1873 подписчика

Ярослав Александров написал, как усложнить жизнь злоумышленникам и сохранить удобство входа.

— Это две противоположные цели: 1) Упрощать прохождение воронки регистрации и авторизации; 2) Снижать число попыток несанкционированного доступа к пользовательским профилям;

— Метрики удобства: процент авторизованных пользователей, общее количество покупателей и сделок, ключевые конверсии, ключевые действия на площадке (покупка, контакт);

— Проверяйте все сценарии UX-тестами;

— Отслеживая обращения пользователей, объединяйте жалобы с данными, чтобы видеть общую картину, так как часто нарушители нагружают поддержку, маскируясь под недовольных пользователей;

— Слабые пароли — одна из главных точек приложения усилий взломщиков. Формальные требования к паролям не работают. Пароль P@ssword1 так же легко подобрать, как и password;

— Внедряйте более сложные требования к паролям и одновременно рассказывайте, как легко создать и запомнить по-настоящему сложный пароль. Например, использовать как пароль 3 случайных слова на английском или русском (транслитом);

— Люди включают 2-факторную авторизацию, когда а) их где-нибудь взломали, б) профиль стал ценным, в) прочитали, что к профилю может получить доступ посторонний. Они не хотят, чтобы от их имени кого-то обманули;

— Большинство способов 2-факторной авторизации портят пользовательский опыт. Есть метод Risk Based Authentication, когда такая авторизация нужна только если система подозревает взлом;

— Способы 2FA: смс, пуш, звонок (продиктовать код, ввести последние 4 цифры номера, с которого звонили, пользователь должен сам позвонить), TOTP, QR-код (отсканировать из приложения), имейл (код или ссылка в письме), внутренний мессенджер продукта, биометрия, список одноразовых паролей, физические ключи, пин-код.

1 минута

7 июня 2023

17,7 тыс читали