El restablecimiento de contraseñas es fundamental para una buena experiencia del cliente

La dirección de correo electrónico de un estadounidense promedio tiene 130 cuentas registradas, y la cantidad de cuentas por usuario se duplica cada cinco años. Este aumento masivo de cuentas también significa que los usuarios acumulan cada vez más contraseñas, por lo que es inevitable que olviden alguna de vez en cuando.

El 58 % de los usuarios admite que olvida su contraseña con frecuencia, y el internauta medio recibe unos 37 correos electrónicos de “olvidé mi contraseña” al año.

Estas realidades hacen que el restablecimiento de contraseñas sea una necesidad para cualquier aplicación. Sin embargo, crear un proceso para restablecer contraseñas adecuado es algo más que formular preguntas de seguridad. Si el proceso de restablecimiento de contraseñas complica la vida de tus clientes, les estarás dando un motivo para dejar de utilizar tu servicio.

Los buenos procesos de restablecimiento de contraseñas hacen dos cosas:

• Minimizan la fricción para el cliente. El cliente no debería tardar más de un minuto en restablecer su contraseña, y el proceso debería requerir únicamente información que el cliente pueda introducir con comodidad, como direcciones de correo electrónico.
• Aseguran que la información del cliente esté protegida. Proporcionan protecciones contra cuestiones como múltiples inicios de sesión fallidos y envían información únicamente mediante canales seguros.

El correo electrónico es el más utilizado para el restablecimiento de contraseñas porque cumple estos dos criterios. Minimiza la fricción, ya que escribir una dirección de correo electrónico es rápido y fácil para la clientela, y protegerá su información, ya que solo el cliente debe tener acceso a su bandeja de entrada.

• Preguntas de seguridad: la información estática es fácil de obtener. El lugar al que fuiste al colegio, el apellido de soltera de tu madre, incluso el nombre de tu mascota, están probablemente disponibles en algún lugar de Internet, lo que los pone a disposición de los piratas informáticos.
• Contraseñas en texto plano: en lugar de restablecer la contraseña, algunos sitios envían la contraseña original de vuelta al cliente, lo que constituye una vulnerabilidad masiva. Para que una contraseña se envíe en texto plano, debe almacenarse en texto plano, lo que aumenta las posibilidades de ataque.
• Mensajes de error: si una aplicación dice si una dirección de correo electrónico está registrada o no, un atacante podría potencialmente saber si un cliente tiene una cuenta. Esto les da una pieza más de información para utilizar en contra de tu cliente.
• Requerir información innecesaria: la seguridad debe equilibrarse con la facilidad de uso. Pedir a los clientes una foto de su documento de identidad es una práctica segura, pero su efecto general en la experiencia del cliente es negativo.

• Un sistema para registrar clientes de forma segura
• Un sistema para almacenar de forma segura la información de los clientes
• Una interfaz de usuario intuitiva para que los clientes accedan a tu función de restablecimiento
• Una función de restablecimiento
• Un sistema de automatización del correo electrónico para enviar los restablecimientos de contraseña

Con Auth0 Lock, puedes hacer todo lo mencionado anteriormente de forma segura. Debido a que está construido sobre el marco de Auth0, todo está pensado para ti. Auth0 Lock combina el proceso de restablecimiento más sencillo posible con el más alto estándar de seguridad. El proceso de restablecimiento es el siguiente:

Los clientes que hayan olvidado su contraseña solo tienen que hacer clic en el botón “Olvidé mi contraseña» y accederán a esta pantalla:

Importante: Ve a Panel de control > Configuración de la cuenta > Opciones avanzadas para comprobar si la opción Cambiar flujo de contraseñas v2 está activada. Si es así, asegúrate de utilizar la versión 9 o posterior de Lock para este flujo de restablecimiento de contraseña.

Tras introducir su correo electrónico, el cliente verá este cartel:

El cartel se muestra incluso si la dirección de correo electrónico no está registrada en una cuenta, lo que significa que los atacantes no podrán probar diferentes correos electrónicos para ver si un cliente concreto tiene o no una cuenta.

En su bandeja de entrada, el cliente encontrará este tipo de correo electrónico:

Este enlace de contraseña de un solo uso requiere un solo clic y garantiza que la contraseña no se muestre en texto plano. Al hacer clic en el enlace, el cliente accede a esta pantalla: