自上世纪90年代中期开始使用个人互联网以来,人们一直在努力记住和记录自己的在线密码。20年后,这个问题变得更糟了。我们主要在网上工作、购物和交流,我们必须处理更多的账户和密码。通常情况下,这些密码必须在小巧的触屏键盘上输入,而输入密码会造成很大的麻烦和浪费精力。当登录过程中需要密码时,用户必须使用回忆起他们或者处理后果。记住密码的负担导致用户经常选择简单、不安全的密码,或者从事可疑的密码跟踪行为,比如写下来密码或使用相同的密码为所有帐户。当他们无法找回密码时,他们必须浪费时间重新设置密码。在企业计算中,登录对员工的生产力有巨大的影响对于一个拥有1万名员工的公司来说,最好的登录设计季度与最差的登录设计季度相比,每年可节省约250万美元。)
在一项独立资助的定性用户研究中,我们通过在北美(美国和加拿大)和中国的几项实地研究和可用性测试,调查了数字技术在人们日常生活中所扮演的角色。
许多美国参与者抱怨自己记不住密码,或者在研究过程中因为忘记密码而遇到了登录账户的问题。这些问题包括无法进入账户;必须重新设置密码;并且需要切换到参与者已经登录过的另一个设备。一位美国参与者为她的谷歌账户尝试了7个不同的密码,但没有成功,最后放弃了。“我必须记住那么多不同的密码!””,她抱怨道。
与我们的美国参与者相比,很少有中国参与者的密码有问题。
造成这种差异的一个主要原因是中国手机登录方式的盛行,用户可以使用智能手机在桌面网站上进行身份验证,而无需记住密码。在我们的测试过程中,大多数中国参与者使用手机登录。在3名中国参与者中,有2人很难记住自己在桌面网站上的密码,他们可以通过另一种手机登录方式轻松登录自己的账户。因此,与北美相比,中国的密码相关问题要小得多。
中国流行的手机登录方法
二维码登录
扫描二维码在中国是一种流行的登录方式。二维码是一种二维条形码,在中国经常被使用连接实体和数字世界的信息。它们还用于促进跨设备的身份验证。
有两种类型的qr码登录:
- 相应的手机应用程序:如果用户需要使用手机以外的设备(例如平板电脑或笔记本电脑)登录应用程序或网站,系统会生成一个独特的二维码。然后,她就可以使用手机上安装的相应手机应用程序扫描二维码。然后该网站或应用程序识别用来扫描代码的设备(和账户),用户无需回忆任何密码就可以登录。通常情况下,使用这种方法的网站(如微信、淘宝、京东)拥有大量的用户,用户可能已经安装了移动应用程序,并经常使用它(因此通常在智能手机上登录到他们的账户)。这种方法对于那些经常使用手机的用户非常有效。它可能不适用于主要在桌面设备上访问的站点或服务。
- 第三方登录:这种方法就像美国的Facebook或谷歌登录一样有效。用户可以使用大型第三方平台(如微信或微博)的移动应用中的二维码登录任何网站或应用,只要他们的账户与这些平台之一相链接。
第三方qr码登录特别适用于较小的网站或用户不太可能频繁使用相应的移动应用程序的情况。这种方法的缺点是,它要求用户愿意通过第三方服务进行身份验证,从而与该服务共享他们的web活动。
一次性密码(otp)
一次性密码是一个简短的数字代码(例如,“211464”),当用户试图登录时,网站或应用程序发送给用户,通常是通过文本消息。在中国(和中国)印度),这种方法作为一种方便的替代密码登录被广泛使用。只要用户之前将手机号码与账户进行了链接,就可以随时使用发送到手机上的验证码登录网站,而无需输入密码或用户名。
为了让OTP方法发挥作用,用户必须愿意将他们的账户与他们的电话号码联系起来。这个方法的缺点是,当手机被盗或被多个人(常见的在发展中国家),入侵者很容易登录账户对应手机即使手机处于锁定状态,只要短信手机的主屏幕上显示。
OTPs vs.二维码登录
OTP方法与qr编码方法有几个不同之处。
- otp比二维码更通用:用户不需要使用移动应用程序来扫描二维码。
- otp有更高的交互成本而不是QR码——它们需要用户输入一个代码(或者从短信应用程序中复制并粘贴到密码框中)。
- OTPs和二维码利用了智能手机的不同功能:短信和摄像头。因此,otp可用于登录到任何频道(移动、桌面或平板电脑),但QR码工作只比智能手机设备上登录不同(因为,二维码的方法来工作,用户需要登录已经在移动应用程序,执行二维码扫描)。
除了这些不同之外,它们的方法非常相似。通过这两种方式,只要用户有一个已建立的账户,并且他们的移动设备方便,他们就可以快速访问他们的账户。因此,这两种方法都是真正的跨通道解决方案,需要实现无缝跨设备-对于假设无处不在的移动所有权的体验架构来说,这更有可能是真的。
无论如何,这些类型的登录系统转移了焦点用户知道什么(用户名+密码)用户拥有什么(移动设备、原生应用)。这种方法特别方便,因为现在很多人都随身携带移动设备;它的主要好处是减轻了与记忆密码相关的负担。
我们注意到这两种情况都存在可用性问题:你记得密码吗?还是你知道你的手机在哪里?(手机充电了吗?)没有安全解决方案可以有完美的可用性,因为需要一些障碍才能进入。然而,在当今世界,对拥有的依赖比对人类记忆的依赖要轻得多,而人类记忆是出了名的可怕。
美国的手机登录
如果手机登录方式可以为用户节省如此多的时间和痛苦,为什么这些方式在美国还没有像在中国那样被采用呢?otp在美国很常见;然而,它们主要用于增加安全性,作为双因素身份验证,而不是密码登录的替代方法。(eBay是少数几个支持OTP登录的网站之一。)
除了双因素认证,美国公司还在试验其他的登录方式。
例如,Microsoft Authenticator允许用户使用智能手机验证微软的服务。用户必须下载并在手机上安装Microsoft Authenticator应用程序。然后,当他们需要登录微软网站时,登录屏幕上会显示一个两位数的数字;在手机应用程序中,必须从代码列表中选择正确的数字进行登录。在这种情况下,选择代码甚至比输入OTP更容易。在初始设置后,用户可以用指纹或Face ID批准登录,而无需选择代码。然而,Microsoft Authenticator登录的重要前提条件是用户在手机上安装了专用的应用程序。
在美国有两个障碍:QR扫描仪和电子邮件地址
手机登录方式在美国不如在中国流行有两个重要原因。
首先,QR码方法需要一个方便的QR码扫描仪.微信(中国应用最广泛、使用最频繁的应用)的嵌入式二维码扫描仪意味着每个中国用户都已经满足了这一需求。扫描器对于其他重要的微信任务(如添加联系人)已经是必需的,所以大多数中国用户都熟悉这个过程.
第二,OTP方式需要手机号码与您的帐户关联。在美国,电子邮件地址是用户创建新账户的主要标识,但在中国,是手机号码。出于这个原因,中国用户通过短信用验证码来验证自己的身份是有道理的,因为手机号码已经与他们的账户相关联。
(是的,可以用电子邮件的形式发送OTP,但打开电子邮件比阅读短信更乏味,因为任何重置过密码的人都知道。此外,短信不需要数据套餐或良好的网络连接,而电子邮件则需要。)
其他地区如何转向手机登录?
手机登录在中国的普及帮助中国用户避免了许多因需要记住密码而导致的登录问题。在美国和西方世界有可能使用同样的方法吗?
苹果已经开始支持二维码扫描:在iOS 11中,你可以使用摄像头应用自动扫描二维码。然而,大多数用户仍然不知道这一功能,它将如何用于身份验证(以及苹果是否会提供任何额外的功能来帮助这一方向)还有待观察。Facebook遵循了微信模式,引入了二维码作为Facebook Messenger用户的标识;这些密码可以用来直接与企业或个人沟通。但他们的受欢迎程度仍然相当低。除非这些大公司能找到一种方法,让二维码对人们变得重要,让人们学会如何快速扫描二维码,否则这种方法不太可能成为解决认证问题的可行方案。
至于OTPs,可以说美国人比中国人更关心与第三方分享他们的手机号码。虽然他们可能愿意与他们信任的公司(如金融机构或其他大品牌)合作,但他们不太可能在网上随便找个网站合作。电话营销电话和垃圾邮件可能是一个原因,但另一个原因是在识别身份方面,手机号码已经变得与社会保障号码相似而且,随着人们越来越意识到它的力量,他们可能会变得更不愿意分享它。
结论
十年前,我们把单信号描述为内部网世界的尼斯湖水怪人们听说过它,甚至相信它的存在,但他们还没有看到它的真实存在。中国的登录解决方案并不是真正的单点登录,因为它们仍然要求用户通过每个网站的身份验证。然而,它们构成了登录可用性的一个重大飞跃,也许我们可以把这个比喻扩展为雾中的大猩猩:它们确实存在,你可以去看它们。然而,它们通常不会在栖息地之外被发现。
在移动优先的社会,如中国,绝大多数用户第一次使用手机上网。移动电话的主导地位有一些重要的含义:使用电话号码(而不是电子邮件)作为标识符,像微信平台进行交流沟通的重要性,导致使用二维码来轻松添加联系人,形成组织并进行这项技术普及和在生活的其他方面——采用数字。相比之下,在美国等桌面优先的社会,我们从早期网络时代继承下来的惯例(如基于电子邮件的身份识别)很难规避,我们仍在等待带有二维码的“杀手级应用”,让它们进入公众的视线,最终让我们充分利用它们的力量。
分享这篇文章: