Когда пользователи создают аккаунт в Сети, им необходимо придумать пароль. Очень важно обеспечивать безопасность клиентских данных, однако строгие требования к тому, каким должен быть пароль, могут привести к показателю отказа от покупки на стадии оплаты (Checkout Abandonment Rate), равному 18,75%.
Иными словами, слишком строгие правила оформления паролей становятся серьезным препятствием на пути к хорошему показателю завершенности сделок (Checkout Completion Rate), что особенно касается сайтов с большими пользовательскими базами, работающими на основе личных аккаунтов.
Недовольный пользователь, который не смог применить свой обычный пароль на сайте ASOS из-за их специфических требований (по крайней мере, 6 букв и 1 цифра): «У меня есть пароли, которые я обычно применяю. [...] Я думаю, запоминать пароли довольно сложно, особенно учитывая, что вам нужно запомнить довольно большое количество из них. Это проблематично. [...] И везде свои требования к ним, потому-то и невозможно удержать все в голове. Вот я уже на сайте, хочу купить футболку, а мне нужно придумывать что-то прямо здесь и сейчас, из-за чего пароль не будет как следует продуман. Именно поэтому мне очень нравится кнопка 'Забыл пароль'»
При исследовании действий существующих пользователей сайтов Amazon и ASOS было обнаружено, что 18,75% из них оставляют корзину, поскольку не могут вспомнить пароль, а затем у них возникают проблемы на уровне электронного письма с предложением «Придумать новый пароль».
В данной статье будут приведены факты и выводы относительно требований к созданию паролей и процессу их изменения, полученные в рамках проведенного Baymard.com исследования по юзабилити чекаут-процессов, включая следующую информацию:
- Как реальные пользователи создают пароли на сайтах e-Commerce.
- Влияние чересчур строгих требований к паролю.
- Поиск баланса между обеспечением безопасности и коэффициентом конверсии в контексте e-Commerce.
- Распространенная ошибка, приводящая к 100%-ному показателю неоплаченных корзин.
Пользовательский опыт интернет-магазинов: эффективное оформление заказов от ASOS
Создание паролей на сайтах eCommerce
Во время тестирований пользователи особо часто отмечают одну деталь: они используют один и тот же пароль для нескольких eCommerce-сайтов, даже зная об увеличении в таком случае риска. Часто юзеры проводят разделяющую грань между тем, насколько надежными должны быть их покупательские аккаунты, и такие высокоприоритетные аккаунты, как PayPal, email или профиль в мобильном банке.
Зачастую посетители решают заново прибегнуть к стандартному паролю для eCommerce-сайтов, находящемуся у них в категории паролей «средней» важности. Данное утверждение можно проиллюстрировать таким заявлением участника эксперимента: «Я ввожу один из своих паролей. У меня их много. Все зависит от того, насколько это важно. На сайте, вроде Wayfair (американский веб-сайт, продающий товары для дома), это простой код, это же не PayPal или моя электронная почта или что-то вроде того»
Приведем еще несколько цитат о том, что обычные пользователи думают об интернет-безопасности и как они выстраивают свои пароли:
- «У меня множество паролей. Выбор зависит от того, считаю ли я конкретный сайт более или менее важным. Если он неважный, а пароль требуется, то я ввожу повторяющийся. Но что касается PayPal или банковского аккаунта, то есть таких вещей, с помощью которых напрямую можно что-то купить, пользуясь моей кредиткой, для них я придумываю уникальные пароли».
- «У меня есть 4 разных пароля, я их классифицирую по степени важности. Можно сказать, что все, относящееся к оплате, находится в категории 1 или 2. Это секретная информация, к которой я не хочу, чтобы кто-то имел доступ. Но да, я использую одинаковые пароли на разных сайтах. Это привычка, способ упростить процедуру».
- «Здесь я, скорее всего, применю свой стандартный пароль, какой использую для большинства сайтов».
- «На Amazon использован мой стандартный пароль, я это знаю, поскольку только что вошел в систему… Над этим, кстати, надо поразмыслить. Если говорить о PayPal, банке и т.п., то… Все зависит от важности и приватности, пароли могут усложняться, но в целом я использую один и тот же. Одинаковый пароль может быть у меня в 4-5-6 местах».
- «На Amazon мне нужен легко запоминающийся пароль, потому что я туда буду снова заходить. Не знаю, нужен ли мне такой же на ASOS. Сейчас я придумала один, который могу запомнить. Но теперь я вижу, что он не подходит, так как в нем нет цифр. Ну, что ж… эммм… надо что-то другое придумать… Окей, просто добавлю '18'...».
Несмотря на то, что пользователи в курсе возможных последствий для безопасности своих данных, многие заново используют однажды придуманные пароли — просто чтобы помнить их. Кроме того, большинство посетителей заходит на сайты, имея различные потребности в плане безопасности, при выборе пароля они обращаются к своему индивидуальному внутреннему «рейтингу надежности», опираясь на уровень конфиденциальности той информации, что они вносят. И наконец, стоит отметить, что стандартные пароли не всегда подходят под требования сайта, подразумевающие добавление цифр, большего количества символов либо заглавных букв, и тогда посетителям приходится «на лету» придумывать новые вариации.
Как только пользователь создает аккаунт, в интересах сайта обеспечить защиту его персональной информации, одновременно делая процедуру входа в профиль легкой.
Как веб-девелоперы разрушают юзабилити
Последствия введения слишком строгих требований к паролю
Существуют 2 негативных последствия такого решения, не позволяющего пользователям прибегать к часто используемым паролям.
1. Процесс создание пароля начинает вызывать разочарование. Это наблюдается очень часто, вызывая при этом оставление корзины, если требования к паролю слишком строгие.
2. Когда пользователям приходится отказываться от своих «стандартных» паролей, впоследствии они склонны забывать новые, что вызывает проблемы с входом в профиль при последующих визитах.
Ценой введения строгих правил становятся проблемы со входом во время новых посещений сайта. Во время тестирования юзеры во многом рассчитывали на возможность восстановления пароля. Таким образом, подразумеваемый быстрый процесс оформления покупки для постоянных клиентов нередко длится дольше, чем у гостей сайта
При оценке влияния требований к паролю особенно важно измерять не столько факт создания аккаунта, сколько показатель неудачных входов и количество восстанавливаемых паролей при последующих визитах. Удобство наличия аккаунта с сохраненным адресом и платежными деталями совершенно нивелируется негативным сторонами следующего типичного алгоритма повторного входа:
1. Пользователь сначала пытается ввести несколько разных паролей, как правило, начиная с наиболее простых в своей «иерархии паролей» и затем усложняя код.
2. Если у пользователя несколько электронных адресов, он затем пробует различные комбинации пароль/e-mail.
3. В итоге он сдается и выбирает функцию восстановления пароля.
4. Он открывает свой почтовый ресурс в новой вкладке или в приложении.
5. Ждет письма для восстановления пароля, высылаемого с сервера сайта для исходящих emails, а затем попадающего в сервер входящей корреспонденции сайта-продавца.
6. Получив письмо, пользователь нажимает на ссылку, чтобы восстановить пароль.
7. Далее он создает новый пароль (зачастую совпадающий с ранее использованным).
8. И лишь затем покупатель может вернуться к оформлению заказа.
Очевидно, что и речи не идет ни о каком улучшенном чекаут-опыте для существующих клиентов. Для тех, кто забыл пароль, он превращается в еще более раздражающий алгоритм по сравнению с обычным, «гостевым», процессом.
Самое слабое звено — это e-mail для восстановления пароля. Ниже терпеливый, но недовольный участник эксперимента объясняет после 6 минут ожидания и нескольких попыток проверить электронную почту: «Хм, да. Это вызывает разочарование. На самом деле мне стоило бы решить, нужно ли мне покупать это здесь. Думаю, я бы поразмыслил о других местах, где я мог бы приобрести данную вещь, а потом перешёл бы туда. Очень неудобно»
Электронные письма, предлагающие восстановить пароль, представляют собой особенно слабое место. Нередко они приходят с задержкой в несколько минут (из-за совмещения операций отправки и получения), попадают в спам, либо у пользователя может возникнуть трудность уже на этапе входа в собственную почту. Любая проблема, возникающая в ходе процесса восстановления, будет технически блокировать доступ юзера к своему аккаунту, и именно в этот момент весьма вероятным становится прекращение оформления заказа.
Для всех протестированных пользователей, пытавшихся войти в свои профили на таких сайтах, как Amazon и ASOS, наблюдался показатель отказа от покупки, равный 18,75% — и все это из-за забытого пароля и последующих трудностей с письмом для его восстановления.
Устанавливая несложные требования к паролю, например, от 6 символов, как это сделано на сайте Etsy, вы позволите создавать запоминаемые пароли, что приведет к сокращению трудностей на стадии sign-in, уменьшению запросов на восстановление паролей, частичному устранению проблем с письмом для восстановления и в конечном итоге к резкому снижению случаев оставления корзины
Факты для размышления:
1. Большая доля пользователей имеет стандартные пароли, используемые ими на нескольких сайтах для того, чтобы быть в состоянии запомнить их все.
2. Забытый пароль и последующий процесс его восстановления (в котором почти невозможны быстрые отправка и получение соответствующего email) могут привести к появлению двузначного показателя отказа от покупки на стадии оформления для пользователей с уже созданным аккаунтом.
Крайне рекомендовано вводить небольшое количество условий при создании паролей. Если вам важно уменьшение трения при входе в аккаунт и восстановлении пароля, то разрешите код, состоящий всего лишь из 6 строчных букв. Если вы решитесь на подобное нововведение, необходимо соблюсти только 2 требования к защите данных, чтобы не поставить под угрозу безопасность сайта и пользователей.
Помогайте клиентам запоминать пароли и улучшайте юзабилити!
Обеспечение безопасности vs. коэффициент конверсии в eCommerce
Само собой, менее строгий подход к вопросу безопасности имеет и отрицательные стороны, особенно это касается сайтов, сохраняющих конфиденциальные данные по платежам. Существует, тем не менее, путь, позволяющий сбалансировать потребность обеспечить одновременно и безопасность, и чекаут-юзабилити.
Нестрогие требования к паролю, как на сайте продавца одежды и аксессуаров Gilt («по крайней мере, 5 символов»), серьезно снижают показатель оставления корзины среди пользователей, имеющих аккаунт. Устранение строгих правил, однако, должно происходить только при условии соблюдения двух других мер безопасности
Чтобы допустить возможность создания более простых паролей, снижающих степень защищенности данных, сильно не жертвуя при этом безопасностью сайта в целом, вам следует прибегнуть к двум мерам:
1. Пароли имеют особое значение для некоторых устройств и приложений, в которых хакеры предпринимают бесчисленное множество попыток внедрения, но веб-сайты могут принять превентивные меры безопасности против хакерских атак, вводя ограничения на количество ввода и другие виды препятствий на пути таких попыток. Это исключает потенциальную возможность прямых атак и, таким образом, устраняет необходимость в особо сложных паролях.
2. Сайты eCommerce могут значительно снизить последствия несанкционированных проникновений в профили клиентов, если во время оплаты заказа с помощью платежной карты с реквизитами, хранящимися на сервере магазина, потребуется сначала заново ввести некоторые детали кредитной карты в тех случаях, когда адрес доставки редактируется либо добавляется новый (потенциально — со стороны хакера). Отсутствие возможности отправлять товары на новые адреса с использованием сохраненных платежных карт увеличит гарантии защиты от несанкционированного доступа в клиентские профили, поскольку риск такого проникновения существенно уменьшится.
При тестировании онлайн-гипермаркета Walmart пользователей просили отредактировать или добавить новый адрес доставки, причем они могли использовать кредитную карту, данные которой были сохранены на сайте, только в том случае, когда заново вводили код безопасности карты. Эта важная мера привела к значительному сокращению последствий взлома аккаунтов и позволила смягчить требования к паролям
Упомянутые выше две меры вместе представляют собой главные условия ввода менее строгих требований к создаваемым паролям на сайтах e-ommerce. В то время как с точки зрения юзабилити чекаут-процессов (и в конечном итоге коэффициента конверсии) не рекомендуется налагать требования к паролям строже, чем 6 символов без обязательных прописных букв, мы советуем пытаться подталкивать пользователей к использованию более безопасных паролей. Например, предлагать создать пароль из 8 символов, при этом не запрещая применять шестисимвольный.
Обратите внимание, что существует особая подгруппа людей, относящихся к вопросу защиты персональных данных с высокой степенью сознательности и предпочитающих длинные пароли (12+ символов) или применение пароль-генераторов. Чтобы представить интересы и этой, зачастую технически искушенной, группы, сайтам никогда не следует ограничивать сложность или длину пароля (то есть всегда нужно разрешать ввод паролей, состоящих из 20+ знаков с применением букв, цифр, символов и т.д.).
Как одна кнопка может ускорить решение задачи “забыли пароль?”
Типичная ошибка: постоянный клиент — не гость
И наконец, чрезвычайно важно разрешить всем, имеющим аккаунт, производить оплату как гость, даже если их email уже привязан к определенному профилю.
Когда сайты отказывают пользователям в возможности оформить покупку в качестве гостя, потому что их электронный адрес уже зарегистрирован на какой-то аккаунт (как это произошло здесь, в примере с сайта Urban Outfitters), любые задержки или неудобства на этапе восстановления пароля или взаимодействия с почтой приведут к тому, что пользователи покинут сайт, так как он блокирует совершение покупки.
Вот, что сказал один из тестируемых на сайте Amazon: «Это мой старый электронный адрес. Я уже год как не работаю на том месте, но не меняю его просто из-за лени. Он автоматически вставляется в моем браузере, потому я уже давно не вводил его сам». Запрет выполнять расчеты в качестве гостя по той причине, что email привязан к существующему аккаунту, вызовет 100%-ный уход тех, у кого нет мгновенного доступа к своей электронной почте
Если пользователи не могут осуществить гостевое оформление заказа с той почтой, что уже связана с их аккаунтом, то получится, что сайт фактически заставляет их прекратить покупку, создавая пусть небольшие, но все же ощутимые задержки или затруднения с письмом для восстановления пароля. Это принципиальный момент, так как доставка письма не находится под контролем сайта. Даже если его система доставки электронной корреспонденции работает безотказно на 100% и высылает послания в течение 5 секунд, клиентов может остановить их email-клиент/сервер, работающий слишком медленно либо по какой-то причине блокирующий или задерживающий доставку письма.
Таким образом, возможность оформить заказ в большей степени становится зависимой от чего-то, на чью скорость нельзя полагаться, то есть от email-доставки (при этом мы еще не берем в расчет, что у клиента вообще может не быть быстрого доступа к электронной почте).
Заметьте, что сайты, на которых в принципе отсутствует опция гостевого оформления заказа (таковых до сих пор насчитывается 14% от всех eCommerce-сайтов), по определению вынуждены страдать от последствий принуждения своих посетителей оставлять корзину в случае проблем с доставкой писем или задержек. (И это еще одна причина, почему сайтам следует всегда давать возможность оплачивать товары в качестве гостя.)
Не принуждайте пользователей к регистрации до завершения сделки
Требования к паролям и процессу их восстановления в e-Commerce
Вследствие наличия большого количества пользователей, имеющих 2-5 стандартных пароля, которые они неоднократно применяют на разных eCommerce сайтах (чтобы быть в состоянии запомнить их все), а также из-за того, что алгоритм восстановления забытых паролей приводит к 18%-ному показателю отказа от покупки для имеющих свой аккаунт клиентов, рекомендуется следующее:
1. Предлагайте придумывать сложные пароли, но не вводите более строгие требования (не строже, чем «по крайней мере, 6 букв»).
2. Используйте 2 меры безопасности, снижающие необходимость в сложных паролях: 1) вводите «препятствия» после 10-20 следующих друг за другом попыток входа (в течение какого-то промежутка времени); 2) заставляйте клиентов с аккаунтом заново вводить информацию по сохраненным платежным картам, когда они захотят использовать новый адрес доставки либо внести изменения в старый.
3. Разрешите тем, кто заботится о сохранности своих данных, создавать пароли длиной 20+ символов.
4. Всегда позволяйте пользователям осуществлять гостевое оформление заказа с электронным адресом, привязанным к существующему аккаунту.
Вместо заключения
Представленные выше наблюдения относятся к контексту функционирования eCommerce-сайтов. Результаты и последствия применения строгих правил создания паролей могут значительно варьироваться в отдельных случаях. Более того, даже в контексте eCommerce разные сайты могут иметь непохожие требования к безопасности и уязвимости. В конечном итоге определение минимального уровня безопасности зависит только от вас и особенностей вашего конкретного сайта.
Целью данной статьи является выделение серьезных последствий введения строгих требований относительно паролей для чекаут-юзабилити, а также определение дополнительных путей улучшения защищенности пользователей и сайтов помимо сложных и длинных паролей, причем для многих из этих дополнительных методов не характерно негативное воздействие на юзабилити.
И последнее. Если вы все-таки желаете установить более строгие требования, в аспекте прямых хакерских атак просьба создавать длинные пароли работает лучше, чем обязательные заглавные буквы, или цифры, или и то, и другое. Пользователи с гораздо большим трудом запоминают пароли, представляющие собой комбинации букв и цифр или сочетания заглавных и строчных букв.
Высоких вам конверсий!
По материалам: baymard.com
