Das Zurücksetzen von Passwörtern ist entscheidend für ein gutes Kundenerlebnis

Die durchschnittliche amerikanische E-Mail-Adresse ist mit 130 Konten registriert, und die Anzahl der Konten pro Benutzer verdoppelt sich alle fünf Jahre. Dieser massive Anstieg der Konten bedeutet auch, dass die Benutzer immer mehr Passwörter anhäufen, sodass es unvermeidlich ist, dass sie von Zeit zu Zeit ein Passwort vergessen.

58 % der Nutzer geben zu, ihr Passwort häufig zu vergessen, und der durchschnittliche Internetnutzer erhält jährlich etwa 37 E-Mails mit dem Betreff „Passwort vergessen“.

Diese Tatsachen machen das Zurücksetzen von Passwörtern zu einer Notwendigkeit für jede App. Aber die Entwicklung eines guten Prozesses zum Zurücksetzen von Passwörtern besteht aus mehr als nur dem Abfragen von Sicherheitsfragen. Wenn Ihr Verfahren zum Zurücksetzen des Passworts Ihren Kunden das Leben schwer macht, geben Sie ihnen damit einen Grund, Ihren Dienst nicht mehr zu nutzen.

Gute Passwortrücksetzungsprozesse zeichnen sich durch zwei Faktoren aus:

• Sie minimieren die Reibung für den Kunden. Ihr Kunde sollte nicht mehr als eine Minute brauchen, um sein Passwort zurückzusetzen, und der Prozess sollte nur Informationen erfordern, die der Kunde problemlos eingeben kann, wie z. B. seine E-Mail-Adresse.
• Sie sorgen dafür, dass die Daten des Kunden sicher sind. Sie bieten Sicherheitsvorkehrungen, z. B. gegen mehrfache fehlgeschlagene Anmeldungen, und senden Informationen nur über sichere Kanäle.

E-Mail wird am häufigsten zur Passwortrücksetzung verwendet, da beide Kriterien erfüllt werden. Es minimiert die Reibung, da die Eingabe einer E-Mail-Adresse für den Kunden schnell und einfach ist, und es schützt seine Informationen, da nur der Kunde Zugang zu seinem Posteingang haben sollte.

Ein einziger Fehler bei der Passwortrücksetzung kann das gesamte Produkterlebnis für die Kundenruinieren. Diese Fehler umfassen oft:

• Sicherheitsfragen – Statische Informationen sind leicht zu beschaffen. Wo Sie zur Schule gegangen sind, der Mädchenname Ihrer Mutter und sogar der Name Ihres Haustiers sind wahrscheinlich irgendwo im Internet verfügbar und damit für Angreifer zugänglich.
• Passwörter im Klartext – Anstatt das Passwort zurückzusetzen, senden einige Websites das ursprüngliche Passwort an den Kunden, was eine massive Schwachstelle darstellt. Damit ein Passwort im Klartext verschickt werden kann, muss es im Klartext gespeichert werden, was die Chancen eines Angriffs erhöht.
• Fehlermeldungen - Wenn eine Anwendung mitteilt, ob eine E-Mail-Adresse registriert ist oder nicht, könnte ein Angreifer möglicherweise herausfinden, ob ein Kunde ein Konto hat. Damit haben sie eine weitere Information, die sie zum Schaden Ihres Kunden einsetzen können.
• Unnötige Informationen abfragen – Die Sicherheit muss mit der Benutzerfreundlichkeit in Einklang gebracht werden. Kunden nach einem Lichtbildausweis zu fragen, ist zwar eine sichere Praxis, hat aber insgesamt einen negativen Einfluss auf das Kundenerlebnis.

Die Entwicklung einer Funktion, um Passwörter von Grund auf zurücksetzen zu können, erfordert erhebliche Ressourcen. Sie müssen Folgendes entwickeln:

• Ein System für die sichere Registrierung von Kunden
• Ein System für die sichere Speicherung von Kundeninformationen
• Eine intuitive Benutzeroberfläche, über die Kunden auf Ihre Funktion zum Zurücksetzen zugreifen können
• Eine Funktion zum Zurücksetzen
• Ein E-Mail-Automatisierungssystem, um Ihre Passwortrücksetzungen zu versenden

Mit Auth0 Lock können Sie alle oben genannten Aufgaben auf sichere Weise erledigen. Da es auf dem Auth0-Framework aufbaut, wird alles für Sie entwickelt. Auth0 Lock kombiniert den einfachsten Rücksetzvorgang mit dem höchsten Sicherheitsstandard. Der Rücksetzvorgang sieht folgendermaßen aus:

Kunden, die ihr Passwort vergessen haben, klicken einfach auf die Schaltfläche „Passwort vergessen“ (Forgot Password) und werden zu folgendem Bildschirm weitergeleitet:

Wichtig: Navigieren Sie zu Dashboard > Kontoeinstellungen (Account Settings) > Erweitert (Advanced), um zu überprüfen, ob der Kippschalter Passwortfluss ändern (Change Password flow) v2 aktiviert ist. Wenn dies der Fall ist, stellen Sie sicher, dass Sie Lock Version 9 oder höher für diesen Passwortrücksetzungsfluss verwenden.

Nach der Eingabe seiner E-Mail-Adresse sieht der Kunde dann folgendes Banner:

Das Banner wird auch dann angezeigt, wenn die E-Mail-Adresse nicht für ein Konto registriert ist. Das bedeutet, dass Angreifer nicht in der Lage sind, verschiedene E-Mail-Adressen auszuprobieren, um festzustellen, ob ein bestimmter Kunde ein Konto hat oder nicht.

In seinem Posteingang wird der Kunde diese Art von E-Mail finden:

Dieser Link für das einmalige Passwort erfordert nur einen einzigen Klick und stellt sicher, dass das Passwort nicht im Klartext angezeigt wird. Wenn Sie auf den Link klicken, gelangen Sie zu folgendem Bildschirm: