网站制作中的身份验证需要重新考虑

  • By 本站 - 2023-04-04 19:18
  • Read:325
网站制作为了获取客户信息,通常会有用户注册和信息表单填写。份验证是一个棘手的主题。我们周围有很多术语,从2FA 到 MFA 再到 OTP——可能很难理解我们需要什么以及何时需要。但身份验证无处不在,有时它非常令人沮丧,有时它是无缝的。让我们探索一些模式来创造比令人沮丧更无缝的体验。 然而每天,我们都会通过循环提示用户注册和登录,设置足够复杂的密码或恢复密码,以找到恢复对锁定帐户和注销会话的访问权限的方法。当然安全性很重要,但它往往会妨碍可用性。正如 Jared Spool曾经说过的那样,“如果产品不可用,它也不安全。” 那时人们开始使用私人电子邮件帐户并将密码放在便利贴上,因为他们忘记了密码。 阻止密码输入的复制粘贴似乎是合理的,以避免暴力攻击。然而,当我们这样做时,我们也会阻止从密码管理器和文本文档中复制粘贴密码的用户。因此,他们需要反复重新输入复杂、冗长、神秘的文本字符串——而这几乎不是一次令人兴奋的冒险。 好的密码很难记住。因此,用户通常会选择易于猜测的密码,包括他们的宠物和亲人的姓名、生日和结婚日期。当然,这远非安全。尽管如此,我们还是经常忘记密码,有时一周要找回密码 4-5 次。所以难怪我们中的许多人仍然在多个帐户中重复使用相同的密码,通常更倾向于方便而不是数据安全。事实上,允许用户选择自己的密码是一个麻烦的秘诀。为了解决这个问题,如果我们让用户远离密码怎么办?任何类型的2 因素身份验证都比密码更好,理想情况下,我们可以使用用户可以选择加入的 cookie 来避免频繁登录。对数据敏感的网站可能希望在每次访问后自动注销用户(例如网上银行),但更简单的网站可能最好避免主动注销并允许用户保持登录 30 天甚至更长时间。 由于用户非常擅长扭曲和扭曲密码规则(只是在任务完成后不久就忘记它们),如果我们完全改变我们的策略呢?如果我们确实支持带有所有特殊字符唯一分隔符的冗长而复杂的密码,但保持规则相对友好怎么办? 存储的数据越敏感,用户对界面安全性的期望就越多。可用性会话暗示登录障碍似乎被接受,只要它们被认为是“合理的”。但对我们作为设计师来说合理的东西,不一定对我们的客户来说是合理的。社交登录就是一个很好的例子。一些用户喜欢它,因为它太快了,而另一些用户则出于隐私考虑而普遍反对它。此外,我们在使用它们时需要遵守 GDPR、CCPA 和类似法规。另外,请记住,有些用户忘记了他们上次注册的内容,因此最好根据他们之前的登录来表明他们之前的选择(如上图所示)。从本质上讲,社交登录对于只想完成工作的人来说是一个很好的选择,但它不是我们提供的唯一选择。 没有什么比在错误的时刻被锁定更令人沮丧的了。作为设计师,我们可以在我们的界面中使用多种替代方法来恢复访问(访问恢复堆栈)并永久避免这些问题。我们经常想到密码恢复来帮助用户恢复他们的访问权限,但也许考虑恢复访问权限是一个更好的视角来看待这个问题。如果用户在特定时刻无法登录,他们对定义全新的安全密码或查找以前未使用过的电子邮件或特殊字符并不真正感兴趣。他们只需要登录。我们需要帮助他们做到这一点。

转载请保留出处及原文地址:/index.php?r=article/Content/index&content_id=462