Перед запуском интернет-магазина придется решить вопрос с тем, как пользователь будет создавать учетную запись и входить в личный кабинет. В статье разберу решения, которые сделают процесс входа и регистрации проще и удобнее для пользователей и выгоднее для компании, а также коснусь правок закона об авторизации, отсрочка от соблюдения требований которого закончится в январе 2025 года.
Изменения в федеральном законе
Еще недавно было много вопросов по поводу правок, внесенных в Федеральный закон «Об информации, информационных технологиях и защите информации» в июле 2023 года. Пользователи и СМИ восприняли закон как запрет на использование иностранной почты (например, gmail) в качестве логина для входа на сайты.
На деле же закон касается только зарубежных систем авторизации, или SSO, позволяющих заходить на сайты через учетную запись сторонних экосистем (Apple ID, Google ID и другие).
Иностранную электронную почту как и ранее можно использовать для входа и регистрации, поскольку в этом случае весь процесс происходит на стороне российского сайта, где хранится электронная почта (логин) и пароль.
Сейчас штрафов за нарушение не предусмотрено. У владельцев сайтов есть время до того, как все требования к российскому контролю над системами авторизации вступят в силу 1 января 2025 года.
Согласно законодательству, владельцы веб-ресурсов в РФ, где необходима идентификация пользователей, обязаны осуществлять этот процесс одним из вариантов:
По номеру мобильного телефона;
Через ЕСИА (госуслуги);
Через ЕБС (платформа с биометрическими данными);
С помощью иной информационной системы, которой владеет гражданин России без второго гражданства или российское юрлицо (например, VK ID и Яндекс ID).
С 1 сентября 2022 года, а также с 1 марта 2023 вступили в силу поправки в закон о персональных данных (152-ФЗ). К ПД относятся ФИО, контактные данные, дата рождения и другие данные, по которым человека можно опознать. Согласно закону интернет-магазин не может обрабатывать и хранить данные без явного согласия покупателя.
За несоблюдение требований (например, если не уведомили Роскомнадзор о начале сбора ПД или храните данные на иностранных серверах) назначается штраф. Даже если сразу после сбора вы удаляете данные, это все равно попадает под закон о персональных данных.
Чтобы избежать нарушений и объяснить пользователю, зачем собираются данные, следует разместить на сайте политику конфиденциальности, и если собираете информацию о посещениях сайта, уведомить пользователей об этом, например, разместив согласие на использование cookies.
Разберу несколько решений, как упростить пользователю вход и регистрацию на сайте, сделать эти процессы безопаснее и соблюсти требования законодательства.
Сценарии аутентификации и регистрации в интернет-магазине
Социальные сети и Системы авторизации (SSO)
Вход через соцсети позволяет пользователям входить в систему, используя свои учетные записи в социальных сетях, например, в Одноклассниках. Это сокращает количество шагов при входе, позволяет минимизировать количество полей для заполнения при регистрации и избавляет пользователей от необходимости запоминать много паролей.
Благодаря социальной идентификации интернет-магазин получает доступ к персональным данным, может использовать информацию о предпочтениях покупателей для рекламных предложений.
В случае входа через SSO пользователи входят на сайт с помощью одной учетной записи. Как говорил ранее, теперь вход на сайт с помощью информационной системы возможен, если системой владеет гражданин России без второго гражданства или российское юрлицо. Например, с помощью Яндекс ID. У этих систем миллионы пользователей, которые смогут моментально заходить на сайт без ввода пароля.
Используйте этот способ как дополнительный, поскольку не у всех есть аккаунты в соцсетях и других системах авторизации. Некоторые могут не захотеть привязывать свой аккаунт или забыть, через какую соцсеть регистрировались ранее, если на сайте указано несколько соцсетей для входа. Также есть риск, что пользователь потеряет доступ к соцсети или удалит аккаунт, тогда он не получит доступ и к вашему сайту.
Одноразовые коды и мобильная аутентификация
Преимущества беспарольного входа — отсутствие необходимости запоминать пароль, снижение рисков потери или кражи пароля, что тем самым повышает безопасность входа.
Речь идет об аутентификации и регистрации с использованием одноразового числового кода, который генерируется автоматически и отправляется пользователю на телефон через SMS, на email или как звонок-сброс, из части номера телефона которого нужно ввести набор цифр для входа.
E-mail. Менее надежным является способ получения кода на электронную почту, поскольку есть риск взлома e-mail или попадания письма в спам. Среди пользователей наблюдается устойчивая тенденция отказа от входа по электронной почте в пользу использования номера телефона, поскольку это быстрее. Если покупка совершается со смартфона, неудобно менять окна для перехода с сайта на e-mail и обратно. Но способ все еще актуален, не стоит сбрасывать его со счетов.
Мобильная аутентификация. Вы можете объединить вход и регистрацию в единый для всех вход по номеру телефона (через сообщение или звонок-сброс). При вводе номера система сама определит, новый это пользователь или ранее зарегистрированный. Рассмотрим эти варианты:
SMS. Достаточно ввести код, полученный в SMS. Для бизнеса единственным недостатком способа аутентификации по SMS являются дополнительные расходы на отправку SMS-сообщений.
Аутентификацию по звонку. Это менее дорогостоящий способ по сравнению с SMS-рассылками, и более быстрый, чем получение кода на электронную почту. Пользователю приходит звонок с виртуального номера, ему нужно лишь ввести код — последние 4 цифры этого номера.
Также есть обратный звонок, когда пользователь не вводит свой номер телефона, а сам совершает звонок на виртуальный номер и автоматически авторизуется. Это быстрее, чем ввести код, но не каждый пользователь захочет звонить сам.
Чтобы обеспечить удобство мобильной аутентификации по SMS или звонку от компании, сделайте понятным ввод номера и кода подтверждения:
Покажите, в каком формате нужно ввести номер. Пользователю сложнее будет допустить ошибку, если мы сразу покажем, в каком формате хотим видеть номер. К тому же это позволяет хранить номера в едином виде. Даже если пользователь ошибся и начал вводить с цифры “8”, реализуйте в системе запрет на ввод первой цифры “8” с помощью маски.
На экране ввода кода покажите, на какой номер отправлен код, чтобы еще раз убедиться, что номер введен без ошибок. Также покажите, сколько символов нужно ввести на экране ввода кода.
Добавьте счетчик. Пользователь видит, сколько секунд осталось до возможности отправки нового кода. Не заставляйте ждать по несколько минут, чтобы запросить код повторно.
Еще один способ беспарольного входа — через push-уведомления. Хотя способ дешевле, чем рассылки SMS, для этого пользователю придется скачивать мобильное приложение, а если у него нет интернета, он не получит уведомление.
QR-коды
Вход через QR-код происходит следующим образом: система на сайте генерирует QR-код, пользователь сканирует QR-код с помощью смартфона, система проверяет информацию, содержащуюся в QR-коде, и идентифицирует пользователя без необходимости вводить логин и пароль.
С помощью QR-кода можно приводить клиентов из офлайна на страницу регистрации в интернет-магазине. Например, чтобы стимулировать покупателя перейти на сайт и объяснить ему, зачем сканировать код, можно указать скидку или бонус за регистрацию и наклеить код в примерочной офлайн-магазина, который приведет на страницу входа.
Отсканировать QR-код проще, чем вводить ссылку вручную, а сгенерировать код в конструкторе займет пару минут.
Госуслуги (ЕСИА)
Такой способ подходит для ресурсов, где нужна точная идентификация пользователей и высокая безопасность, например, для порталов, связанных с недвижимостью и покупкой и арендой автомобилей, сайтов отелей и гостиниц, банков, медицинских учреждений.
Аутентификация через госуслуги помогает избежать мошенничества и обезопасить свой ресурс и данные пользователей, так как в учетной записи ЕСИА содержатся все сведения о ее владельце – от ФИО до номера СНИЛС.
Что касается интернет-магазинов, наиболее подходящим вход через госуслуги будет для интернет-магазинов b2b-сегмента. Это позволит получать необходимую информацию о покупателе или о компании, дает возможность дальнейшей автоматизации процессов в ИМ (например, подписание документов, счетов через электронную подпись). Способ входа через госуслуги упрощает оформление заказа и заполнение данных, вызывает доверие у пользователей и ускоряет вход клиента в системе.
В сегменте b2c тоже есть плюсы такого способа входа: например, безопасность, возможность получить рассрочку или кредит, автоматически заполнить данные в анкетах. Но пользователи опасаются вводить данные от госуслуг на сторонних площадках (как и использовать ЕБС). Поэтому тщательно взвесьте, нужен ли вашей компании такой способ.
Чтобы внедрить вход через ЕСИА, должно быть безопасное подключение https (желательно с сертификатом безопасности от МИНцифр https://www.gosuslugi.ru/tls), качественный сайт с точки зрения дизайна и разработки. Для подключения входа через госуслуги можно использовать готовый модуль или самостоятельно разработать модуль авторизации по API.
Гостевой доступ
Важная функция в интернет-магазине, особенно для розничных покупателей, которые часто делают импульсивные покупки и которым важна скорость оформления заказа, чтобы не тратить время на заполнение данных (контакты, адрес и тт)
Чтобы не потерять клиентов и повысить конверсию, предоставьте им вариант совершить покупку без регистрации. Пусть для розничных покупателей регистрация будет добровольным этапом.
Предоставьте возможность совершать покупки и добавлять товары в избранное без принудительной регистрации, с возможностью зарегистрироваться после завершения покупки (чтобы могли отслеживать заказы).
Однако в процессе оформления заказа они все же могут заполнить информацию о себе. Таким образом, вы можете зарегистрировать их автоматически.
Комбинируйте разные способы входа на сайт
Мы назвали несколько способов, как сделать вход на сайт быстрее и безопаснее. Но одного канала связи может быть недостаточно. Стоит оставить возможность выбора варианта регистрации/входа, чтобы пользователь мог войти удобным для себя способом, а вы не потеряли часть потенциальных заказов.
Например, если человек не является активным пользователем интернета и у него нет эл.почты, предоставьте ему возможность войти на сайт по номеру телефона. Для тех, кто не использует соцсети, оставьте возможность регистрации и входа по номеру телефона или e-mail.
Но не добавляйте все известные способы, иначе человек может забыть, каким образом он регистировался ранее. Оставьте только те решения, которые наиболее удобны для клиентов и безопасны.
Как улучшить юзабилити входа и регистрации
Объедините логин и электронную почту
Как правило, пользователи не помнят свои логины, им проще вспомнить адрес электронной почты, поскольку чаще всего они везде используют один и тот же e-mail. К тому же это сократит количество полей в форме регистрации и входа.
Дайте возможность увидеть пароль, который ввел пользователь
Разрешите просматривать символы в поле «пароль», чтобы проверить правильность пароля до отправки формы. Также это позволит убрать дополнительное поле для проверки пароля и пользователю не нужно будет вводить пароль дважды.
Сообщите, если логин уже занят
Возможно, пользователь ранее регистрировался, но забыл об этом. Предложите ему вспомнить пароль для указанной почты / номера телефона.
Не блокируйте учетные записи при многократном неверном вводе пароля
Это может привести к потере продаж. Дайте возможность пользователю ввести разные комбинации, чтобы вспомнить пароль. Если пароль не подойдет, предоставьте возможность его восстановить
Не удаляйте все данные в форме при ошибке
Пользователь может ошибиться всего в одном символе, и если “стереть” логин и пароль из полей заполнения, ему придется вводить их заново.
Объясните, что произойдет после ввода номера или почты
Не все люди являются активными пользователями интернета. Объясните, что после ввода номера или почты пришлете код подтверждения, чтобы у пользователя не было сомнений.
7. Говорите на языке пользователя, чтобы обеспечить максимальное понимание информации
Вместо терминов стоит использовать более простые и понятные слова, например, не «авторизация», а «вход». Это поможет пользователям чувствовать себя комфортно и уверенно при работе с сайтом.
8. Сделайте кнопку восстановления заметной
Разместите кнопку на видном месте, чтобы пользователь легко восстановил доступ
9. Расположите иконку входа так, чтобы она всегда была доступна
Чтобы избежать лишних поисков формы входа на сайте, рекомендуется размещать форму в привычном месте — в правом верхнем углу. Это позволит пользователям войти на сайт без задержек и неудобств.
10. Запоминайте позицию пользователя
После входа или регистрации важно вернуть пользователя на ту страницу, где он находился, чтобы он мог продолжить покупки и завершить начатое действие, а не искать заново нужный раздел или товар. Реализуйте форму входа в модальном окне или в выпадающем меню без перехода на страницу входа/регистрации.
11. Пишите тему письма, отражающую его содержание
Когда пользователь забывает пароль, он ждет письмо с руководством по восстановлению пароля. Чтобы пользователь быстро нашел письмо, отразите суть письма в его теме. Например, «Восстановление доступа к учетной записи». Также важно указать название ресурса в поле отправителя.
12. Избегайте использования капчи
Исследования показывают, что капча может отпугнуть пользователей и привести к потере покупателей. Если все-таки необходимо использовать капчу, убедитесь, что символы в ней читаемы, не требуется учитывать регистр букв и запрашивать ввод несколько раз за сеанс.
13. Указывайте конкретную ошибку
Если пользователь ввел данные неверно, укажите в чем именно он ошибся — в логине или пароле.
14. Реализуйте возможность оставаться в системе на длительное время без необходимости повторного входа.
Запоминайте пользователя в течение нескольких дней. Если человек авторизовался на сайте, не требуйте его вводить пароль каждый раз при входе. Это удобно для пользователей, особенно для регулярных клиентов. Для безопасности требуйте ввести пароль при вводе данных платежной карты.
15. Адаптируйте дизайн форм регистрации под все типы устройств
Использование адаптивных форм, которые подстраиваются под тип устройства пользователя (мобильные, планшеты, ПК), повышают удобство использования на всех устройствах.
От того, насколько удобна регистрация и вход в интернет-магазине напрямую зависит конверсия. Как видите, есть различные способы и решения, которые помогут значительно улучшить процесс аутентификации и регистрации и сделать его более привлекательным для пользователей, снизить риски утечки паролей, повысить уровень защиты информации и персонализировать маркетинговые предложения.
Комментарии (8)
Apoheliy
26.06.2024 13:48+1Как улучшить юзабилити ...
например, пользоваться правильной терминологией.
И вместо "Авторизация" в большей части текста статьи использовать "Аутентификация". Если от слова аутентификация сводит челюсть, то есть варианты на замену: "Идентификация", "Вход". Также:
Аутентификация — это сам процесс проверки подлинности пользователя, чтобы убедиться, что он является тем, за кого себя выдает. Для аутентификации пользователи могут вводить логин и пароль, биометрические данные или другие методы идентификации.
Авторизация — это процесс проверки прав доступа пользователя к определенным ресурсам или функциям. Он проводится после успешной аутентификации.
Maxim_Q
26.06.2024 13:48+1Если мой сайт оказывает платные услуги для россиян и сайт размещен на зарубежном VPS то это считается что нарушаю закон или нет? Можно ли считать что я храню ФИО и почту своих клиентов заграницей и нарушаю закон?
Чтобы было понятно почему у меня возник этот вопрос вот cтатья 18. Обязанности оператора при сборе персональных данных, пункт 5:
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Webest Автор
26.06.2024 13:48Тема, конечно, для отделной беседы, но все же.
Для начала стоит разобраться, что считать персоанльными данными. ФИО + почта под это вполне подходит, так как можно идентицифировать человека.
Далее закон четко говорит о том, что данные россиян должны храниться в РФ, ведь даже крупные игроки это делают. Отвечая на ваш вопрос, вероятно да, вы нарушаете закон.
Для решения проблемы рекомендуем завести сервер в РФ и дублировать туда данные или хранить их только там, формально достаточно для исполнения закона.
nezdhanov
Авторизация через QR-код происходит следующим образом: система на сайте генерирует QR-код, пользователь сканирует QR-код с помощью смартфона, система проверяет информацию, содержащуюся в QR-коде, и авторизует пользователя без необходимости вводить логин и пароль.
А распознавать на стороне клиента должно приложение с уже пройденной авторизацией?
CrookedArms
Меня вымораживает способ авторизации через qr код. Когда с телефона смотришь сайт и тебе предлагают qr код. Это еще один смартфон доставать что-ли?
nezdhanov
Сплошная безопасность… На одном судя по всему контент смотрим, другим авторизацию проходим, чтобы пароль от госуслуг не увели. Прям какой-то мульти токен получается:)
Webest Автор
Да соверешено верно, приложение через которое входим, должно быть с пройденой авторизацией. Часто это отдельный сервис вроде Я.Ключ