Люди с трудом запоминают свои онлайн-пароли с самого начала использования Интернета в середине 1990-х годов. Двадцать лет спустя проблема только ухудшилась. Мы работаем, совершаем покупки и общаемся в основном в Интернете, и нам приходится иметь дело с большим количеством аккаунтов и паролей. Часто эти пароли необходимо вводить на клавиатурах с маленькими сенсорными экранами, и их печатание вызывает много сложностей. Когда пароли требуются в процессе входа в систему, пользователи должны их вспомнить или разбираться с последствиями. Бремя запоминания паролей заставляет пользователей часто выбирать простые, небезопасные пароли или заниматься сомнительной проверкой паролей, например, записывать пароль или использовать один и тот же пароль для всех аккаунтов. И когда они не могут вспомнить пароль, они должны тратить время на его сброс. (Вход в систему имеет огромное влияние на продуктивность сотрудников в масштабе предприятия, при этом четверть лучших дизайнов формы входа позволяет сэкономить примерно $ 2,5 млн. в год в компании с 10 000 сотрудниками по сравнению худшей четвертью).

В независимом качественном исследовании пользователей, мы, посредством нескольких полевых исследований, а также тестирования юзабилити, как в Северной Америке (США и Канада), так и в Китае изучали роль, которую цифровые технологии играют в повседневной жизни людей.

Многие из участников теста из США во время исследования жаловались на проблему запоминания паролей или столкнулись с проблемами входа в аккаунт из-за забытых паролей. Эти проблемы варьировались от невозможности получить доступ к аккаунту; необходимости сброса пароля до необходимости переключиться на другое устройство, в котором участники уже были залогинены. Одна американка безуспешно пробовала 7 разных паролей для своего аккаунта Google, а затем, наконец, сдалась. «Я должна запомнить столько разных паролей для всего!», — жаловалась она.

В отличие от своих американских коллег, лишь у немногих китайских участников были проблемы с паролями.

Основным фактором, способствующим этому различию, является распространенность мобильных методов авторизации в Китае, которые позволяют пользователям проходить аутентификацию в десктопных версиях сайтов и приложений, используя смартфон без необходимости запоминать пароль. Большинство наших китайских участников использовали мобильную авторизацию во время тестовых сессий. И 2 из 3 китайских участников теста, которые не могли вспомнить пароль в десктопной версии сайта, смогли легко войти в свои аккаунты, используя альтернативный метод мобильной авторизации. Таким образом, объем проблем, связанных с паролем, был намного меньше в Китае, чем в Северной Америке.

Популярные методы мобильной авторизации в Китае

QR-код

Авторизация QR-код
Десктопный интерфейс авторизации сайта JD (популярной китайской платформы электронной коммерции) использует сканирование QR-кодов для входа в систему, в качестве метода по умолчанию, для пользователей, не прошедших проверку подлинности.
Сканирование QR-кодов — популярный метод авторизации в Китае. QR-коды — это двумерные штрих-коды, которые часто используются, чтобы связать физический и цифровой миры информации. Они также используются для облегчения аутентификации на разных устройствах.
Авторизация WeChat
Чтобы войти в десктопное приложение WeChat (слева), окно логина предоставляет QR-код (справа) для сканирования пользователем при помощи мобильного приложения WeChat. (Чтобы логин работал, пользователь должен быть уже зарегистрирован в мобильном приложении WeChat, но почти все китайские пользователи зарегистрированы в WeChat, потому что он предлагает так много других полезных функций).

Пользователь может использовать сканер в мобильном приложении WeChat для сканирования QR-кода на экране компьютера
Пользователь может использовать сканер в мобильном приложении WeChat для сканирования QR-кода на экране компьютера (слева), а затем подтвердить вход (справа) в десктопном приложении.
Существует два типа авторизации с QR-кодом:

  1. Соответствующее мобильное приложение. Если пользователю необходимо войти в приложение или веб-сайт, используя другое устройство, кроме своего мобильного телефона (например, планшет или ноутбук), система сгенерирует уникальный QR-код. Затем он может использовать соответствующее мобильное приложение, установленное на телефоне, для сканирования QR-кода. Затем сайт или приложение распознает устройство (и аккаунт), используемое для сканирования кода, и пользователь войдет в систему без необходимости вспоминать пароль. Как правило, сайты, использующие этот подход (например, WeChat, Taobao, JD), имеют большое количество пользователей, и они, скорее всего, уже установили мобильное приложение и регулярно его используют (таким образом, они часто входят в аккаунт на своих смартфонах). Этот подход хорошо работает для пользователей, часто использующих свой смартфон. Возможно, он не подходит для сайтов или сервисов, на которые в основном заходят с компьютеров.
  2. Сторонняя авторизация: этот подход работает так же, как авторизация Facebook или Google в США. Пользователи могут входить на любой сайт или приложение, используя QR-сканер в мобильном приложении для большой сторонней платформы (например, WeChat или Weibo), если их учетная запись связана с одной из этих платформ.

После сканирования QR-кода мобильное приложение WeChat просит пользователя подтвердить вход, используя профиль WeChat
Чтобы войти на веб-сайт 58Pic на ПК, окно входа в систему предлагает несколько параметров (слева), которые включают использование WeChat для входа. Если пользователь выбирает эту опцию, веб-сайт предоставляет QR-код, который пользователь может сканировать с помощью мобильного приложения WeChat (по центру). После сканирования QR-кода мобильное приложение WeChat просит пользователя подтвердить вход, используя профиль WeChat (справа).
Сторонняя авторизация с помощью QR-кода особенно подходит для небольших сайтов или ситуаций, когда пользователи редко используют соответствующее мобильное приложение. Недостатком этого подхода является то, что он требует, чтобы пользователи были готовы пройти аутентификацию с помощью стороннего сервиса и, таким образом, делились своей сетевой активностью с ним.

Одноразовые пароли (OTP)

Одноразовый пароль — это короткий цифровой код (например, «211 464»), который веб-сайт или приложение отправляет пользователю, когда он пытается войти в систему, обычно с помощью СМС. В Китае (и в Индии) этот метод широко используется как удобную альтернативу паролям. Поскольку пользователи ранее привязывали телефонный номер к своим аккаунтам, они могут входить на веб-сайт с кодом подтверждения, отправленным на телефон в любое время, без ввода пароля или имени пользователя.

Экран входа на веб-сайт China Mobile
Экран входа на веб-сайт China Mobile (слева) предлагает пользователю указать номер телефона для отправки кода подтверждения. Когда пользователь получает СМС с одноразовым кодом (по центру), он может ввести его для завершения процесса входа (справа).
Чтобы подход OTP работал, пользователи должны быть готовы связать свой аккаунт с номером телефона. Недостатком этого метода является то, что, когда телефон украден или используется несколькими людьми (распространено в развивающихся странах), злоумышленники могут легко войти в аккаунты, связанные с этим телефоном, даже когда телефон заблокирован, если СМС отображаются на экране блокировки.

Одноразовый пароль vs. QR-код для входа в аккаунт

Метод использования одноразовых паролей отличается от метода QR-кода несколькими моментами:

  • Одноразовые пароли более универсальны, чем QR-коды: пользователю не нужно иметь мобильное приложение для сканирования QR-кода.
  • Одноразовые коды имеют более высокую стоимость взаимодействия, чем QR-коды — они требуют, чтобы пользователи вводили код (или копировали и вставляли его из СМС в поле пароля).
  • Одноразовые пароли и QR-коды используют различные возможности смартфона: текстовые сообщения и камеру. Из-за этого одноразовые пароли могут использоваться для входа где угодно (мобильный телефон, ПК или планшет), но QR-коды работают только для входа на устройства, отличные от смартфона (потому что для работы QR-кода пользователь должен быть уже зарегистрирован в мобильном приложении, которое выполняет сканирование QR-кода).

Если не считать эти различия, то оба подхода весьма схожи. При использовании обоих методов, если пользователи имеют учетную запись и мобильное устройство, они смогут быстро получить доступ к своим аккаунтам. Таким образом, оба метода — это настоящие кросс-канальные решения, которые требуют, чтобы реализация была бесшовной на всех устройствах.

В любом случае эти типы входа в систему перемещают центр внимания от того, что пользователь знает (имя пользователя + пароль) к тому, что у пользователя есть (мобильное устройство, нативные приложения). Такой подход особенно удобен, поскольку сегодня многие люди повсюду носят свои мобильные устройства; его основным преимуществом является то, что он облегчает нагрузку, связанную с запоминанием паролей.

Мы отметим, что в любом случае есть проблема юзабилити: помните ли вы свой пароль и знаете ли вы, где находится ваш телефон? (А телефон заряжен?) Никакое решение по обеспечению безопасности не может иметь идеальное юзабилити, потому что оно требует определенный барьер. Однако в сегодняшнем мире зависеть от наличия чего-то менее обременительно, чем полагаться на человеческую память, которая, как известно, ужасна.

Мобильная авторизация в США

Если методы мобильной авторизации могут сэкономить пользователям так много времени и нервов, почему эти методы еще не распространены в Соединенных Штатах так же широко, как в Китае? Одноразовые пароли распространены в США; однако они используются в основном для дополнительной безопасности в качестве средства двухфакторной аутентификации, а не как альтернатива паролю для входа в систему. (eBay — один из немногих сайтов, поддерживающих одноразовые пароли для входа в систему).

Мобильная авторизация в США
Discover.com: Когда пользователь регистрируется на странице онлайн-банкинга с неизвестного устройства, сайт просит подтверждение личности пользователя с использованием временного идентификационного кода, который может быть передан через СМС, телефонный звонок или по электронной почте.

Помимо двухфакторной аутентификации существуют и другие случаи, когда американские компании экспериментируют с альтернативными методами авторизации.

Например, Microsoft Authenticator позволяет пользователям выполнять аутентификацию служб Microsoft с помощью своих смартфонов. Пользователь должен скачать и установить приложение Microsoft Authenticator на свой телефон. Затем, когда ему нужно войти на сайт Microsoft, на экране входа в систему отображается двузначное число; авторизация должен быть подтвержден в мобильном приложении, выбором правильного номера из списка кодов. В этом случае выбор кода еще проще, чем ввод одноразового пароля. После первоначальной настройки пользователи могут одобрить подпись при помощи отпечатка пальца или Face ID без необходимости выбора кода. Однако обязательным условием для входа в Microsoft Authenticator является наличие у пользователей специального приложения, установленного на телефон.

Microsoft предоставляет возможность входа в аккаунт без пароля, используя мобильное приложение Microsoft Authenticator.
Microsoft предоставляет возможность входа в аккаунт без пароля, используя мобильное приложение Microsoft Authenticator.

Чтобы выполнить аутентификацию с помощью мобильного приложения Microsoft Authenticator, пользователи получают код на сайте, на который они хотят войти, а затем выбирают код из списка в приложении.
Чтобы выполнить аутентификацию с помощью мобильного приложения Microsoft Authenticator, пользователи получают код на сайте, на который они хотят войти, а затем выбирают код из списка в приложении.
После первоначальной настройки Microsoft Authenticator позволяет пользователям использовать Face ID или аутентификацию по отпечаткам пальцев для авторизации входа на другом устройстве.
После первоначальной настройки Microsoft Authenticator позволяет пользователям использовать Face ID или аутентификацию по отпечаткам пальцев для авторизации входа на другом устройстве.

Две проблемы в США: QR-сканеры и адреса электронной почты

Есть две важные причины, из-за которых в США методы мобильной авторизации не так популярны, как в Китае.

Во-первых, для метода QR-кода требуется удобный сканер QR-кодов. Встроенный сканер QR-кода в WeChat (наиболее распространенное и широко используемое приложение в Китае) означает, что каждый китайский пользователь уже выполнил это требование. Сканер уже необходим для других важных задач WeChat (например, для добавления контакта), поэтому большинство китайских пользователей знакомы с этим процессом.

Во-вторых, для метода одноразового пароля требуется номер мобильного телефона, привязанный к вашей учетной записи. В США email является основным идентификатором для пользователей при регистрации нового аккаунта, но в Китае это номер мобильного телефона. По этой причине китайским пользователям имеет смысл подтвердить свою личность с помощью СМС с кодом — номер телефона уже привязан к их аккаунтам.

(Да, можно отправить одноразовый пароль на email, но открытие электронной почты более утомительно, чем чтение СМС. Любой, кто сбрасывал пароль, уже знает это. Кроме того, СМС не съедают траффик и не требуют хорошее интернет-соединение, как электронная почта).

Как другие регионы могут двигаться к принятию мобильной авторизации?

Распространенность мобильной авторизации в Китае помогает китайским пользователям избежать многих проблем с регистрацией, вызванных необходимостью запоминания паролей. Можно ли использовать те же методы в США и западном мире?

Apple перешла на поддержку сканирования QR-кода: в iOS 11 вы можете использовать приложение камеры для автоматического сканирования QR-кода. Однако эта возможность до сих пор неизвестна большинству пользователей, и еще предстоит выяснить, как она будет использоваться для аутентификации (и будет ли Apple предоставлять какие-либо дополнительные функции, чтобы помочь в этом направлении). Facebook следил за моделью WeChat и вводил QR-коды в качестве идентификаторов для пользователей Facebook Messenger; эти коды могут использоваться для прямого общения. Но их популярность все еще довольно низкая. Пока эти крупные компании не найдут способ сделать QR-коды важными для людей, чтобы они научились быстро их сканировать, маловероятно, что этот метод станет жизнеспособным решением проблемы аутентификации. (Прим. переводчика — совсем недавно Instagram запустил новую функцию — аналог QR-кода, т.н. визитки или Nametag).

Что касается одноразовых паролей, то американцы, возможно, более обеспокоены, чем китайцы, обменом номера телефона с третьими лицами. Хотя они могут быть готовы сделать это с компаниями, которым они доверяют (например, финансовые учреждения или другие крупные бренды), маловероятно, что они будут делать это со случайными сайтами в Интернете. Рекламные звонки и спам могут быть одной из причин, но еще одна причина заключается в том, что номер сотового телефона уже стал похож на номер социального страхования, позволяющий идентифицировать людей, и, поскольку люди осознают его важность, они, скорее всего, с еще большей неохотой поделятся им.

Вывод

Десять лет назад мы описали технологию единого входа, как лох-несское чудовище мира интрасети: люди слышали о ней и даже считают, что она существует, но они еще не видели ее. Решения для входа в систему, применяемые в Китае не настоящая технология единого входа, поскольку они все еще требуют от пользователей аутентификации с каждым отдельным сайтом. Тем не менее, они представляют собой большой шаг вперед в повышении юзабилити авторизации. Мы можем использовать метафору, чтобы охарактеризовать их как горных горилл в тумане: они определенно существуют, и вы можете пойти посмотреть на них. Однако они обычно не встречаются за пределами родной среды обитания.

В таких странах, как Китай, большинство пользователей впервые обратились к Интернету через свой мобильный телефон. Главенство мобильных телефонов имело важные последствия: использование телефонных номеров (вместо электронной почты) в качестве идентификаторов и важность таких платформ, как WeChat для связи, подтолкнули людей к использованию QR-кода, в качестве легкого способа добавления контактов и формирования групп. В результате эта технология стала повсеместной и принятой в других сферах жизни, как цифровых, так и нет. Напротив, в странах, где превалируют настольные компьютеры, таких как США, трудно обойтись без методов, которые мы унаследовали с первых дней Интернета (например, идентификация по электронной почте), и мы все еще ждем «приложения-убийцы» с QR-кодами, которые наконец, позволят нам в полной мере использовать их силу.