提升用户体验：优化身份验证设计模式-优快云博客

作者：维塔利·弗里德曼（Vitaly Friedman）喜欢美丽的内容，不喜欢轻易屈服。

早上醒来，没有人会希望最终识别出当天的人行横道和消防栓。然而，我们每天都会通过箍和循环提示用户注册并登录。让我们解决这个问题。

本文涉及到设计模式等计算机方面知识，请知悉！

身份验证是一个棘手的主题。从2FA到MFA再到OTP，我们周围有很多术语 - 可能很难理解我们需要什么以及何时需要它。但是身份验证无处不在，有时它非常令人沮丧，有时它是无缝的。让我们探索一些模式，以创建比令人沮丧的体验更无缝的体验。

现在，没有人在早上醒来，希望最终识别出当天的人行横道和消防栓。然而，每天，我们都会通过箍和循环提示用户注册并登录，设置足够复杂的密码或恢复密码，以找到一种方法来恢复对锁定帐户和注销会话的访问。

由于CAPTCHA不再起作用，我们必须解决对机器来说足够困难的任务。这不是用户友好的，而是安全的。（大预览)

当然，安全性很重要，但很多时候，它阻碍了可用性。正如Jared Spool曾经说过的那样，“如果一个产品不可用，它也是不安全的。那时，人们开始使用私人电子邮件帐户并将密码放在粘贴笔记上，因为他们忘记了密码。像往常一样，贾里德在这里碰了钉子。那么我们可以做些什么来改善身份验证UX呢？

1.不要禁用密码复制粘贴#

阻止复制粘贴密码输入以避免暴力攻击似乎是合理的。然而，当我们这样做时，我们还会阻止从密码管理器和文本文档中复制粘贴密码的用户。因此，他们需要反复重新输入复杂、冗长、神秘的文本字符串，而这很少是一次令人兴奋的冒险。

事实上，这很慢，很烦人，令人沮丧。在她关于身份验证UX反模式的演讲中，Kelly Robinson解释说，这是一种常见的反模式，通常会导致更多的挫败感而不是补救措施，因此最好避免。

我们可以让人们更容易使用安全密码，而不是在现场提出一个。（大预览)

此外，请仔细检查您的密码字段是否包含属性，以便浏览器可以提示一个强大的自动生成的密码。最好的一点是：没有密码管理器的用户不必附带自己的密码 - 因为通常这是灾难的秘诀。autocomplete="new-password"

2.不要仅依赖密码#

密码有问题。例如，美国只有34%的用户使用密码管理器，其他人都依赖于桌面上的良好记忆，便笺和文本文件。

好的密码很难记住。因此，用户通常会选择易于猜测的密码，包括宠物和亲人的姓名，出生日期和婚礼日期。当然，这远非安全。

密码的状态看起来不是很有希望。如果我们只能避免密码，我们应该这样做。（大预览)

尽管如此，我们经常忘记密码，有时每周恢复密码4-5次。因此，难怪我们中的许多人仍然在多个帐户中重复使用相同的密码，通常更喜欢便利性而不是数据安全性。实际上，允许用户选择自己的密码是一个麻烦的秘诀。为了解决这个问题，如果我们推动用户远离密码怎么办？

任何类型的双因素身份验证都比密码更好，理想情况下，我们可以使用用户可以选择加入的cookie来避免频繁登录。数据敏感型网站可能希望在每次访问后自动注销用户（例如g 网上银行），但更简单的网站可能最好避免主动注销，并允许用户保持登录30天甚至更长时间。

3.删除严格的密码要求#

由于用户非常擅长扭曲和弯曲密码规则（只是为了在任务完成后不久忘记它们），如果我们完全改变我们的策略会怎么样？如果我们确实支持冗长而复杂的密码，所有特殊字符都是唯一的定界符，但保持规则相对友好，该怎么办？

邮件黑猩猩具有非常简单的密码规则。大多数密码管理器 - 浏览器内和外部密码管理器 - 都可以轻松满足它们。（大预览)

当然，这肯定会以牺牲安全为代价。因此，为了代表用户保护用户的数据，我们用于提示在注册期间生成安全密码，并积极地将用户推向2FA设置，例如，在第一个月提供30%的折扣以打开2FA。new-password

唯一需要做的就是将帐户与手机或Google身份验证器连接，输入验证码或使用Touch-ID进行验证，仅此而已。因此，我们避免了无休止且昂贵的密码重置，这通常会导致放弃和沮丧。

4.社交登录并不适合所有人#

存储的数据越敏感，用户对安全性的期望就越高。可用性会话暗示，只要登录障碍被认为是“合理的”，它们似乎就会被接受。但是，作为设计师，对我们来说合理的不一定是对我们的客户来说合理的。

我们可以突出显示以前使用的选项，以便客户更轻松地了解他们上次注册的内容。（大预览)

社交登录就是一个很好的例子。一些用户喜欢它，因为它太快了，但其他人由于隐私问题而普遍反对它。此外，在使用它们时，我们需要遵守GDPR，CCPA和类似法规。

另外，请记住，有些用户忘记了他们上次注册的内容，因此最好根据他们以前的登录（如上图所示）来指示他们以前的选择。从本质上讲，社交登录对于只想完成工作的人来说是一个不错的选择，但它不能是我们提供的唯一选择。

5. 将安全问题替换为 2FA#

在理想情况下，安全问题——比如银行通过电话询问我们验证我们的身份——应该有助于我们防止欺诈。从本质上讲，它是第二层保护，但它在可用性和安全性方面的表现都非常差。有关最喜欢的宠物，婚前姓氏和第一所学校的问题可以通过滚动Facebook流足够长的时间轻松发现。

PayPal仍然使用安全问题来验证用户的身份。这不是特别用户友好或安全。

知道了这一点，用户有时会用完全相同的答案（例如，他们的生日或出生地）来回答这些问题，有时甚至使用他们最初输入的相同密码。这并没有真正帮助任何人。魔术链接和推送通知更加安全，根本不需要记住答案。

6.用户需要访问恢复选项#

没有什么比在错误的时刻被锁在外面更令人沮丧的了。作为设计人员，我们可以在界面中通过多种替代方法来恢复访问（访问恢复堆栈）并永久避免这些问题。

我们经常想到密码恢复来帮助用户恢复访问权限，但也许考虑恢复访问权限是一个更好的角度来看待这个问题。如果用户在某一时刻无法登录，他们对定义一个全新的安全密码或查找一封他们以前从未使用过的电子邮件或特殊字符并不感兴趣。他们只需要登录。我们需要帮助他们做到这一点。

在所有访问恢复技术中，魔法链接肯定是访问恢复堆栈的一部分。用户似乎很欣赏一旦被锁定，他们能以多快的速度返回。通常，除非电子邮件没有到达，或者帐户链接到过时的电子邮件，或者电子邮件收件箱或电话不可用，否则它们工作正常。

尽管如此，要使用魔术链接，用户需要切换上下文，从浏览器跳转到邮件客户端，然后再跳回到浏览器。提示用户在手机上键入代码以进入可能会更快。无论如何，为了避免锁定，我们提供多种选项来保证快速恢复，并且混合选项效果最佳：

我们需要帮助用户快速恢复访问权限。为了具有弹性，我们可以使用整个访问恢复堆栈。（大预览)

通过电子邮件发送用于登录的神奇链接。
不要要求用户重新键入密码或设置新密码。用户可能无法访问电子邮件，或者电子邮件可能被黑客入侵。
发送用于登录辅助电子邮件的神奇链接。
不幸的是，辅助电子邮件通常已过时，或者用户可能无权访问它。
向手机发送短信验证网址/代码。
此选项不适用于已购买新手机或无法访问 SIM 卡的用户（例如，出国旅行时）。
通过OTP / 2FA发送推送通知。
此选项不适用于已购买新手机但尚未设置OTP / 2FA或无法访问旧手机的用户。
通过专用应用程序/ Yubikey进行生物识别身份验证。
此选项不适用于尚未设置OTP / 2FA或已购买新手机/ Yubikey的用户。
键入备份恢复代码。
并非每个用户附近都有备份恢复代码，但如果他们这样做，他们应该始终覆盖帐户锁定。有时，备份恢复代码是通过邮政服务发送的，但它们可能会丢失/被盗。
电话呼叫验证。
用户可以通过他们的（新）电话打电话，他们需要回答几个问题来验证他们的意念。理想情况下，这将是他们知道的东西（例如，最新的交易），他们拥有的东西（例如信用卡）以及他们所拥有的东西（例如，通过视频通话进行人脸识别）。
客户支持查询。
理想情况下，用户可以通过实时聊天，WhatsApp / Telegram，视频通话或电子邮件（通常是最慢的）与座席交谈来恢复访问权限。