【敬·譯】重新思考身份驗證的互動

身份驗證是一個棘手的課題。圍繞著我們的術語如此之多， 從 2FA 到 MFA 再到 OTP ——我們可能很難搞清楚我們需要什麼以及何時需要它。但身份驗證又無處不在，有時非常令人沮喪，而有時又是無縫體驗的。讓我們一起來探索一些互動模式，以創造更無縫的體驗。

沒有人早上醒來會願意去識別什麼 人行橫道和消防栓 （ST：用過谷歌搜尋的人都經常見到這種身份驗證方式） 。然而，每天我們都會反覆提示使用者註冊和登入、設定足夠複雜的密碼或恢復密碼、恢復鎖定的賬號和登出的方法。

安全當然很重要，但它往往會妨礙可用性。正如 Jared Spools 曾經說過的那樣： “如果產品不具有可用性，那它也不安全。” 比如當人們開始使用私人電子郵箱，並將密碼寫在便籤上的時候，因為他們擔心忘記密碼——Jared 和往常一樣，一針見血地指出了問題。

那麼，我們可以做些什麼來改進 身份驗證的使用者體驗 呢？

1.不要禁用密碼的複製貼上

避免密碼遭到暴力破解，似乎是阻止複製貼上密碼的唯一合理的理由。然而，當我們這樣做時，我們也阻止了從 密碼管理器 和文字文件中複製貼上密碼的使用者。結果是，他們需要反覆重新鍵入複雜、冗長、神祕的文字字串——這基本不是一次令人開心的操作。

事實上，重新鍵入密碼的過程很慢、很煩人，還令人沮喪。Kelly Robinson 在她關於「身份驗證使用者體驗反模式」的演講中說到：反覆重新輸入密碼是一種常見的 反模式 ，通常比補救措施更令人沮喪，因此最好要避免。

此外，請再次確認你的密碼欄位包含了屬性  autocomplete="new-password” ，以便瀏覽器可以提示 自動生成的強密碼 。最棒的是：沒有密碼管理器的使用者不必自己想密碼——因為這通常是災難的開始。 （ST：想想你到底有多少密碼，這個網站用的是哪一個？）

2.不要只依賴密碼

密碼有不少問題。例如：在美國，只有 34% 的使用者使用密碼管理器，其他人都依賴於他們的好記性、便籤和桌面上的文字檔案。

好的密碼很難記住。因此，使用者通常會選擇容易猜到的密碼，包括他們寵物和親人的姓名、他們的出生日期和結婚日期。當然，這非常不安全。

儘管如此，我們還是經常 忘記密碼 ，有時每週會使用 4-5 次密碼找回功能。因此，難怪我們中的許多人仍然在多個賬號上重複使用相同的密碼，大家通常更喜歡方便而不是資料安全。事實上，允許使用者選擇自己的密碼是解決問題的祕訣。為了解決這個問題，如果我們 推動使用者不使用密碼 將會怎樣呢？

任何型別的  雙重身份驗證（2-Factor Authentication） 都比密碼更好。理想情況下，我們可以使用 cookie，使用者可以選擇加入該 cookie，以避免頻繁登入。資料敏感網站可能需要使用者在每次訪問後自動退出登入（例如網上銀行），但簡單的網站最好 避免頻繁地退出 ，並允許使用者保持登入 30 天甚至更長時間。

3.降低嚴格的密碼要求

由於使用者非常擅長 設定複雜不規律的密碼 （似乎只是為了在任務完成後就忘記它們），如果我們完全改變策略呢？如果我們確實支援冗長而複雜的密碼，其中包含所有特殊字元獨特的分界符，但依然保持相對友好的規則，將會怎樣呢？

當然，這肯定會以犧牲安全為代價。因此，為了代表使用者保護使用者的資料，我們使用了 new-password，以提示在註冊期間生成的安全密碼，並積極推動使用者進行 2FA 設定，例如： 為啟用 2FA 的使用者提供 30% 的首月訂閱費折扣 。

唯一需要的就是將賬號與 手機 或  Google Authenticator 繫結，輸入驗證碼，或使用 Touch-ID 進行驗證，僅此而已。如此一來，我們避免了無休止且代價高昂的密碼重置，這些往往導致了棄用和沮喪。 （ST：國內則是通過微信、QQ 和支付寶的登入繫結，確實方便很多）

4.社交登入並不適合所有人

儲存的資料越敏感，使用者對介面的安全性的關注就越多。可用性測試表明，只要 登入要求 被認為是“合理的”，似乎就會被接受。但對我們設計師來說合理的東西，對使用者來說不一定合理。

社交賬戶快捷登入就是一個很好的例子。一些使用者喜歡它，是因為它非常方便快捷，而另一些使用者出於 隱私考慮 ，通常不喜歡它。此外，在使用這些社交登入方式時，我們還需要遵守 GDPR、CCPA 和類似的法規。

還有，請記住， 一些使用者會忘記他們上次是通過什麼登入的 ，因此最好將他們之前選擇的登入方式顯示出來（如上圖所示）。 從本質上講，快捷登入對於那些只想完成事情的人來說是一個很好的選擇，但它不能是我們提供的唯一選擇。

5.將安全問題替換為 2FA

在理想世界裡，安全問題——比如銀行為了驗證我們的身份，在電話裡向我們提出的問題——應該有助於我們防止詐騙。理論上說它是第二層保護，但它在可用性和安全性方面都 表現非常糟糕 。有關最喜歡的寵物、母姓和第一所學校的問題，可以通過滾動足夠長的 Facebook Feeds 流而輕易地被發現。

使用者有時會用 相同的答案 （例如他們的生日或出生地點）來回答這些問題，有時甚至會使用他們最初輸入的相同密碼，這對產品或使用者來說真的都沒有好處。傳送 Magic link（魔術連結）和推送通知要安全得多，而且根本不需要記住答案。

6.使用者需要恢復訪問的選項

沒有什麼比在不適當的時刻 賬號被鎖定 更令人沮喪的了。作為設計師，我們可以在我們的介面中預埋合適的途徑，通過多種替代方法來恢復訪問，並永遠避免這些問題。

我們經常會想到用 恢復密碼 來幫助使用者恢復訪問許可權，但可能恢復訪問許可權是解決這個問題的更好視角。如果使用者無法在特定時刻登入，那對於定義全新的安全密碼或找到他們從前從未使用過的電子郵件或特殊字元，他們真的不會感興趣。他們需要的只是登入，而我們需要幫助他們做到這一點。

在所有訪問恢復的技術中，Magic link 無疑會成為訪問恢復的方法之一。使用者很重視一旦被鎖定，他們能以多快的速度恢復。通常，除非電子郵件沒有到達，或者賬號繫結到廢棄的郵箱，亦或手機不可用， 否則 Magic link 能完美髮揮作用 。

不過要使用 Magic link 時，使用者需要 切換使用場景 ，從瀏覽器跳轉到郵件客戶端，然後返回瀏覽器。作為替代方案，可以提示使用者在手機上鍵入程式碼，可能會更快。不管怎樣，為了避免鎖定，我們 提供了多個選項 來保證快速恢復，並且混合選項效果也是最好的：

01 通過電子郵件傳送用於登入的 Magic link。不要要求使用者重新鍵入密碼或設定新密碼。使用者可能無法訪問電子郵件，或者它可能會被非法入侵。

02 向備用郵箱傳送用於登入的 Magic link。遺憾的是，備用郵箱通常已過期，或者使用者可能無法訪問它。

03 向手機發送簡訊驗證 URL 或驗證碼。此選項不適用於已購買新手機或無法使用 SIM 卡的使用者（例如：出國旅行時）。

04 通過 OTP/2FA 傳送推送通知。此選項不適用於已購買新手機且尚未設定 OTP/2FA 或無法訪問舊手機的使用者。

05 通過專用 A pp/Yubikey 進行生物識別身份驗證。  此選項不適用於尚未設定 OTP/2FA 或已購買新手機/Yubikey 的使用者。

06 鍵入備份恢復程式碼。並非每個使用者都A會在身邊有備份的恢復程式碼，但如果有，他們應該始終用它來恢復賬號鎖定。有時備份恢復程式碼是通過郵政服務傳送的，但它們可能會丟失/被盜。

07 電話驗證。使用者可能會使用新手機來呼叫，需要他們回答幾個問題來驗證身份。理想情況下，問題會是他們知道的事項（例如最新的交易），他們擁有的東西（例如信用卡）和他們的樣子（例如通過影片通話進行人臉識別）。

08 客戶支援查詢。理想情況下，使用者可以通過實時聊天、WhatsApp/Telegram、影片通話或電子郵件（通常是最慢的）與客服交談來恢復訪問許可權。

在使用者最終成功登入時， 通過電子郵件傳送隨機生成的密碼，並要求設定新密碼並不是一個好主意 。這麼做也不安全，並且總是很麻煩。相反，我們應該再次推動使用者進行 2FA 設定，以便他們可以通過訪問安裝在手機上的 App 或簡訊（安全性低些）中的程式碼來恢復訪問許可權。

總結

身份驗證總是一個難題。然而，當介面難以處理時，為了使其發揮作用，使用者在設定複雜密碼方面會變得非常有創造力，然後又在完成任務的瞬間又把新密碼忘了 （ST：就說是不是你吧？） 。

在給我們的使用者製造太多障礙之前，也許至少應該給他們一次機會，讓他們瞭解我們的網站或 App。理想情況下，我們需要為每個人設定 2FA，但我們需要有機會到那一步。通往那裡的路鋪設了 無縫、良好的身份驗證使用者體驗 ——沒有複雜的規則和限制，最好的情況是使用者甚至都不會注意到。

本文的翻譯已獲得作者 Vitaly Friedman 的正式授權。