Hoe ziet een goede inlogpagina eruit?
Een goed inlogscherm is simpel en makkelijk te begrijpen. De focus ligt op twee invoervelden: één voor het e-mailadres (vroeger was dit vaak de inlognaam) en één voor het wachtwoord.
Daaromheen zijn er twee links essentieel die een gebruiker op weg helpen die het even kwijt is. De eerste link verwijst naar de registratiepagina, zodat een nieuwe bezoeker die per ongeluk op de inlogpagina is beland, daar een account kan aanmaken.
De tweede link kan heel kort zijn: “Wachtwoord vergeten?”, als dit maar een duidelijke link is. Een duidelijke link is blauw, dikgedrukt, onderstreept of een combinatie van dit alles. Probeerde je daar nu op te klikken? Dan leek het dus een goede link. 🙂
Wachtwoord vergeten?
Dit is essentieel. Met 30+ accounts op verschillende websites is het onthouden van een wachtwoord voor veel mensen een crime. (Een goede oplossing daarvoor is natuurlijk een dienst als LastPass, maar veel mensen kennen dit nog niet).
Houd het simpel. Een bezoeker hoeft alleen het e-mailadres op te geven en krijgt vervolgens een e-mail met daarin een link waarmee ‘ie het wachtwoord opnieuw in kan stellen. Geef de bezoeker vervolgens de keuze om zelf het eigen wachtwoord te kiezen, anders is gegarandeerd dat ‘ie het wachtwoord de volgende keer weer vergeten is.
Wat is trouwens een goed wachtwoord?
Lees dit andere blog als je meer wilt weten over de keuze van een wachtwoord.
Belangrijk is dat je systeem afdwingt dat de gebruiker een sterk wachtwoord gebruikt. “Welkom01″, “1234″ en “wachtwoord” zouden allemaal niet door de selectie moeten komen. Hier een lijst met de meest gebruikte (en dus veel te makkelijk te raden) wachtwoorden die niet zouden moeten mogen.
Tegelijkertijd wil je niet te veel rare eisen stellen zodat de gebruiker niet het idee heeft door een brandende hoepel te moeten springen: minstens x letters, niet 2 keer dezelfde tekens, etcetera. De Belastingdienst maakt er een puzzel van om überhaupt een geldig wachtwoord te verzinnen:
Wederom, LastPass is hier je vriend en suggereert ook zelf moeilijk te raden wachtwoorden.
Wat is dan wel een goede eis? Ten minste acht tekens, tenminste 1 niet-letter, en het uitsluiten van te gemakkelijk te raden wachtwoorden zoals de gebruikersnaam of de lijst hierboven.
Een goed alternatief waarmee de gebruiker geen wachtwoord hoeft te onthouden (hoezee!) is het inloggen met Facebook.
Inloggen met Facebook
Hoe werkt dit? Op de website toon je een knop: Inloggen met Facebook. Een gebruiker die inlogt via Facebook wordt dan automatisch ingelogd op jouw website. Ik heb het hier even alleen over Facebook, maar hetzelfde geldt voor Google: je kunt gebruikers ook laten inloggen via hun Google-account.
Let op: niet iedereen gebruikt Facebook of wil Facebook gebruiken. Het inloggen via Facebook is dus altijd een aanvulling op het eigen inlogsysteem.
Belangrijk voor de technische koppeling is dat je een bezoeker bij eerste registratie direct vraagt of hij via Facebook wil inloggen. Via Facebook wordt het e-mailadres opgevraagd, een wachtwoord voor jouw website moet de gebruiker zelf kiezen (het wachtwoord is handig in het geval dat de gebruiker stopt met Facebook – zo kan hij nog steeds blijven inloggen.)
Dit brengt me op het volgende punt:
Inloggen met e-mailadres of inlognaam?
Van oudsher log je in met een gebruikersnaam. Dit is een door jou gekozen naam. In mijn geval is dit eigenlijk altijd wimfeijen, maar heel vroeger gebruikte ik ook sneeuwpanter. Het hele idee van inloggen met gebruikersnaam stamt van voor de tijd dat het concept van een e-mailadres überhaupt bedacht was (sterker nog, de eerste e-mailadressen waren alleen gebruikersnamen.)
In plaats van een inlognaam zou je om een e-mailadres kunnen vragen. De eerste vijf diensten die ik opzocht doen het zo: Amazon, Facebook, Google, Instagram, Trello. Ik raad aan om dit goede voorbeeld te volgen.
Wat is het voordeel hiervan? Een bezoeker hoeft niet een gebruikersnaam te onthouden en het e-mailadres is sowieso een must vanwege alle communicatie en de mogelijkheid om het wachtwoord te resetten. Hier geldt de algemene regel: Iedere stap die het leven van de gebruiker makkelijker maakt is een goede stap.
Overigens snoept Trello van twee walletjes: die vraagt om het e-mailadres of de gebruikersnaam. En de andere vier diensten doen nog iets bijzonders, namelijk het:
Inloggen met een telefoonnummer
Ga er maar vanuit dat dit de nieuwe gouden standaard wordt in het inlogproces.
Iedere dienst doet dit op zijn eigen manier: bij Amazon verloopt het registratieproces zonder dat er om een telefoonnummer wordt gevraagd (dit kun je op een later moment opgeven), bij Google is de invoer van het telefoonnummer optioneel (dus je kunt het leeg laten) en bij Facebook hoef je als enige niet verplicht een e-mailadres op te geven maar kun je in plaats daarvan alleen op basis van je telefoonnummer een account aanmaken.
Altijd is het noodzakelijk om het telefoonnummer met een code te bevestigen die je per sms toegestuurd krijgt.
Extra beveiligde inlog: two-factor authentication
Het vastleggen van zowel het e-mailadres als het telefoonnummer maakt een extra beveiligde inlog mogelijk, waarbij de gebruiker door twee stappen heen loopt om in te loggen. Naast het wachtwoord wordt daarbij als extra beveiliging om een geheime code gevraagd die per sms wordt toegestuurd. De bezoeker moet dan dus zowel over het wachtwoord als over de telefoon beschikken.
In goed jargon heet dit: two-factor authentication.
Foutmeldingen bij het inloggen
Superbelangrijk is dat een gebruiker heldere feedback krijgt als er iets fout gaat. Als het e-mailadres niet bekend is in het systeem, blijkt dit helder uit de foutmelding. Als het wachtwoord niet correct is, dan staat dit in de foutmelding.
Het is een verstandig idee om na een x aantal foute inlogpogingen het account te blokkeren om misbruik door inbraak te voorkomen.
Een mix van inlog en registratie
Ooit had Amazon een gecombineerd inlog- en registratiescherm, maar dit is gelukkig vervangen. Het is ingewikkelder voor de gebruiker en KISS (“Keep It Simple, Stupid”) gaat hier boven een klik meer of minder. Het is een mythe dat gebruikers het liefst zo min mogelijk klikken, wanneer mensen afhaken is dat omdat het niet helder is wat er van hen verwacht wordt.
Heb je hier vragen over? Mail het me, bel me of laat een opmerking achter in het veld hieronder. En ben je bezig om een eigen applicatie te ontwikkelen? Kom dan eens op gesprek, want ik vind het hartstikke leuk om mee te denken over jouw systeem.
David zegt:
Leuk artikel Wim! Het gaat zeker niet over het meest sexy onderwerp maar daarom juist zo goed dat je alle ins en outs behandeld. Wat betreft het dwingen van gebruikers tot een veilig maar zeer moeilijk te reproduceren wachtwoord; voor websites of applicaties die zeer essentiële persoonlijk informatie bevat (bijv. internetbankieren of de belastingdienst) zouden zwaardere eisen voor het wachtwoord moeten gelden dan voor een webshopje waar je een deodorantstick besteld.
Dat wordt helaas vaak over het hoofd gezien en dat is jammer want uit onderzoek blijkt dat dit één van de grootste frustraties is van online gebruikers.
go2people zegt:
Dankjewel voor je reactie David! Ik ben het helemaal met je eens.
Alleen de eisen die de Belastingdienst stelt zijn in mijn ogen raar en dragen niet altijd bij tot een veiliger wachtwoord. Er zijn slimmere tools beschikbaar om wachtwoordsterkte te meten en dat werkt beter dan bijvoorbeeld de in mijn ogen rare eis om niet meer dan tweemaal hetzelfde karakter toe te staan, wat in lange wachtwoorden juist tegen je kan werken (en de variatie verlaagt).