пароль, который отвечает требованиям системы в данный момент, но позже, когда они захотят войти в аккаунт, маловероятно, что они его вспомнят
❌ «О, мой пароль недостаточно надёжный. Нужно придумать что-то посложнее». Участница пыталась зарегистрироваться на сайте Target, но её пароль не соответствовал многочисленным требованиям системы. Сложный пароль на этапе создания аккаунта может усложнить пользователям вход в учётную запись при последующих посещениях сайта
❌ На сайте Argos (Великобритания) дизайнеры чётко показали требования к паролю (первое изображение), но они остаются всё ещё слишком строгими и могут затруднить пользователям вход в систему в дальнейшем (второе изображение)
❌ На сайте Newegg система требует, чтобы пароли отвечали многим обременительным правилам. Это приведёт к тому, что некоторые пользователи откажутся от оформления заказа из-за проблем со входом в аккаунт
Мы протестировали юзабилити сайтов и пришли к выводу, что участники расстраивались, когда видели длинные перечни жёстких требований к паролю.
На момент регистрации пользователи редко покидали сайт из-за сложных требований к паролю, при условии что они были чётко изложены. Однако при оценке влияния требований к паролям наибольшее значение имеет не процент завершения создания учётной записи, а процент отказов от использования сайта при его последующих посещениях.
То есть реальный риск чрезмерно жёстких требований к паролю заключается в том, что люди не смогут легко войти в систему при повторных посещениях.
При создании учётной записи они могут придумать сложный пароль, чтобы «поставить все галочки», но с каждым дополнительным требованием их способность вспомнить и успешно воссоздать его для повторного входа в систему снижается.
Когда люди хотят войти в аккаунт, напрягая мозг, чтобы вспомнить сложный пароль, который им ранее пришлось создать, они:
- Пытаются войти в систему, пробуя разные варианты паролей
- Повторяют попытку входа, используя несколько комбинаций пароля и электронной почты (в случае тех покупателей, которые забыли, какой именно адрес электронной почты они использовали)
- Сдаются и инициируют сброс пароля
- Открывают свою почту в новой вкладке или в приложении
- Дождаются письма со сброшенным паролем, которое сначала должно быть отправлено с сервера исходящей почты сайта, а затем обработано сервером входящей почты пользователя
- Переходят по ссылке для установки нового пароля. При этом зачастую человек не может указать пароль, который он использовал ранее
- И, наконец, возвращаются на сайт — и всё это ещё до начала процесса оформления заказа
Удобство наличия существующего аккаунта на сайте с сохранённым адресом и потенциально сохранённой платёжной информацией существенно снижается, если учесть трудоёмкую и обременительную необходимость войти в систему, когда пользователи не могут вспомнить ранее созданный пароль.
❌ «Обычно я использую несколько паролей... Мне сложно запоминать их. Паролей довольно много, и мне приходится держать их в голове. Это боль... на разных сайтах разные требования, и поэтому невозможно запомнить все пароли. Теперь я хочу купить эту футболку и должен придумать пароль, с плохо продуманными требованиями к нему». Один из участников тестирования пожаловался на требования к паролю на сайте ASOS, которые вынудили его придумать пароль, непохожий на те, которые он обычно использует для регистрации на сайтах электронной коммерции
Пользователи придумывают собственные формулы или стратегии для того, чтобы запомнить пароли от аккаунтов на разных сайтах. Это если они не используют браузер или менеджер паролей для этих целей.
Например, один из участников тестирования поделился опытом: «У меня есть пароль, который я использую везде. Он начинается с заглавной буквы, затем идут шесть букв, а заканчивается он двумя цифрами... Иногда требуется заглавная буква, иногда цифра, поэтому я использую один код для всех сайтов».
Второй участник поделился другой стратегией: «Я использую название своего города и пишу его с заглавной буквы. За ним следует почтовый индекс, потому что тогда у вас есть заглавная буква, длинный пароль и цифра. Все довольны, и такой пароль относительно легко запомнить».
Однако на некоторых сайтах есть сложные или новые требования, которые могут вынудить покупателей отказаться от использования «стандартных» паролей. Это ещё больше увеличивает вероятность того, что людям будет трудно запомнить пароль в дальнейшем. Следовательно, у них возникнут проблемы со входом в систему при последующих посещениях сайта.
Ещё хуже, если пользователи будут полагаться на вышеуказанные стратегии, чтобы не «перегружать мозг паролями» и иметь один пароль для всех сайтов. Они будут применять варианты, которые облегчат им запоминание пароля: использовать один и тот же пароль или похожие пароли на нескольких сайтах, записывать их в ненадежном месте (физическом или цифровом) или следовать предсказуемым правилам, например, менять букву «о» на «0» в словах).
❌ «Это разочаровывает. Я думаю о том, стоит ли мне вообще совершать покупку или найти другое место, где я смогу купить эту вещь. Меня всё это расстраивает». Этот терпеливый, но расстроенный участник ждал более 6 минут, пока ему придёт письмо со сброшенным паролем. Ему пришлось несколько раз возвращаться и проверять адрес электронной почты
Во время тестирования особенно проблематичным этапом было получение письма со сбросом пароля. Письма с паролями задерживались, попадали в спам, или у людей возникали другие проблемы со входом в аккаунт через адрес электронной почты, указанный в учётной записи. В итоге многие люди расстраивались и отказывались от выполнения задания.
Среди участников тестирования были те, у кого уже были аккаунты на таких крупных сайтах, как Amazon и ASOS. Мы заметили, что если люди не помнили пароль и сбрасывали его, это приводило к огромному среднему показателю отказов от оформления заказа — 18,75%. И всё из-за проблем со «сбросом пароля».
На практике даже одноразовые ссылки для входа (иногда их называют «волшебными ссылками»), которые позволяют людям облегчить часть традиционного процесса сброса пароля, подвержены таким проблемам, которые могут полностью лишить пользователей возможности войти в систему.
Как внедрить простые и удобные требования к паролям для большинства покупателей
✅ На сайте Dollar Shave Club единственное требование к паролю — ввод минимум 6 символов
✅ В мобильном приложении Wayfair покупатели могут использовать любой пароль, лишь бы он состоял не менее, чем из 6 символов
Дизайнерам следует учитывать серьёзное влияние слишком строгих правил для создания паролей на юзабилити сайта и последующие отказы владельцев учётных записей от попыток сбросить пароль. Для этого, стоит снизить требования к сложности пароля и внедрить технические решения для защиты аккаунта от различных видов атак (более подробное объяснение читайте ниже).
Чтобы покупатели без проблем создавали и запоминали пароль, следует установить для него минимальную длину. Тогда люди не будут использовать слишком короткие пароли, которые легко взломать.
Многие эксперты по онлайн-безопасности (например, NIST) рекомендуют применять минимум 8 символов (или 6, если пароль генерирует машина). Это обеспечивает баланс между безопасностью и чрезмерным обременением пользователей.
Важно отметить, что на сайтах следует избегать введения ограничений на ввод паролей, например, вынуждать пользователей включать в состав пароля специальные символы или вводить запрет на его максимальную длину.
Бóльшая свобода позволит опытным покупателям применять безопасные стратегии ввода паролей. Например, использовать более 16 символов или, в идеале, машинные пароли из приложения для управления паролями. В таком случае они больше не будут беспокоиться о том, что их пароль не соответствует требованиям сайта.
В идеале длина пароля должна быть ограничена только тем максимумом, который разрешён внутренними требованиями системы сайта.
✅ На сайте Etsy есть рекомендации, как создать надёжный пароль, и динамический измеритель «качества пароля». Единственным строгим требованием к паролям является ввод минимум 6 символов, что позволяет пользователям гибко управлять собственным паролем
Дополнительные требования к паролям будут препятствовать лёгкому входу пользователей в систему в будущем. Тем не менее можно поощрять людей использовать надежные пароли, предлагая придумать более длинный пароль, но при этом разрешая сгенерировать пароль из 6-8 символов.
Таким образом, покупатели могут выбрать технически более надёжный пароль без принуждения.
❌ На некоторых сайтах пользователи не могут продолжить взаимодействовать с сайтом в гостевом режиме («chechout as guest»), если у них уже есть учётная запись, как в случае с сайтом Urban Outfitter. Такой подход гарантирует, что любая задержка или проблемы со сбросом пароля вынудят почти всех покупателей покинуть сайт, поскольку они не смогут продолжить работу с уже зарегистрированным в системе сайта адресом электронной почты
Кроме того, чтобы проблемы со сбросом пароля не помешали пользователям завершить покупку, важно, чтобы люди всегда могли взаимодействовать с сайтом в гостевом режиме, даже если их электронная почта уже привязана к существующему аккаунту.
Если покупатели не могут оформить заказ в гостевом режиме или не могут войти в гостевой режим с электронной почтой, которая уже привязана к существующему аккаунту, это вынудит их отказаться от покупки при малейшей задержке или проблеме со сбросом пароля.
2 способа снизить риски, связанные с несанкционированным доступом к учётной записи
На сайтах электронной коммерции есть ощутимые риски, связанные с плохой защитой учётных записей. Тем не менее можно предпринять меры, чтобы снизить уровень проблем, связанных с безопасностью, и одновременно предоставить пользователям простые правила для создания паролей.
Прежде чем снижать требования к паролям, необходимо внедрить дополнительные меры безопасности учётных записей в интернет-магазине. К ним относятся:
- Ограничения при попытках входа в систему
- Требование повторного ввода платежных реквизитов при отправке товара на новый адрес
1. Ограничения при попытках входа в систему
✅ CAPTCHA «Я не робот» на сайте HP — один из уровней безопасности, который защищает учётные записи пользователей от несанкционированного доступа
Прежде всего, можно усложнить потенциальным хакерам доступ к существующим учётным записям сайта.
Существуют различные стратегии, которые включают регулирование количества попыток входа в аккаунт за определённый промежуток времени, ограничение попыток входа в систему и внедрение удобных для человека CAPTCHA для блокирования атак методом перебора. Подробнее об этих стратегиях читайте на сайте NCSC.
✅ «Мне нравится двухэтапная аутентификация... Я чувствую себя в безопасности, когда они присылают мне сообщение или электронное письмо». При создании учётной записи на сайте Samsung участник оценил предложение добавить двухэтапную аутентификацию и воспринял её, как полезный уровень дополнительной безопасности
✅ «Раньше меня бы раздражала двойная защита, но теперь нет. Два или три года назад я поставила двухэтапную аутентификацию... на многие вещи, просто потому, что это более безопасно. И у меня больше нет никаких возражений против неё. Она стоит того, чтобы потратить дополнительные усилия». Участница, которая регистрировалась на сайте Walgreens, оценила дополнительный уровень безопасности, который обеспечивает двухфакторная аутентификация, несмотря на необходимость приложить дополнительные усилия. Другая участница сказала: «Я думаю, что это хороший подход к безопасности и он мне нравится, потому что лучше сохраняет конфиденциальность»
✅ На сайте Etsy пользователи могут выбрать несколько вариантов двухфакторной аутентификации: через телефон, SMS или приложение authenticator. Кроме того, они могут следить за тем, чтобы никто не мог войти в их учётную запись, получая электронное письмо при каждом входе в аккаунт
Ещё один способ дополнительной защиты учётных записей покупателей — внедрение двухфакторной аутентификации. Она требует подтверждения, которое приходит на адрес электронной почты или номер телефона пользователя, указанные в аккаунте, прежде, чем он сможет войти в систему.
На практике можно применять различные степени двухфакторной защиты: от требования подтвердить вход с нового браузера или устройства до предложения привязать информацию об учётной записи к приложению-аутентификатору, встроенному в устройство.
Отправка кода по электронной почте или SMS в дополнение — или вместо «волшебных ссылок» к паролям пользователей, не полностью устраняет риск возникновения проблем при входе в систему, поскольку пользователям всё равно потребуется доступ к источнику второго фактора.
Однако эти меры существенно повышают безопасность учётной записи и снижают когнитивную нагрузку, связанную с запоминанием сложных паролей.
Более того, в ходе тестирования некоторые участники оценили и с пониманием отнеслись к требованиям дополнительной безопасности, которую обеспечивает двухфакторная аутентификация. Другие посчитали её обременительной. Они заявили, что, хотя она явно полезна для таких сайтов, которые имеют отношение к финансам или медицинским счетам, нет необходимости использовать её для входа в аккаунт на большинстве сайтах электронной коммерции.
Например, один из участников заявил: «Я применяю двухфакторную аутентификацию для защиты электронной почты и в банковских приложениях, но это немного обременительно. Не думаю, что большинству интернет-магазинов она необходима и считаю её излишней». Другой участник сказал: «Мне кажется, что это бесполезная функция. Если бы было необязательно её применять, я бы отказался от её использования».
В зависимости от характера собираемых учётных данных можно сделать двухфакторную аутентификацию необязательной. Это позволит людям, которые заботятся о безопасности, использовать её, и не обременять тех, которые считают приемлемой некоторую долю риска.
2. Требование повторного ввода платежных реквизитов при отправке товара на новый адрес
✅ В мобильном приложении Target пользователи должны повторно ввести номер карты, если используют новый адрес доставки. Это важная мера безопасности в случае взлома учётной записи
✅ При оформлении заказа на сайте Sephora покупатели должны повторно ввести код безопасности, который связан с их картой, если они используют новый адрес доставки. Эта мера поможет предотвратить совершение несанкционированных покупок хакерами
Если хакер всё же получит доступ к учётной записи пользователя, можно минимизировать последствия взлома аккаунта. Например, не позволять пользователям оплачивать покупки сохранённой кредитной картой, если они хотят отправить покупку на вновь добавленный адрес. Чтобы это сделать, человеку придётся повторно ввести данные кредитной карты, как показано на двух примерах выше.
Эта мера предосторожности не позволит хакерам отправлять заказы самим себе с помощью сохранённых способов оплаты и снижает риск серьёзных последствий.
В таком случае основные последствия взлома аккаунта сводятся к отправке товаров на сохраненные адреса пользователя, которые он сможет вернуть, просмотру истории заказов или удалению сохранённой им информации. Поскольку сохранённые данные кредитной карты недоступны для просмотра с панели управления аккаунтом, злоупотребление картой на других сайтах становится невозможным.
Внедряйте технические решения, чтобы обеспечить безопасность учётных записей, и не полагайтесь на сложные требования к созданию паролей
✅ На сайте Amazon единственное требование к паролю от учётной записи — ввод минимум 6 символов. Сокращение требований к паролю до минимума и перенос ответственности за обеспечение безопасности с пользователей на представителей сайтов поможет избежать отказов от покупок в интернет-магазине
Представители сайтов должны заботиться о защите паролей покупателей и всех пользовательских данных.
На практике есть множество прогрессивных технических решений, которые позволяют минимизировать риск перехвата пароля или доступа к аккаунту напрямую через базу данных пользователей сайта. Сложность пароля не играет ключевую роль в общем риске утечки информации. Ответственность за защиту учётных записей покупателей должна лежать на самом сайте, а не на пользователях. Тем не менее, согласно результатам нашего исследования интернет-магазинов в 82% случаях пользователи сталкиваются со сложными требованиями к созданию паролей.
Наше тестирование показало, что на практике жёсткие требования к созданию паролей влекут серьёзные последствия для опыта взаимодействия пользователя с сайтом при оформления заказа, и, следовательно, для коэффициента конверсии. В ходе исследования мы выяснили, что пользователи интернет-магазинов, у которых уже была учётная запись, в 18% случаев отказывались от оформления заказа из-за проблем со сбросом пароля.
Важно отметить, что мы не рекомендуем придерживаться низких стандартов безопасности, а скорее просим признать, что сложные пароли негативно влияют на опыт взаимодействия. Мы предлагаем представителям сайтов взять на себя ответственность за обеспечение безопасности информации покупателей путем внедрения дополнительных решений, связанных с защитой учётных записей. Их мы подробно рассмотрели в этой статье.
В конечном итоге влияние на безопасность и последствия строгих правил для создания паролей могут существенно различаться в зависимости от пользователей сайта и контекста. Например, сайт розничной торговли, который собирает минимальное количество данных покупателей, отличается от онлайн-аптеки, финансового приложения или социальной сети. Более того, даже в контексте электронной коммерции требования к безопасности могут отличаться в зависимости от типов сайтов.
Поэтому создателям сайтов следует определить минимальные требования к их безопасности, которые соответствуют уникальному контексту. Важно помнить, что любые дополнительные требования к паролю, помимо минимальных 6-8 символов, снижают удобство использования и приведут к тому, что некоторые пользователи откажутся от покупки.
Перевод статьи Avoid Unnecessarily Complex Password-Creation Requirements (82% Don’t) из блога Baymard.
В нашем Телеграм-канале UX Teddy публикуем так же переводы практических статей из блога UX Movement про проектирование сложных интерфейсов, форм и страниц — подписывайтесь!