Login

A redefinição de senha é crítica para uma boa experiência do cliente

Saiba mais sobre como manter suas contas seguras e minimizar o atrito com o cliente

password-reset

Por que a redefinição de senha é tão crítica?

Nos EUA, o endereço de e-mail médio tem 130 contas registradas, e o número de contas por usuário dobra a cada cinco anos. Esse aumento maciço de contas também significa que os usuários estão acumulando mais e mais senhas, tornando inevitável que sejam esquecidas de vez em quando.

58% dos usuários admitem esquecer a senha com frequência, e o usuário médio da Internet recebe cerca de 37 e-mails de “esqueci a senha” por ano.

Essas realidades tornam a redefinição de senha uma necessidade para qualquer aplicação. Entretanto, criar um processo adequado de redefinição de senhas é mais do que fazer perguntas de segurança. Se o processo de redefinição de senhas dificultar a vida dos clientes, eles terão um motivo para deixar de usar seu serviço.

O que torna um processo de redefinição de senha eficiente?

Implementar um processo adequado de redefinição de senha envolve:

  • Minimizar o atrito para o cliente. O cliente não deve precisar de mais de um minuto para redefinir a senha, e o processo só deve exigir informações que os clientes fiquem à vontade para fornecer, como endereços de e-mail
  • Garantir a segurança das informações do cliente. Forneça proteção contra situações como falhas múltiplas de login e só envie informações por canais seguros.

O e-mail costuma ser mais usado para a redefinição de senha porque atende a ambos os critérios. Ele minimiza o atrito, pois digitar um endereço de e-mail é rápido e fácil para o cliente, além de proteger informações, já que apenas o cliente deve ter acesso à própria caixa de entrada.

Por que a redefinição de senha é tão difícil de fazer de modo correto?

Um único passo em falso no processo de redefinição de senha pode arruinar toda a experiência do cliente com seu produto. Os erros costumam ocorrer com:

  • Perguntas de segurança – Informações estáticas são fáceis de obter. Qual é a antiga escola, o nome de solteira de sua mãe e até mesmo o nome de seu animal de estimação provavelmente podem ser encontrados na internet, o que deixa essas informações disponíveis para os invasores.
  • Senhas em texto simples – Em vez de redefinir a senha, alguns sites enviam a senha original de volta ao cliente, o que é uma enorme vulnerabilidade. Para que uma senha seja enviada em texto simples, ela deve ser armazenada em texto simples, o que significa que as chances de ataque aumentam.
  • Mensagens de erro – Se uma aplicação informa se determinado endereço de e-mail está registrado, um invasor pode saber se um cliente tem uma conta. Essa é mais uma informação a usar contra o seu cliente.
  • Exigir informações desnecessárias – A segurança precisa ser equilibrada com a usabilidade. Pedir uma identificação com foto é uma prática segura, mas o efeito geral na experiência do cliente é negativo.

Como a Auth0 elimina o atrito das redefinições de senha

Desenvolver a funcionalidade de redefinição de senha do zero requer recursos significativos. Você precisa desenvolver:

  • Um sistema para registrar os clientes com segurança
  • Um sistema para armazenar as informações do cliente de forma segura
  • Uma interface de usuário intuitiva para os clientes acessarem a função de redefinição
  • Uma função de redefinição
  • Um sistema de automação de e-mail para enviar redefinições de senha

Com o Auth0 Lock, você pode fazer tudo isso de forma segura. Como ele é criado sobre a estrutura da Auth0, tudo é feito para você. O Auth0 Lock combina o processo de redefinição mais fácil possível com o mais alto padrão de segurança. Este é o processo de redefinição:

Diagrama de recuperação de senha

Os clientes que esqueceram a senha podem clicar no botão “Esqueci a senha” para acessar esta tela:

Screen Shot 2017-02-08 at 3.41.10 PM

Importante: Navegue até Dashboard > Configurações da conta (Account Settings) > Avançado (Advanced) para verificar se a opção Fluxo de alteração de senha v2 (Change Password flow v2) está ativada. Se estiver, certifique-se de usar o Lock versão 9 ou posterior para este fluxo de redefinição de senha.

Depois de inserir o e-mail, o cliente verá este banner:

password-reset-3

O banner é exibido mesmo que o endereço de e-mail não esteja registrado em uma conta, o que significa que os invasores não poderão tentar diferentes e-mails para ver se um determinado cliente tem ou não uma conta.

Na caixa de entrada, o cliente encontrará este tipo de e-mail:

Screen Shot 2017-02-08 at 3.43.55 PM

Este link para senha de uso único requer um único clique e garante que a senha não seja exibida em texto sem formatação. Clicar no link leva o cliente a esta tela:

password-reset-5

Inscreva-se gratuitamente

Comece a construir e proteja suas aplicações com a plataforma de identidade Auth0 hoje mesmo.

3D login box