Что касается потребительского продукта, в котором клиент имеет учетную запись и получает от нас счета (более 10 000 долларов США), и его просят оплатить эти счета, используя сохраненный способ оплаты (банк или кредитная карта) — мы обсуждаем, имеет ли смысл повторно - запрашивать у пользователя пароль для завершения платежа, даже если он установил флажок «оставаться в системе». Это может быть реализовано в виде файлов cookie с двойным входом — один долгосрочный (без срока действия), один краткосрочный (30 минут). Если срок действия краткосрочного сеанса входа истек, то при выполнении ключевого действия (например, платежа на сумму более 10 000 долларов США) краткосрочный вход необходимо будет обновить, введя пароль.

Аргумент в пользу: это потенциально большие суммы денег, и это кажется консервативным решением. Примеры этого в дикой природе: при внесении изменений администратора в Twilio или при изменении адресов в Amazon часто требуется повторный запрос пароля.

Аргумент против: добавляет трения. Ни PayPal, ни банки не требуют от вас этого. Почему мы должны?

Что еще вы бы рассмотрели, чтобы принять здесь правильное UX-решение?

2
beastly_beast 26 Сен 2018 в 23:04
Это зависит от того, насколько ваши пользователи обеспокоены безопасностью. У меня был интернет-банкинг, который использует его, и это позволяет мне чувствовать себя в большей безопасности. Но другие пользователи могут почувствовать его боль в пепле. Зависит от контекста и того, насколько безопасным кажется ваш сервис.
 – 
RobbyReindeer
27 Сен 2018 в 09:47
Вопрос в оплате (за повторяющуюся услугу, которая уже была заказана и не изменилась) или в заказе (и оплате) новых услуг? Может ли кто-то другой заказать/использовать эти услуги? Как видите, Amazon больше не запрашивает пароль, если он отправлен на существующий адрес. Он запросит (включая данные карты), если вы отправите товар на новый адрес, поскольку это может быть кто-то, кто взломал учетную запись, пытаясь совершить покупку с помощью вашей карты.
 – 
jcaron
27 Сен 2018 в 15:19
«ни банки не требуют от вас этого» Мой банк (Великобритания) иногда делает это (или что-то в этом роде). В моем случае некоторые платежи (и другие действия по обслуживанию учетной записи) требуют, чтобы вы использовали устройство для чтения карт, чтобы подтвердить, что у вас есть одна из кредитных / дебетовых карт, связанных с вашей учетной записью.
 – 
TripeHound
27 Сен 2018 в 17:57

3 ответа

Мне приходят на ум две вещи:

  1. Платежные шлюзы не будут хранить всю информацию о кредитной карте и потребуют от клиента ввести номер CVV (это обычное дело, где я нахожусь). Делает ли это то же самое, чего вы пытаетесь достичь с помощью концепции повторной аутентификации? Если так, то есть удвоение.

  2. Если вы просите людей оставаться в системе, то вы не выполняете это требование, когда просите их войти во второй раз. Может ли это взаимодействие подорвать вашу систему, то есть вы не можете выполнить простой запрос о том, чтобы оставить меня в системе, чему еще я не могу доверять?

Если вы идете по пути использования повторной проверки, вы должны спроектировать взаимодействие так, чтобы оно было контекстуальным, и оформить его соответствующим образом. Убедитесь, что пользователь знает, что это мера безопасности, а не неисправность.

1
Jaime S 27 Сен 2018 в 09:57

Вы можете использовать двухфакторную аутентификацию (2FA), которая представляет собой компромисс между повышенным трением и безопасностью.

Пользователь может включить 2FA. Вы также можете сделать обязательным использование 2FA для оплаты в целом или для оплаты больше определенной суммы.

0
nadavvadan 27 Сен 2018 в 10:58

Банки получают это двумя способами: после отправки платежа а) пользователь перенаправляется на экран окончательного подтверждения (без пароля) ИЛИ б) непосредственно перед отправкой платежа пользователь должен повторно ввести пароль.

Мы протестировали последний вариант, и он работает хорошо, потому что наши пользователи чувствовали, что это дает дополнительное ощущение безопасности, даже несмотря на то, что при входе в систему пароль снова не требовался.

Я видел первый вариант с некоторыми банками, которые я использую, и он мне тоже нравится. Я думаю, что любой вариант дает пользователю ощущение дополнительной безопасности TBH

0
colmcq 27 Сен 2018 в 15:05