我们的大规模校验可用性测试表明16%的电子商务网站在结账时使用验证码,或在执行与帐户相关的任务时向用户提供验证码。
虽然实施验证码可能有充分的理由,例如,为了防止自动或手动暴力攻击,确保是真正的用户执行多次登录尝试或密码重置,验证码会受挫几乎所有用户,因为他们很难输入,因为我们发现大约8.66%的用户会第一次输入错误(如果CAPTCHA区分大小写,则为29.45%)。
事实上,我们的研究结果表明,无论验证码实现得多么完美,都会在一定程度上导致销售额损失因此,我们从不推荐从可用性角度来看验证码。但是,如果你发现自己处于真正需要验证码的情况下(或者没有验证码根本不在项目范围内)需要注意的几个问题确保验证码引起的问题尽可能少。
此外,一些电子商务网站反而应用了另一种安全措施,我们在测试中发现这种措施更具破坏性:临时帐户锁定。
在本文中,我们将讨论测试结果来自与验证码相关的结帐可用性研究:
- 典型CAPTCHA故障率
- 为什么账户锁定不是解决方案(它们甚至比验证码更糟糕)
- 提高验证码可用性的三种方法(如果您确实需要使用)
(注意:本文专门从电子商务角度介绍验证码。)
验证码的故障率为8-29%
为了保护用户信息,网站经常使用安全措施例如,设置最低密码要求,限制密码尝试,不告诉用户登录尝试中的电子邮件或密码是否错误,或者使用验证码。
在我们的定性可用性测试中,只有66%的用户第一次成功进入验证码。有人想知道亚马逊,“嗯,这是9还是L?”另一位讽刺地说,“那么,当你必须键入其中一个时,它总是很好。现在你可以看到它所说的内容,但我经常认为你不能。”
然而,我们在定性可用性测试中观察到,虽然这些措施旨在阻止机器人和数百次手动尝试,但实际上也会导致用户放弃有效登录和购买尝试。
在电子商务中,验证码主要用于密码重置期间或大量登录尝试时的额外安全措施——我们的基准测试表明,在收入最高的50家电子商务网站中,16%的网站使用验证码。
为了更定量地评估验证码对用户登录现有帐户和下单能力的影响,除了定性检验测试环节之外,我们还委托了一个定量研究。在我们的定量验证码研究中,1027名受试者(与美国互联网用户群相匹配的受试者人口统计学组合)被显示上述两种验证码(取自亚马逊的密码重置验证码),并被要求键入与两个单独页面上所示完全相同的字符。
当查看拼写错误和大小写错误时29.45%1027名受试者中,没有完成每个验证码。如果忽略大小写错误,平均拼写错误率为8.66%.
因此,得到第一个验证码错误的8.66%的用户将得到第二个验证码。假设用户在第一次和第二次尝试中表现大致相同,这也意味着大约0.75%的用户将连续两次错误验证码。根据我们的定性可用性测试观察,连续两个验证码出错的用户很可能会放弃电子商务网站。
同样令人震惊的是1.47%的受试者被遗弃在调查结束时向CAPTCHA提交一份更大的激励性调查。这些受试者甚至没有尝试填写验证码,尽管他们完成了80%的调查,只是错过了两个验证码才有资格获得金钱补偿。
这些结果的潜在影响显而易见。虽然验证码很可能会让接近100%的网站用户感到沮丧,但大约8%的用户必须输入两次,最重要的是,向用户提供验证码可能会导致1+%的放弃,即使用户有强烈的完成愿望。
比验证码更糟糕-帐户锁定
“嘿,什么……噢,我们该怎么办?它以前从来没有这么做过。我总是尝试10种不同的密码。见鬼……”一名受试者在仅仅三次输入密码(第一张图片)后就被锁定在ASOS帐户之外(第二张图片)。
虽然验证码本身会导致一定程度的放弃,但测试显示,一些网站使用的验证码甚至更多积极的安全措施这导致了更多用户的放弃&帐户锁定。
当用户在特定时间段内提交了指定次数的错误密码时,经常会发生帐户锁定。达到尝试次数阈值后,用户将被禁止在指定的时间内访问该帐户(尽管有时他们可以重置密码以重新访问该帐户)。
“我会输入一个密码。我有多个密码。这取决于它的重要性。在Wayfair这样的网站上,它只是一个简单的代码,因为它不是PayPal或我的电子邮件帐户,或类似的东西。”用户通常希望为他们认为“中等”重要性的电子商务网站重复使用标准密码,如Wayfair公司.
正如我们在密码要求文章,过于严格的密码要求是用户忘记某个站点的密码的直接原因,因此最终尝试多个不同的密码,从而触发帐户锁定。
问题在于,用户依赖于几个“标准”密码,这些密码可以跨多个电子商务网站重复使用。当用户因为严格的密码要求而被迫放弃使用标准密码时,他们以后会非常容易有困难记住它,因此,在随后的访问中经常会遇到登录问题。
在我们的测试中,我们发现尝试登录亚马逊和ASOS等站点的个人帐户的用户有一个18.75%的退房率,这都是由于忘记了密码,然后出现了“密码重置电子邮件”问题。
因此,由于严格的密码要求导致的问题,一些用户在使用正确的密码登录之前(或如果)需要多次尝试。然而,在尝试了几次之后,将用户锁定在其帐户之外阻止他们结账而且几乎肯定会导致遭遇帐户锁定的用户失去销售额。
这种激进的帐户保护应该谨慎使用,验证码通常比完全限制用户访问更合适,尤其是在密码尝试总数合理的情况下(例如,在测试中,我们观察到一些持久用户可以有效地尝试10-20次密码)。虽然验证码很烦人并会导致错误,但如果用户真的想继续,那么它们最终是可以解决的,而临时帐户锁定则不行。
使用验证码时应避免的三个具体问题
由于CAPTCHA引起的摩擦,现场应仔细评估CAPTCHA是否必要,并在可能的情况下避免完全使用CAPTCHA。然而,如果有必要使用验证码,以下三种方法被认为是减少用户挫折感和摩擦的关键:
在梅西百货CAPTCHA强制用户区分大小写字符,我们的测试表明这将使用户的错误率提高300%。
1)验证验证码时,切勿区分小写字母和大写字母在我们的定量研究中发现,区分大小写会使失败率增加300%以上。失败次数的显著增加表明,用户通常认为他们不必匹配显示的验证码外壳。此外,在带有触摸键盘的移动设备上键入外壳更困难。
在新蛋,任何输入验证码的错误也会清除电子邮件字段中的输入。
2)当CAPTCHA输入错误时,不要清除其他字段。如果用户的验证码错误,请仅重新加载验证码,并确保用户不必再次填写页面上的其他表单字段。换句话说,键入的密码、信用卡号码、电子邮件地址等必须保持不变。
3)只要求用户在整个浏览会话中键入一次验证码例如,如果页面上其他地方出现验证错误,但验证码已正确完成,则不要在每次新请求时都显示新的验证码(为了安全起见,它只能每隔5-10个请求重新显示一次)。
使用验证码时要格外小心
鉴于CAPTCHA向结帐过程引入的问题,以及销售损失的必然性,考虑验证码的替代品。
在最基本的层面上,这些包括要求用户完成简单的任务或识别简单的图像,或使用reCAPTCHA等服务。只要确保这些安全障碍对于真正想下单的用户来说是可以解决的,这样就不会完全阻止用户下单(就像临时帐户锁定一样)。
但请注意,任何中断用户并期望他们完成与签出无关的任务的工具都会对他们的体验产生负面影响。无论安全障碍实施得多么完美,都会导致一定程度的销售损失。
无论选择何种安全措施,都应通过与其他结帐流程的牢固集成,通过以下方式,将它们引起的结帐摩擦降到最低
- 确保当用户未能通过安全措施时,不会清除页面其他地方的表单字段输入和选择,以及
- 如果用户在页面的其他地方有正常的表单字段验证问题,请确保不必重新完成安全措施。
本文仅介绍了Baymard中650+用户体验指南中的一项研究结果——获得完全访问权限学习如何创建“最先进”的电子商务用户体验。
