A redefinição de senha é crítica para uma boa experiência do cliente

Nos EUA, o endereço de e-mail médio tem 130 contas registradas, e o número de contas por usuário dobra a cada cinco anos. Esse aumento maciço de contas também significa que os usuários estão acumulando mais e mais senhas, tornando inevitável que sejam esquecidas de vez em quando.

58% dos usuários admitem esquecer a senha com frequência, e o usuário médio da Internet recebe cerca de 37 e-mails de “esqueci a senha” por ano.

Essas realidades tornam a redefinição de senha uma necessidade para qualquer aplicação. Entretanto, criar um processo adequado de redefinição de senhas é mais do que fazer perguntas de segurança. Se o processo de redefinição de senhas dificultar a vida dos clientes, eles terão um motivo para deixar de usar seu serviço.

Implementar um processo adequado de redefinição de senha envolve:

• Minimizar o atrito para o cliente. O cliente não deve precisar de mais de um minuto para redefinir a senha, e o processo só deve exigir informações que os clientes fiquem à vontade para fornecer, como endereços de e-mail
• Garantir a segurança das informações do cliente. Forneça proteção contra situações como falhas múltiplas de login e só envie informações por canais seguros.

O e-mail costuma ser mais usado para a redefinição de senha porque atende a ambos os critérios. Ele minimiza o atrito, pois digitar um endereço de e-mail é rápido e fácil para o cliente, além de proteger informações, já que apenas o cliente deve ter acesso à própria caixa de entrada.

• Perguntas de segurança – Informações estáticas são fáceis de obter. Qual é a antiga escola, o nome de solteira de sua mãe e até mesmo o nome de seu animal de estimação provavelmente podem ser encontrados na internet, o que deixa essas informações disponíveis para os invasores.
• Senhas em texto simples – Em vez de redefinir a senha, alguns sites enviam a senha original de volta ao cliente, o que é uma enorme vulnerabilidade. Para que uma senha seja enviada em texto simples, ela deve ser armazenada em texto simples, o que significa que as chances de ataque aumentam.
• Mensagens de erro – Se uma aplicação informa se determinado endereço de e-mail está registrado, um invasor pode saber se um cliente tem uma conta. Essa é mais uma informação a usar contra o seu cliente.
• Exigir informações desnecessárias – A segurança precisa ser equilibrada com a usabilidade. Pedir uma identificação com foto é uma prática segura, mas o efeito geral na experiência do cliente é negativo.

• Um sistema para registrar os clientes com segurança
• Um sistema para armazenar as informações do cliente de forma segura
• Uma interface de usuário intuitiva para os clientes acessarem a função de redefinição
• Uma função de redefinição
• Um sistema de automação de e-mail para enviar redefinições de senha

Com o Auth0 Lock, você pode fazer tudo isso de forma segura. Como ele é criado sobre a estrutura da Auth0, tudo é feito para você. O Auth0 Lock combina o processo de redefinição mais fácil possível com o mais alto padrão de segurança. Este é o processo de redefinição:

Os clientes que esqueceram a senha podem clicar no botão “Esqueci a senha” para acessar esta tela:

Importante: Navegue até Dashboard > Configurações da conta (Account Settings) > Avançado (Advanced) para verificar se a opção Fluxo de alteração de senha v2 (Change Password flow v2) está ativada. Se estiver, certifique-se de usar o Lock versão 9 ou posterior para este fluxo de redefinição de senha.

Depois de inserir o e-mail, o cliente verá este banner:

O banner é exibido mesmo que o endereço de e-mail não esteja registrado em uma conta, o que significa que os invasores não poderão tentar diferentes e-mails para ver se um determinado cliente tem ou não uma conta.

Na caixa de entrada, o cliente encontrará este tipo de e-mail:

Este link para senha de uso único requer um único clique e garante que a senha não seja exibida em texto sem formatação. Clicar no link leva o cliente a esta tela: