Как улучшить пользовательский опыт 2FA

Двухфакторная аутентификация (2FA) — это проверенный способ повышения безопасности вашего сайта. Использование плагина 2FA может сделать ваш сайт более безопасным и устойчивым к атакам. «Проблема» заключается в том, что многие сайты не прилагают усилий для улучшения пользовательского интерфейса WordPress 2FA.

Улучшение взаимодействия с пользователем для 2FA упрощает убеждение посетителей принять ваш вариант аутентификации. Чем больше зарегистрированных пользователей используют 2FA, тем меньше вероятность того, что вам придется сталкиваться с нарушениями безопасности на вашем сайте. Это большое преимущество, и вы можете извлечь из него выгоду, убедив посетителей включить двухфакторную аутентификацию.

Насколько распространено внедрение 2FA?

2FA — не новая технология. В целом, многофакторная идентификация присутствует с 1990-х годов. Однако настоящего признания технологии не произошло до начала 2000-х годов. В настоящее время трудно найти известные веб-сайты, которые не предоставляют своим потребителям 2FA.

Учитывая, что технология настолько широко доступна, само собой разумеется, что темпы внедрения будут довольно высокими. В конце концов, 2FA прост в реализации.

На практике, однако, прием 2FA (и многофакторной аутентификации) удручающе низок. Twitter в своем последнем отчете о прозрачности показал, что только 2,6% активных учетных записей используют 2FA. С 2020 по 2021 год этот показатель вырос всего на 6,3%.

Даже если вы предоставляете 2FA, как владелец веб-сайта, вы должны понимать, что большинство пользователей могут решить не использовать его. Использование только плагина 2FA недостаточно. Чтобы максимально увеличить количество людей, выбравших двухфакторную аутентификацию, вам необходимо принять активные меры, чтобы сделать ее максимально удобной и беспроблемной.

3 метода улучшения пользовательского опыта 2FA

Слово «пользовательский опыт» может относиться к разным вещам. Улучшение пользовательского опыта 2FA влечет за собой упрощение его использования.

Проще говоря, вы хотите уменьшить любое возможное раздражение пользователя при работе с 2FA. К счастью, есть разные варианты достижения этой цели!

1. Предоставьте несколько каналов одноразовых паролей (OTP)

Одна из основных причин, по которой многие пользователи не включают 2FA, заключается в том, что веб-сайты и приложения могут не предоставлять предпочтительные маршруты OTP. Если вы предпочитаете получать OTP-сообщения через SMS, вас может раздражать, если веб-сайт требует от вас установки приложения, такого как Google Authenticator, или получения кодов по электронной почте:

Предложение только одного канала OTP вряд ли удовлетворит всех пользователей. Имея это в виду, лучше всего дать много каналов, включая следующие варианты:

• Электронная почта (и коды, и ссылки по электронной почте) (и коды, и ссылки по электронной почте)
• SMS-сообщения
• Приложения для аутентификации (такие как Google Authenticator и Authy)

С точки зрения OTP-каналов, это «основы». Многие популярные плагины двухфакторной аутентификации, такие как Two-Factor и WP 2FA, предоставляют доступ к некоторым или всем этим каналам OTP. WP 2FA Premium дополнительно включает каналы OTP, такие как WhatsApp, push-уведомления и телефонные звонки.

В идеале вы должны использовать плагин 2FA с максимально возможным выбором каналов OTP. Таким образом вы сможете предоставить потребителям дополнительные альтернативы, повысив вероятность того, что они захотят включить эту функцию.

Вы также должны подумать о настройке методов резервного копирования 2FA или резервных кодов. Это означает, что если зарегистрированный пользователь потеряет доступ к каналу (например, из-за того, что забудет свой пароль электронной почты), он может быстро переключиться на резервную копию и получить требуемый одноразовый пароль.

Простое сообщение потребителям о том, что они не ограничены определенным каналом, уменьшит их страх быть исключенными. Вероятность того, что пользователи не смогут получить доступ к вашему сайту из-за резервных каналов, должна быть чрезвычайно необычной.

2. Защитите доверенные машины

Даже если вы сделаете двухфакторную аутентификацию настолько простой, насколько это возможно, многие клиенты могут возмутиться необходимостью вводить коды каждый раз, когда они хотят получить доступ к своим учетным записям. Это разочарование может значительно возрасти, если им придется использовать 2FA для часто используемых учетных записей. В определенных обстоятельствах раздражение приводит к тому, что люди полностью удаляют 2FA.

Самое простое решение этой проблемы — использовать плагины 2FA с опцией «доверенные машины». Веб-сайты, имеющие доступ к этой функции, могут идентифицировать компьютеры, которые посетители используют для доступа к своим учетным записям. После этого от идентифицированных устройств больше не потребуется вводить OTP-коды каждый раз, когда они пытаются войти в систему.

Вы даже можете просмотреть список разрешенных устройств, в зависимости от инструмента:

Если вы используете плагин 2FA, который позволяет пользователям сохранять доверенные компьютеры (например, WP 2FA), убедитесь, что у инструмента есть параметры истечения срока действия. Для дополнительной защиты эти настройки требуют, чтобы пользователи регулярно подтверждали доверенные устройства.

В зависимости от установленного вами подключаемого модуля 2FA он может запросить подтверждение устройства, если обнаружит новый IP-адрес или не сможет найти связанные файлы cookie. Это означает, что вам придется прилагать еще меньше усилий при настройке инструмента. Кроме того, пользователям не придется так часто «сертифицировать» устройства.

3. Процесс 2FA может иметь белую маркировку

Тот факт, что большинство веб-сайтов используют сторонние решения для реализации 2FA, является огромной проблемой для улучшения взаимодействия с пользователем. Большинство веб-сайтов не могут написать решение 2FA с нуля (даже крупные предприятия).

Благодаря плагинам вы можете настроить решение 2FA в WordPress бесплатно и в некоторых случаях за считанные минуты. Основным недостатком является то, что многие плагины WordPress 2FA включают брендинг, который информирует потребителей о том, что они используют сторонний продукт.

Работа со сторонними инструментами может стать препятствием для некоторых людей. Они могут не знать, как работает 2FA. Кроме того, взаимодействие с другой службой при входе на веб-сайт может быть слишком сложным.

После того, как люди зарегистрировались, можно начать с объяснения того, как работает 2FA. Если вы хотите пойти дальше и дальше, вы можете пометить страницу аутентификации 2FA, которую посетители просматривают, когда пытаются войти на ваш сайт.

Белая маркировка подразумевает использование логотипа вашего веб-сайта, удаление любых упоминаний о посетителях с помощью плагина и изменение страницы аутентификации любым удобным для вас способом:

Вы можете включить инструкции о том, как использовать 2FA при изменении страницы аутентификации. Это может помочь уменьшить непонимание пользователей. В зависимости от плагина 2FA, который вы используете, вы даже сможете перенаправлять посетителей на персонализированные сайты после их успешной аутентификации.

Заключение

Мы узнали, как мы можем улучшить пользовательский опыт 2FA. В идеале вам следует использовать плагин, который максимально упрощает процедуру белой маркировки 2FA. Большинство плагинов позволяют вам настраивать их так, как вы считаете нужным, хотя обычно это требует работы с кодом. Другие плагины WordPress, такие как WP 2FA, имеют функции белой маркировки, и это именно то, что вам нужно искать.

Каждый веб-сайт, на котором зарегистрированы пользователи, должен иметь двухфакторную аутентификацию (2FA). Это сложное решение, которое значительно повышает безопасность вашего веб-сайта, затрудняя злоумышленникам кражу пользовательских данных. К сожалению, многие пользователи избегают использования 2FA из-за основных неудобств. Они часто не понимают, как работает 2FA, или ваш веб-сайт не обеспечивает идеального взаимодействия с пользователем.