Чтобы пользоваться сайтом, приложением или даже государственным сервисом со всеми его возможностями, нужно зарегистрироваться и авторизоваться. Это аксиома. Поэтому перед владельцем любого сервиса встает закономерный вопрос, как сделать процесс авторизации простым, понятным и безопасным для пользователя, но при этом надежным и по возможности не слишком затратным для реализации. Мы в Nextner перебрали немало способов авторизации для разных проектов и решили сделать подробный обзор. Без рейтингов, без советов – просто разложить по полочкам то, с чем столкнулись сами.
По классике: через e-mail
Регистрация через почту – самый древний, самый проверенный способ. Пользователь вводит e-mail, получает письмо со ссылкой или кодом, переходит – и он в системе. Метод работает десятилетиями, он знаком всем, и в этом его несомненный плюс. А главный минус в том, что почта сегодня есть не у всех. Многие просто не помнят пароль от существующих ящиков, да и с телефона заходить в почту неудобно. Поэтому способ теряет свою популярность – слишком много лишних движений.
СМС и звонки: проверка по телефону
А вот телефон всегда под рукой – удобно, быстро, никаких сложностей. Но и у этого способа есть нюансы. Сегодня СМС-рассылки для подтверждения стали дорогим удовольствием для бизнеса. Операторы берут плату за каждое сообщение, и если у компании тысяча регистраций в день, сумма выходит приличная: стоимость СМС для бизнеса может варьироваться от 3 до 8 рублей, что значительно выше обычных тарифов для физических лиц.
Но уже появилась альтернатива – автоматический звонок (с автоинформатором, называющим цифры, или с номера, последние цифры которого нужно ввести). Это значительно дешевле сообщений. Но именно поэтому сами операторы борются с такой схемой: ресурсы они тратят, а денег не получают. В итоге звонки могут просто блокироваться оператором и не поступать пользователю. Таким образом, при выборе этого способа бизнес сталкивается с проблемой: СМС дорого, а звонки ненадежны.
Госуслуги
Единая система идентификации и аутентификации (ЕСИА) – пожалуй, самый железобетонный способ подтвердить, что пользователь точно тот, за кого себя выдает: его данные проверены, сомнений нет. Но интеграция с Госуслугами стоит немалых денег и требует времени. Для небольшого интернет-магазина или сервиса доставки это избыточно. Обычно такой способ выбирают компании, которым нужны именно верифицированные данные: финансы, госсектор, серьезные b2b-платформы.
Единая биометрическая система (ЕБС)
Такая система тоже существует, для авторизации нужно “предъявить” отпечатки или лицо. Для бизнеса такой способ пока экзотика – слишком сложен. Используют его редко, в основном для доступа к режимным объектам или рабочим местам. Массово внедрять на сайт с пиццей такой способ точно бессмысленно.
Мессенджеры: Telegram и Max
А вот здесь уже интереснее. Telegram в России пока не заблокирован, и остается отличным бесплатным инструментом. Он позволяет создать бот и настроить авторизацию через него – это быстро, удобно, бесплатно и доступно даже для иностранцев.
С Max сложнее. Мессенджер активно продвигается государством, но аудитория пока набирается. И главное – у части пользователей Max вызывает если не отторжение, то настороженность. Не все готовы его устанавливать, некоторые в этом вопросе принципиальны. Ставить авторизацию только через Max – значит отсечь заметную долю потенциальных клиентов. Как дополнительный способ он вполне применим, как основной – вызывает сомнения.
К тому же создать и зарегистрировать бота в Max сложнее, чем в Telegram. Для этого требуется регистрация юрлица, верификация через Госуслуги или банк, заключение лицензионного договора с платформой. Регистрация с модерацией может занять до нескольких дней.
Социальные сети и Яндекс
Еще два бесплатных и рабочих варианта – ВКонтакте и Яндекс.Паспорт. Интеграция реализуется относительно просто. Пользователи получают быстрый вход, а владелец ресурса – достоверные данные о пользователе (имя, почту, иногда – телефон) и возможность анализировать, откуда пришел человек. Для большинства коммерческих сервисов эти способы – золотая середина.
Банки
Некоторые банки предлагают авторизацию через свои системы. Например, T-ID от Т‑Банка позволяет пользователям входить на сторонние ресурсы без заполнения длинных форм: достаточно ввести номер телефона и подтвердить код, остальные данные подтянутся автоматически. Свои решения есть и у Сбера, и у Альфа-Банка, и у ВТБ. Но на практике такие интеграции используют в основном крупные игроки – маркетплейсы, сервисы доставки, сайты с высоким трафиком. Для среднего или малого бизнеса подключение банковской авторизации сложновато: нужны договоренности, соответствие требованиям безопасности, плата за использование. Массового распространения такой способ пока не получил.
Как выбрать способ аутентификации для сайта?
Универсального способа, который подойдет абсолютно всем, не существует. Каждый – это компромисс между удобством пользователя, стоимостью внедрения и глубиной получаемых данных. И у каждого свои нюансы: СМС – дорого, e-mail – неудобно, Госуслуги – сложно, мессенджеры – не универсально, но и свои плюсы.
Самый разумный подход – комбинировать способы авторизации. Дайте пользователю выбор: войти по почте, через Telegram или по номеру телефона. А для особо важных действий (например, оплаты) можно запросить двойное подтверждение.
Как найти идеальный баланс для вашего бизнеса? Смотреть на цифры. Какие способы выбирают чаще? Где пользователи бросают регистрацию? Метрики подскажут, что именно нужно точечно донастроить.
Если у вас есть свой любимый способ авторизации, о котором мы не рассказали, пишите, мы с удовольствием покопаемся в этой теме!
Изображения от Freepik.