【敬·译】重新思考身份验证的交互

身份验证是一个棘手的课题。围绕着我们的术语如此之多， 从 2FA 到 MFA 再到 OTP ——我们可能很难搞清楚我们需要什么以及何时需要它。但身份验证又无处不在，有时非常令人沮丧，而有时又是无缝体验的。让我们一起来探索一些交互模式，以创造更无缝的体验。

没有人早上醒来会愿意去识别什么 人行横道和消防栓 （ST：用过谷歌搜索的人都经常见到这种身份验证方式） 。然而，每天我们都会反复提示用户注册和登录、设置足够复杂的密码或恢复密码、恢复锁定的账号和注销的方法。

安全当然很重要，但它往往会妨碍可用性。正如 Jared Spools 曾经说过的那样： “如果产品不具有可用性，那它也不安全。” 比如当人们开始使用私人电子邮箱，并将密码写在便签上的时候，因为他们担心忘记密码——Jared 和往常一样，一针见血地指出了问题。

那么，我们可以做些什么来改进 身份验证的用户体验 呢？

1.不要禁用密码的复制粘贴

避免密码遭到暴力破解，似乎是阻止复制粘贴密码的唯一合理的理由。然而，当我们这样做时，我们也阻止了从 密码管理器 和文本文档中复制粘贴密码的用户。结果是，他们需要反复重新键入复杂、冗长、神秘的文本字符串——这基本不是一次令人开心的操作。

事实上，重新键入密码的过程很慢、很烦人，还令人沮丧。Kelly Robinson 在她关于「身份验证用户体验反模式」的演讲中说到：反复重新输入密码是一种常见的 反模式 ，通常比补救措施更令人沮丧，因此最好要避免。

此外，请再次确认你的密码字段包含了属性  autocomplete="new-password” ，以便浏览器可以提示 自动生成的强密码 。最棒的是：没有密码管理器的用户不必自己想密码——因为这通常是灾难的开始。 （ST：想想你到底有多少密码，这个网站用的是哪一个？）

2.不要只依赖密码

密码有不少问题。例如：在美国，只有 34% 的用户使用密码管理器，其他人都依赖于他们的好记性、便签和桌面上的文本文件。

好的密码很难记住。因此，用户通常会选择容易猜到的密码，包括他们宠物和亲人的姓名、他们的出生日期和结婚日期。当然，这非常不安全。

尽管如此，我们还是经常 忘记密码 ，有时每周会使用 4-5 次密码找回功能。因此，难怪我们中的许多人仍然在多个账号上重复使用相同的密码，大家通常更喜欢方便而不是数据安全。事实上，允许用户选择自己的密码是解决问题的秘诀。为了解决这个问题，如果我们 推动用户不使用密码 将会怎样呢？

任何类型的  双重身份验证（2-Factor Authentication） 都比密码更好。理想情况下，我们可以使用 cookie，用户可以选择加入该 cookie，以避免频繁登录。数据敏感网站可能需要用户在每次访问后自动退出登录（例如网上银行），但简单的网站最好 避免频繁地退出 ，并允许用户保持登录 30 天甚至更长时间。

3.降低严格的密码要求

由于用户非常擅长 设置复杂不规律的密码 （似乎只是为了在任务完成后就忘记它们），如果我们完全改变策略呢？如果我们确实支持冗长而复杂的密码，其中包含所有特殊字符独特的分界符，但依然保持相对友好的规则，将会怎样呢？

当然，这肯定会以牺牲安全为代价。因此，为了代表用户保护用户的数据，我们使用了 new-password，以提示在注册期间生成的安全密码，并积极推动用户进行 2FA 设置，例如： 为启用 2FA 的用户提供 30% 的首月订阅费折扣 。

唯一需要的就是将账号与 手机 或  Google Authenticator 绑定，输入验证码，或使用 Touch-ID 进行验证，仅此而已。如此一来，我们避免了无休止且代价高昂的密码重置，这些往往导致了弃用和沮丧。 （ST：国内则是通过微信、QQ 和支付宝的登录绑定，确实方便很多）

4.社交登录并不适合所有人

存储的数据越敏感，用户对界面的安全性的关注就越多。可用性测试表明，只要 登录要求 被认为是“合理的”，似乎就会被接受。但对我们设计师来说合理的东西，对用户来说不一定合理。

社交账户快捷登录就是一个很好的例子。一些用户喜欢它，是因为它非常方便快捷，而另一些用户出于 隐私考虑 ，通常不喜欢它。此外，在使用这些社交登录方式时，我们还需要遵守 GDPR、CCPA 和类似的法规。

还有，请记住， 一些用户会忘记他们上次是通过什么登录的 ，因此最好将他们之前选择的登录方式显示出来（如上图所示）。 从本质上讲，快捷登录对于那些只想完成事情的人来说是一个很好的选择，但它不能是我们提供的唯一选择。

5.将安全问题替换为 2FA

在理想世界里，安全问题——比如银行为了验证我们的身份，在电话里向我们提出的问题——应该有助于我们防止诈骗。理论上说它是第二层保护，但它在可用性和安全性方面都 表现非常糟糕 。有关最喜欢的宠物、母姓和第一所学校的问题，可以通过滚动足够长的 Facebook Feeds 流而轻易地被发现。

用户有时会用 相同的答案 （例如他们的生日或出生地点）来回答这些问题，有时甚至会使用他们最初输入的相同密码，这对产品或用户来说真的都没有好处。发送 Magic link（魔术链接）和推送通知要安全得多，而且根本不需要记住答案。

6.用户需要恢复访问的选项

没有什么比在不适当的时刻 账号被锁定 更令人沮丧的了。作为设计师，我们可以在我们的界面中预埋合适的途径，通过多种替代方法来恢复访问，并永远避免这些问题。

我们经常会想到用 恢复密码 来帮助用户恢复访问权限，但可能恢复访问权限是解决这个问题的更好视角。如果用户无法在特定时刻登录，那对于定义全新的安全密码或找到他们从前从未使用过的电子邮件或特殊字符，他们真的不会感兴趣。他们需要的只是登录，而我们需要帮助他们做到这一点。

在所有访问恢复的技术中，Magic link 无疑会成为访问恢复的方法之一。用户很重视一旦被锁定，他们能以多快的速度恢复。通常，除非电子邮件没有到达，或者账号绑定到废弃的邮箱，亦或手机不可用， 否则 Magic link 能完美发挥作用 。

不过要使用 Magic link 时，用户需要 切换使用场景 ，从浏览器跳转到邮件客户端，然后返回浏览器。作为替代方案，可以提示用户在手机上键入代码，可能会更快。不管怎样，为了避免锁定，我们 提供了多个选项 来保证快速恢复，并且混合选项效果也是最好的：

01 通过电子邮件发送用于登录的 Magic link。不要要求用户重新键入密码或设置新密码。用户可能无法访问电子邮件，或者它可能会被非法入侵。

02 向备用邮箱发送用于登录的 Magic link。遗憾的是，备用邮箱通常已过期，或者用户可能无法访问它。

03 向手机发送短信验证 URL 或验证码。此选项不适用于已购买新手机或无法使用 SIM 卡的用户（例如：出国旅行时）。

04 通过 OTP/2FA 发送推送通知。此选项不适用于已购买新手机且尚未设置 OTP/2FA 或无法访问旧手机的用户。

05 通过专用 A pp/Yubikey 进行生物识别身份验证。  此选项不适用于尚未设置 OTP/2FA 或已购买新手机/Yubikey 的用户。

06 键入备份恢复代码。并非每个用户都A会在身边有备份的恢复代码，但如果有，他们应该始终用它来恢复账号锁定。有时备份恢复代码是通过邮政服务发送的，但它们可能会丢失/被盗。

07 电话验证。用户可能会使用新手机来呼叫，需要他们回答几个问题来验证身份。理想情况下，问题会是他们知道的事项（例如最新的交易），他们拥有的东西（例如信用卡）和他们的样子（例如通过视频通话进行人脸识别）。

08 客户支持查询。理想情况下，用户可以通过实时聊天、WhatsApp/Telegram、视频通话或电子邮件（通常是最慢的）与客服交谈来恢复访问权限。

在用户最终成功登录时， 通过电子邮件发送随机生成的密码，并要求设置新密码并不是一个好主意 。这么做也不安全，并且总是很麻烦。相反，我们应该再次推动用户进行 2FA 设置，以便他们可以通过访问安装在手机上的 App 或短信（安全性低些）中的代码来恢复访问权限。

总结

身份验证总是一个难题。然而，当界面难以处理时，为了使其发挥作用，用户在设置复杂密码方面会变得非常有创造力，然后又在完成任务的瞬间又把新密码忘了 （ST：就说是不是你吧？） 。

在给我们的用户制造太多障碍之前，也许至少应该给他们一次机会，让他们了解我们的网站或 App。理想情况下，我们需要为每个人设置 2FA，但我们需要有机会到那一步。通往那里的路铺设了 无缝、良好的身份验证用户体验 ——没有复杂的规则和限制，最好的情况是用户甚至都不会注意到。

本文的翻译已获得作者 Vitaly Friedman 的正式授权。