Mejores practicas de usabilidad para restablecer contraseñas

¿Alguna vez has tenido que cambiar tu contraseña?

Puedo asegurar que si. El número de aplicaciones que utilizamos sigue creciendo al igual que la cantidad de accesos que debemos recordar.

Una verdad casi absoluta es que la gente solo cambian sus contraseñas por dos razones, quieren una nueva o se les olvidó la que tenían.

Una encuesta realizada por Centrify, una compañía que se dedica a la gestión de contraseñas dio como resultado que la gente cree que olvidar su clave de acceso es aún más molesto que perder sus llaves, que se les descargue el celular o recibir correos spam. Es por eso que según una encuesta realizada por Telesign una empresa que trabaja con identidad móvil, el 47% de las personas confesó que tienen la misma contraseñas desde hace más de 5 años y 3 de cada 4 las duplica en las diferentes cuentas que tiene, lo que representa un grave riesgo a su seguridad.

Entonces, después de saber esto surge la siguiente pregunta ¿cuáles son las mejores practicas para que recuperar una contraseña deje de ser frustrante?. Esta pregunta podría tener las siguientes respuestas:

1- No usar contraseñas

Esto no quiere decir que no existirá una forma de comprobar la identidad de quien inicia sesión, más bien se refiere a utilizar la facilidad de poder ingresar con sus cuentas de redes sociales. La opción de usar correo y contraseña siempre debe estar pero dejando como primeras opciones loguearse con cuentas que ya tienen creadas, esto evitará varios dolores de cabeza después.

Por supuesto esto no aplica para todos los casos. Aplicaciones que manejan datos muy importantes deben tener la forma más segura de ingresar, como el internet banking por ejemplo. Recuerda que tu rol como ux designer no es que sea más fácil sino que sea mejor.

Si tus usuarios no usan contraseña nunca la van a olvidar y si nunca la olvidan nunca tendrán que recuperarla.
Roll safe

2- Recuperar la cuenta a través del correo

Esta es la forma más común y funciona más o menos de la siguiente manera: Una vez el usuario indica que olvido su contraseña, se le pide que introduzca su correo electrónico y se comprueba que ese correo exista en la base de datos, se le envía un correo con un link para que ingrese su nueva contraseña y se le confirma nueva vez por correo que su contraseña ha sido restaurada con éxito.

Aparentemente es la forma mas fácil y sencilla de hacer este proceso pero en este caso queda abierta la posibilidad de que el usuario por error introduzca un correo diferente al que utilizó para crear la cuenta. Si ese correo no se encontró en la base de datos deberá mostrar un mensaje indicando que no hay ninguna cuenta con este correo. El problema es que si este mensaje no aparece queda dicho de forma implícita que la cuenta si existe por lo que se esta exponiendo una información confidencial.

SOLUCIÓN

No des un feedback inmediato de si la cuenta es real o no, si el correo no se encontró en la base de datos envía un mensaje a esa dirección indicando que ese correo se utilizó para recuperar una contraseña pero que no existe ninguna cuenta con este, ademas incluye instrucciones alternativas como contactar a soporte técnico.

Esto quiere decir que se enviaran dos tipo de mensajes, cuando el correo ingresado pertenezca a una cuenta se envían las instrucciones regulares de lo contrario se procede con lo que había mencionado anteriormente. Este método ayudara a comunicarle al propietario real de la cuenta sobre el error que ha cometido o será alertado de un intento de robo de cuenta a la misma vez que se protegen los datos de los usuarios.

Recomendaciones

  • Hagas lo que hagas siempre piensa en la usabilidad y no utilices cosas como un captcha o algo así.
  • Nunca envies una contraseña por correo. En el mensaje que reciben los usuarios solo debe aparecer un enlace e instrucciones, más información seria un riesgo.
  • El enlace para restablecer la clave de acceso debe ser temporal y seguro. se debe generar una url distinta para cada petición de este tipo, ademas de tener una fecha de vencimiento.
  • El correo que se envíe debe parecer seguro. Este tipo de mensajes donde se habla hasta de robo de identidad son los correo de phishing por excelencia pero cuidando los textos, la apariencia e incluyendo contenido de valor puede generar más confianza en los usuarios.
  • El correo debe llegar rápido. Existe una regla general de que si un correo tarda mas de 20 segundo en llegar es lento y recuerda que quien solicita un cambio de contraseña es porque quiere ingresar en ese momento por lo que esperara recibir ese correo casi inmediatamente.
  • El asunto debe ser claro pero no alarmante. Si bien es cierto el contenido del correo es lo mas importante pero el asunto es lo primero que los usuarios van a leer por lo tanto es necesario ser precisos. No hay que utilizar mensajes como “Alguien intento cambiar tu contraseña, ¿Eres tu?”, un asunto simple como “Instrucciones para recuperar contraseña” demostrara que tienes todo bajo control y que nadie debe perder la cabeza.
  • La reglas deben ser claras. El usuario debe saber que ese enlace que estas enviando va a expirar en 24 horas 0 en 10 minutos pero quede claro.
  • Demuestra que sabes de lo que estas hablando. Incluye información que solo alguien que esta pendiente de la seguridad de sus usuarios sabría, como el sistema operativo de quien hizo la solicitud, desde que navegador o la dirección IP.
  • Siempre ofrece alternativas. No sabes que tipo de usuario esta leyendo tu correo así que a parte de dar un enlace deja la posibilidad de contactar por correo o teléfono a una persona que sirva de soporte para realizar el proceso.

Gracias por leer este post. Si llegaste hasta aquí probablemente te gusto así que haz clic en el corazón y déjame saber tu opinión en los comentarios.