Létezik felhasználóbarát jelszó?
Egyre több jelszóra kell emlékeznünk, melyeket néha meg is kell változtatnunk, ami rengeteg frusztrációt okoz mindenkinek. Az autentikáció nyilvánvalóan fontos kérdés, amire az IT ipar a jelszót adta nekünk válaszul évtizedekkel ezelőtt, de nem biztos, hogy ez a legideálisabb megoldás.
Egy elég tipikus scenario szokott velem előfordulni: rengeteg olyan weboldal van, ahová évente csupán néhány alkalommal kell belépnem és természetesen nem emlékszem a jelszavamra, így a jelszó emlékeztetővel loginolok. Ezek leginkább webshopok, esetleg közműszolgáltatók oldalai, de semmiképpen sem pénzügyi szolgáltatók, ahol indokolt az erős belépési védelem. Vajon csak én kerülök folyamatosan ebbe a helyzetbe, vagy általános a probléma?
Természetesen nem feledkeztem meg a UX alaptörvényéről, azaz igyekszem nem magamból kiindulni, összegyűjtöttem, hogy általánosságban mi a baj a jelszavakkal.
Mi a baj a jelszóval UX szempontból?
A jelszavas autentikáció kitalálói lehet nagyon értettek az IT-hoz, de kihagyták a tervezésből a humán faktort.
A felhasználók utálják
Jelenleg több tucat alkalmazást használunk privát és munka célra egyaránt, aminek eredményeként minden egyes nap 3 vagy több jelszót kell megadnunk.
Az agyunk működése és a memoriánk korlátai miatt egy felmérés tanulsága szerint 37%-a az embereknek legalább havonta egyszer vesz igénybe segítséget az elfelejtett jelszó vagy felhasználó név – ami szintén egy érthetetlen, hogy még létezik – miatt.
Nem is biztonságos
Usability tesztekben megfigyeltem, hogy a jelszóval szenvednek az emberek, de amúgy úgy nyilatkoznak, hogy „ez fontos a biztonság miatt”. Szóval a jelszó=biztonság hatásos bullshitnek bizonyult, de attól még nem teljesen igaz.
Ennél a pontnál megint egyértelműen látszik, hogy a jelszó kitalálói nem számoltak a humán faktorral, ugyanis a legtöbb biztonsági kockázat az emberi viselkedés miatt keletkezik.
Kutatások szerint az emberek csupán kevesebb mint 10%-a használ olyan komplex jelszót, ami nagyon nehéz megfejteni. Ha tehetik, nagyjából ugyanazt a jelszót használják mindenhova, körülbelül a 70%-uk jár el így.
Az emberi memória működése miatt nagyon elvont jelszót megjegyezni nem tudunk, ezért sok esetben felírjuk azt valahová, ami szintén biztonsági kockázatot jelent.
A jelszó konverzió gyilkos
Sajnos a jelszó az üzletnek is árthat, ugyanis megakadályozza, hogy az emberek befejezhessenek egy vásárlást. Ha egy checkout folyamatban a felhasználók arra kényszerülnek, hogy visszaállítsák a jelszavukat 75%-uk nem fejezi be a vásárlást.
Ha már jelszót használsz, segíts az embereknek
A jelszó működéséből fakadóan nem lehet teljesen felhasználóbarát. Ha már jelszó mezőt használunk, akkor segítsük az embereket, mert sajnos az évek során nagyon rossz gyakorlatok váltak általánossá, ami rengeteg frusztrációt okozhat.
Engedélyezd a jelszó megmutatását
Tedd lehetővé unmaskingot, nagyon sokat segít az embereknek:
- Asztali nézetben a csillagozás lehet default, de legyen lehetőség az unmaskingre.
- Mobilon a legideálisabb, ha az unmask a default, de nyilván “elrejtem” opcióval. Mobilon nagyon nehéz, főleg komplex jelszavakat bepötyögni, de ezzel a beállítással sokat segíthetünk.
- Az unmasking mobilon nem növeli a biztonsági kockázatot, hiszen a billentyűzet egyébként is kiemeli az éppen letapintott karaktert.
Az unmasking amúgy szükségtelenné teszi azt is, hogy kétszer kelljen megadni a jelszót, win-win.
Ne kényszeríts “biztonságos” jelszó formátumra
Amikor előírod, hogy ilyen-olyan karakter legyen a jelszóban, meg lehetőleg hieroglifákat is tartalmazzon, akkor a következőt éred el:
- A felhasználó inkább nem fogja használni a rendszered
- El fogja felejteni a jelszót és folyton resetelnie kell
- Nem biztonságos helyen fogja tárolni a jelszavát
Az alapszabály egyszerű: ne kényszeríts, csak javasolj. A minimum karakterszám az egyetlen kivétel, ott elfogadható a 8 karakteres szabály, viszont például már maximális hosszt meghatározni teljesen értelmetlen.
Jelszó erősség jelzővel érdemes visszajelzést adni – inline validációval – ami ösztönzőleg hat az emberekre, azaz anélkül is igyekeznek összetettebb jelszavakat megadni maguktól, hogy kényszerítenénk őket.
Ne kényszerítsd a felhasználót, hogy időről-időre megváltoztassa a jelszavát
A legrosszabb szokás, amikor jellemzően nem is bankok, hanem ilyen olyan nem túl nagy biztonsági kockázatot magukban hordozó oldalak kényszerítenek, hogy megváltoztasd a jelszavad.
Nem tudom honnan jött a feltételezés, hogy ez növeli a biztonságot, de inkább ne kövesd ezt a szokást, mert a felhasználók:
- Nagyobb eséllyel felejtik a jelszót
- Hajlamosak az előző jelszót kicsit módosítva újra használni
- Valamilyen nem biztonságos helyen fogják tárolni a jelszavukat
Legalább 10 lehetőséget adj az újrapróbálkozásra
A jelszó megadás mágnesként vonzza a human errort, szóval ha valaki elrontja, legalább 10 lehetőséget biztosíts a jelszó megadására, mielőtt kizárnád az egyszeri felhasználót a fiókjából.
Tedd lehetővé a beillesztést
Ne blokkold a beillesztést semmiképpen a jelszó mezőben. A felhasználónak jó oka lehet rá, hogy copy+pastezik, például valamilyen jelszó manager szoftvert használ.
Mellőzd a jelszó emlékeztető kérdést
A jelszavakat nehéz megjegyezni, ezért a jelszó help funkciók elég gyakran használtak. Azonban a jelszó emlékeztető kérdés egy újabb káros műfaj, ami velünk maradt:
- Gyakran nem elég konkrét a kérdés, ezért egyáltalán nem segít a jelszó kitalálásban
- Más esetben meg túl konkrét – édesanyád leánykori neve például – ezért nem biztonságos
- A válasz cserélődhet időközben (kedvenc szín, film etc), így nem segít
Felhasználóbarát jelszómentes megoldások
Nem kell ragaszkodni amúgy a felhasználók életét megkeserítő patternhez, vannak már sokkal ideálisabb megoldások.
Jelszómentes autentikáció
A jelszó nélküli autentikáció lényegében egy első lépés nélküli kétlépcsős autentikálás. A bejelentkező felhasználónak csak az e-mail címét vagy telefonszámát kell megadnia, és egyedi kódot kap a bejelentkezéshez. Tehát jelszót egyáltalán nem kell megadnia.
A továbbfejlesztett változata, amikor a kód megadása lépés kimarad, ami még egyszerűbbé teszi a folyamatot a felhasználó szempontjából. Ilyenkor például egy egyedi tokent generálnak az URL-be, amit emailben kapunk meg, és rákattintás után már bent is vagyunk.
Nyilvánvalóan a kiküldött kódok, vagy URL-ek idővel lejárnak, ez teszi a jelszómentes autentikációt sokkal biztonságosabbá, mint a jelszavas verziót. A hozzáférést csak akkor kapod meg, amikor szükséged van rá, de nem marad utána más – például jelszó – amit ellophatnának.
A legismertebb példa a Slack, akik régóta használják a jelszómentes autentikációt, “magic link” néven:
Biometrikus azonosítás
A biometrikus hitelesítés – ujjlenyomatok, retina szkennelés, arcfelismerés, hangfelismerés, etc – ami felé legsebesebben tart a technológia, hiszen a biológiai hitelességünk ami igazán a mienk, és mindig velünk van.
A legismertebb jelenleg az Apple Touch vagy Face ID, tehát mobilon egyre érdemesebb megfontolni az alkalmazását.
A jelszavakra nehéz emlékezni, kevésbé biztonságosak, mint gondolnánk és az üzletnek is árthatnak. A hitelesítés egyértelműen fontos, de számos lehetőség van a felhasználók megbízható autentikálására, nem csak a jelszavak használata. Ha pedig mégis a jelszó használatnál maradsz, legalább segíts az embereknek a szükségtelen terhek mérséklésében néhány egyszerű elv betartásával.
További olvasmányok
Patronizing Passwords: Egy másik jól összeszedett cikk a jelszó usability-ről, illetve a jelszómentes megoldásokról.
A mobil UX alapjai: Ezek betartása nélkül semmi esély nincs a mobilon is értelmezhető élményt adni az emberek számára, ugyanakkor ez csak az “elégséges minimum”.
A mobil vásárlási folyamat optimalizálása: Nem űrtudomány, de tekintettel kell lenned a mobil eszköz limitációira, másrészt élni kell a készülékek adta technikai lehetőségekkel.
Boros Norbert
Innovation Designer | Experience Research Leader in Finance
Üzleti problémák megoldásában segítek designeri gondolkodásmóddal.
Hívj meg egy kávéra!
Ha hasznosnak találtad, amit olvastál egy kávé árával honorálhatod munkásságomat.