Das Ende des Passworts für Verbraucher
Ihre Verbraucher sind eine wankelmütige Zielgruppe. Sie sind aber auch das Allerwichtigste für Ihr Unternehmen, denn ohne Kunden könnte es nicht überleben. Wenn Sie daher in Google nach „guter Kundenerfahrung“ oder vergleichbaren Begriffen suchen, sollten Sie sich nicht über die vielen verschiedenen Ergebnisse wundern, die oft von Softwareunternehmen stammen und Ihnen weismachen wollen, sie hätten das einzigartige Etwas in puncto Kundenerlebnis anzubieten, ohne das Sie nicht auskommen können. Tatsächlich würde es Ihnen schwer fallen, ein Softwareunternehmen zu finden, das auch nur ansatzweise mit Endbenutzer-Interaktionen zu tun hat und sich nicht zur Wichtigkeit von „CX“ äußert.
Angesichts dessen könnten Sie sich fragen, warum ich einen Blog schreibe, um Ihnen zu sagen, dass sich der Punkt „Identität“, und hierbei vor allem das Login, in kritischer Weise auf die Kundenerfahrung auswirkt, wie ich Ihnen im Folgenden erläutern werde:
Die Verbraucheridentität – und als dessen Kernbestandteil die Benutzeranmeldung und -registrierung – ist die Pforte zu Ihrer Marke. Hier hinterlassen Sie den ersten Eindruck beim Kunden, und es folgen weitere bei jeder Interaktion mit Ihrer digitalen Präsenz. Ist der erste Eindruck ein Flop, wird der Kunde die tollen Produkte, Dienstleistungen und Erfahrungswerte, die Sie für ihn zusammengestellt haben, vielleicht niemals kennenlernen.
In den meisten Fällen verfolgt UX mehrere Leitmotive: Weniger Klicks, natürliche Interaktionen, reibungslose Aktionen und ähnliche Faktoren. Es würde Ihren Technikern wahrscheinlich leicht fallen, ein Kundenerlebnis ohne Login zu erschaffen. Damit ließe sich die Überprüfung dieser UX-Boxen erleichtern, und die Benutzer hätten ungehinderten und direkten Zugriff auf das, wonach sie suchen. Aber wie Sie bestimmt schon vermuten, hat dieser Ansatz einige Tücken. Erstens: Das Thema Sicherheit. Häufig müssen Sie persönliche Angaben der Kunden speichern. Das können zum Beispiel Kartennummern sein, Sozialversicherungsnummern oder andere personenbezogene Daten (Personally Identifiable Information, PII). Zweitens: Personalisierung. Eine gute Kundenerfahrung baut im Kern auf der Fähigkeit auf, den Kunden so gut zu kennen, als sei er ein enger Freund. Dies bedeutet, dass man sich Dinge merkt, wie bestimmte Vorlieben.
Der Schlüssel zu beidem ist Ihre Fähigkeit, den Kunden zu identifizieren. Leider muss er sich dafür registrieren und einloggen. Jetzt werden Sie sicher fragen: Wie kann ich meine Kunden mit möglichst geringem Umstand identifizieren?
Könnten sich die Verbraucher nicht einfach ein Passwort merken?
Ach ja, die Passwörter...! Die bewährte Methode der Identifizierung von Personen seit den Anfängen des Internets. Alles scheint so einfach zu sein. Ihre Benutzer sollen sich einfach ein Wort oder einen Satz ausdenken, den nur sie kennen, ihn zusammen mit anderen Informationen eingeben, die sie identifizieren – normalerweise einen Benutzernamen oder eine E-Mail-Adresse – und schon sind sie im System. Dann steht ihnen der Zugang auf ihre Favoriten, Kreditkartennummern und personalisierten Erlebnisse offen.
Wenn es nur so einfach wäre! Leider haben Passwörter aber auch eine Reihe von Nachteilen, sowohl in Bezug auf die Sicherheit als auch auf die Benutzerfreundlichkeit.
In Bezug auf die Sicherheit können Passwortvorgaben sehr tolerant sein und es einem Kunden ermöglichen, ein Passwort einzurichten, das „aaa“ lautet. Es lässt sich leicht erraten und jeder Passwortangriff mit sequenziellem Durchprobieren (Brute-Force-Attacke) wird schnell dahinterkommen. Die Lösung für dieses Problem wäre demnach, die Passwortvorgaben so streng wie möglich zu machen, indem das Passwort einige Sonderzeichen, Zahlen und Großbuchstaben beinhalten muss, und es dem Benutzernamen oder den letzten fünf Passwörtern nicht ähneln darf. Auf diese Weise gewährleisten Sie eine sichere Anmeldung.
Oder, schlimmer noch, Sie bewirken, dass wirklich sichere Passwörter nicht den verlangten Kriterien entsprechen:
Dieses Passwort scheint mir ziemlich sicher zu sein. Es hat 23 Zeichen, enthält eine Mischung aus Sonderzeichen, Zahlen und Buchstaben und unterscheidet sich von den letzten 50 vorherigen Passwörtern. Da es jedoch zwei aufeinander folgende Zeichen aufweist, gilt es als unsicher. Es ist also schwer, gute Passwortvorgaben zu erstellen.
Und selbst wenn Sie die perfekte Passwortvorgabe fänden, wäre sie noch immer nicht bombensicher. Ein Verbraucher muss nur den gleichen Benutzernamen und das gleiche Passwort auf einer anderen, weniger sicheren Website wiederverwenden oder Opfer eines Phishing-Betrugs werden, dann war all Ihr schwieriges Unterfangen, die Sicherheit der Passwortvorgaben in Einklang zu bringen, umsonst.
Und wie steht es um die Anmeldung in sozialen Netzwerken?
Das Einloggen über soziale Medien ist eine großartige Methode für mehr Komfort, und solange es Protokolle wie OpenID Connect und OAuth verwendet, ist es normalerweise recht sicher. Es ist aber nicht für jedermann geeignet. Wenn Sie auf das Login über soziale Median vertrauen, steht am Ende immer ein Passwort, das von Social-Media-Anbietern verlangt wird. Verwendet man es, heißt das, dass man darauf vertrauen kann, dass das Passwort nicht durch die gleichen oben genannten Methoden gefährdet wurde.
Die andere Überlegung geht dahin, dass nicht jeder die sozialen Medien nutzt und man sich daher nicht ausschließlich darauf stützen kann. Es ist herrlich bequem und sollte meiner Ansicht nach Ihren Verbrauchern in den meisten Fälle angeboten werden, aber Sie sollten sich trotzdem Gedanken über eine herkömmliche Anmeldung und Registrierung machen.
Die Multifaktor-Authentifizierung (MFA) ist die Rettung!
Egal, ob Sie sie Multi-Faktor-, Zwei-Schritt- oder Zwei-Faktor-Authentifizierung nennen: Sie gehört zu den einfachsten Möglichkeiten, die Sicherheit beim Einloggen zu steigern. Außerdem wird sie von immer mehr Verbrauchern bevorzugt. Erst diese Woche stieß ich auf einen weiteren Beitrag unter mehreren aktuellen Beiträgen von professionellen Non-Identity-Freunden auf Instagram, die sich mit der Zwei-Schritt-Authentifizierung befassten.
Sie brauchen mir nicht zu glauben – Sie können sich selbst überzeugen. Fragen Sie Ihre Non-Identity-Freunde und Ihre Familie, ob sie MFA kennen. Fragen Sie sie dann, ob sie OAuth (oder andere Identitätsbegriffe) kennen. Ich wette, MFA wird haushoch gewinnen.
Trotz der zusätzlichen Sicherheit hat die Multifaktor-Authentifizierung einige Aspekte, die Sie kennen sollten. Erstens sind Textnachrichten (SMS) und E-Mails nicht die sichersten Optionen. SMS-Einmalpasswörter (OTPs) können relativ einfach durch Methoden wie SIM-Swapping gefälscht werden. E-Mail OTPs bringen uns in der Regel wieder zum gleichen Benutzernamen und Passwort, die durch Phishing, Brute-Force-Attacken oder Passwort-Wiederverwendung gefährdet sind. Das National Institute of Standards and Technology (NIST) und viele andere Instanzen haben diese Schwächen erkannt.
Darüber hinaus sind die Verwendung einer unpraktischen Smartphone-Oberfläche oder das Öffnen einer zusätzlichen E-Mail-Registerkarte, das Klicken auf einen Link und das Öffnen einer dritten Registerkarte, um zur Website zurückzukommen, auf der Sie sich bereits befinden, keine ideale Benutzererfahrungen.
MFA gibt es auch besser und leichter
Es gibt eine andere Methode, um die Multifaktor-Authentifizierung einzubinden, die sowohl sicherer als auch praktischer ist, sofern sie korrekt gehandhabt wird: Push-Benachrichtigungen von einem mobilen Gerät. Anders als die für SMS verwendeten Telefonnummern erlaubt die Verwendung von Push-Benachrichtigungen es Ihnen, sich auf sichere Geräteinhalte zu verlassen, die nicht von Telefon zu Telefon weitergegeben werden und wesentlich schwerer zu fälschen sind. Wenn Sie von Ihren Benutzer verlangen, eine mobile App speziell für MFA von Drittanbietern herunterzuladen, geht das leider wieder auf Kosten des Komforts. Die meisten werden nicht dazu bereit sein.
Es gibt aber Lösungen, die es Ihnen ermöglichen Ihre eigene mobile App für die MFA einzusetzen.
Stellen Sie sich diese unglaubliche Kundenerfahrung vor!
Schließen Sie für einen Moment Ihre Augen, um sich nur einige der wunderbaren Kundenidentitätspraktiken vorzustellen:
Szenario 1
Ihr Kunde kommt auf Ihre Website, um online etwas zu kaufen. Vielleicht tätigt er einen ungewöhnlich kostspieligen Online-Einkauf. Er bekommt eine Push-Benachrichtigung von Ihrer App, die ihm zum Beispiel mitteilt: „Diesen Einkauf von $5,642.45 von Firma X bestätigen?“ Daraufhin kann er per Fingerabdruck oder Gesichtserkennung den Einkauf bestätigen. Keine zusätzlichen Tabs, kein Kopieren eines OTP sondern der Einsatz eines sicheren Geräts anstelle einer SMS oder E-Mail; Sie können sich darauf verlassen, dass es tatsächlich Ihr Kunde ist, der den großen Kauf getätigt hat.
Szenario 2
Was ist, wenn jemand Ihre Kundendienst-Telefonnummer anruft? Ihre Kundendienstmitarbeiter müssen die Kunden identifizieren können. Sie werden normalerweise eine Frage stellen, beispielsweise „wie lautet der Geburtsname Ihrer Mutter“, was mit ein paar Google-Suchen jeder leicht herausfinden kann. Stattdessen könnte Ihr Kundendienstmitarbeiter eine Taste drücken, wodurch auf dem Handy Ihres Kunden Ihre App erscheint und mitteilt: „Ein Kundendienstmitarbeiter versucht, Ihre Identität festzustellen,“ und daraufhin die Verifizierung zulassen oder ablehnen.
Szenario 3
Betrachten wir das gefürchtete Zurücksetzen des Passworts; es gibt keinen Vorgang, der dem Verbraucher lästiger ist. Stellen Sie sich vor, der Kunde müsste nur auf eine Taste drücken und statt auf eine E-Mail zu warten oder einen aufwändigen Vorgang zu durchlaufen, würde auf seinem Gerät eine Benachrichtigung von Ihrer App erscheinen, die fragt: „Möchten Sie das Passwort zurücksetzen?“ Sobald er seine Genehmigung per Fingerabdruck oder Gesichtserkennung gegeben hat, erscheint ein Feld auf dem Bildschirm, in das er sein neues Passwort eingeben kann. Damit kann das Zurücksetzen von Passwörtern mit einem Klick erfolgen. Versuchen Sie einmal, Ihr Passwort auf einer beliebigen Website zurückzusetzen, und zählen Sie die dafür notwendigen Klicks. Wahrscheinlich werden es viel mehr sein als nur einer.
Passwörter abschaffen — und Benutzernamen gleich mit
Sie können sich jetzt fragen, warum wir überhaupt noch Passwörter brauchen, wenn die MFA-Methode doch so sicher und praktisch ist. Die kurze Antwort lautet: Wir brauchen keine! Natürlich bringt jeder zusätzliche Authentifizierungsfaktor mehr Sicherheit für die Login-Praxis, aber Tatsache ist, dass der zweite Faktor, den Sie verwenden – wie z. B. Push-Benachrichtigungen von Ihrem mobilen Gerät — sicherer ist, und ihn zum ersten Faktor zu machen, ist eine legitime Alternative.
Funktionen wie die QR-Code-Authentifizierung können die passwortlose Authentifizierung auf eine ganz neue Ebene heben und den Kunden von der Pflicht entbinden, sich an den Benutzernamen zu erinnern, den sie bei der Anmeldung auf Ihrer Website eingegeben haben. Sehen Sie sich dieses Video an, das Ihnen zeigt, wie einfach und bequem die QR-Code-Authentifizierung sein kann.
Das Tor zu Ihrem Unternehmen
Das Benutzer-Login ist das Tor zu Ihrem Unternehmen. Wenn Sie es nicht richtig angehen, verpassen Ihre Benutzer all die Erfahrungen, die hinter diesem Tor auf sie warten – und Ihnen gehen diese Einnahmen verloren. Es gibt einige wirklich erstaunliche Möglichkeiten, die den Benutzern während der Anmeldung und Registrierung zur Verfügung gestellt werden können. Durch die Nutzung dieser Vorteile erringen Sie einen klaren Wettbewerbsvorteil, zusätzliche Sicherheit und hinterlassen bei Ihren Kunden ein ums andere Mal einen großartigen Eindruck. Aus diesem Grund ist der Aspekt der Identifizierung für die Kundenzufriedenheit so entscheidend.
Erfahren Sie mehr über die fantastischen Benutzererfahrungen, die durch die Einbindung von MFA in Ihre eigene personalisierte Mobile App möglich sind.