أفضل الممارسات المتعلّقة بنموذج الاشتراك

يمكنك مساعدة المستخدمين في الاشتراك وتسجيل الدخول وإدارة تفاصيل حساباتهم بأقل جهد ممكن.

Sam Dutton

إذا كان المستخدمون يحتاجون إلى تسجيل الدخول إلى موقعك الإلكتروني، يصبح من الضروري تصميم نموذج تسجيل اشتراك جيد. وينطبق ذلك بشكل خاص على المستخدمين الذين لديهم اتصال ضعيف بالإنترنت أو يستخدمون الأجهزة الجوّالة أو الذين هم على عجلة من أمرهم أو يعانون من التوتر. تحقّق نماذج الاشتراك المصمَّمة بشكل سيئ معدّلات ارتداد عالية. ويمكن أن يعني كل ارتداد خسارة مستخدم غير راضٍ، وليس مجرد فرصة ضائعة لتسجيل الاشتراك.

في ما يلي مثال على نموذج اشتراك يوضّح جميع أفضل الممارسات:

يوضّح 12 من أفضل الممارسات لإدارة حسابات المستخدمين والأذونات وكلمات المرور المبادئ الأساسية للخدمات الخلفية لإدارة حسابات المستخدمين.

قائمة التحقق

تجنُّب تسجيل الدخول إذا أمكن ذلك

قبل تنفيذ نموذج اشتراك وطلب إنشاء حساب على موقعك الإلكتروني، عليك التفكير في ما إذا كنت بحاجة إلى ذلك فعلاً. يجب تجنُّب حصر الميزات بتسجيل الدخول متى أمكن ذلك.

أفضل نموذج اشتراك هو عدم توفّر نموذج اشتراك.

عندما تطلب من المستخدم إنشاء حساب، فإنّك تحول بينه وبين ما يحاول تحقيقه. أنت تطلب من المستخدم خدمة، وتطلب منه الوثوق بك بشأن بياناته الشخصية. كل كلمة مرور وكل عنصر من البيانات التي تخزّنها يحملان "دين بيانات" متعلقًا بالخصوصية والأمان، ما يجعلهما تكلفة ومسؤولية على موقعك الإلكتروني.

إذا كان السبب الرئيسي الذي يدفعك إلى مطالبة المستخدمين بإنشاء حساب هو حفظ المعلومات بين عمليات التنقّل أو جلسات التصفّح، ننصحك باستخدام مساحة التخزين من جهة العميل بدلاً من ذلك. بالنسبة إلى مواقع التسوّق، يُعدّ إجبار المستخدمين على إنشاء حساب لإجراء عملية شراء سببًا رئيسيًا للتخلّي عن سلة التسوّق. عليك ضبط خيار إتمام الدفع بلا تسجيل دخول كخيار تلقائي.

توضيح عملية تسجيل الدخول

يجب أن يكون من الواضح كيفية إنشاء حساب على موقعك الإلكتروني، مثلاً من خلال زر تسجيل الدخول في أعلى يسار الصفحة. تجنَّب استخدام رمز غامض أو صياغة مبهمة ("انضم إلينا"، "انضم إلينا") وعدم إخفاء زر تسجيل الدخول في قائمة التنقّل. لخّص خبير سهولة الاستخدام، ستيف كروغ، هذا النهج المتعلّق بسهولة استخدام المواقع الإلكترونية بالجملة التالية: لا تجعلني أفكّر! إذا كنت بحاجة إلى إقناع الآخرين في فريق الويب، استخدِم الإحصاءات لتوضيح تأثير الخيارات المختلفة.

لقطتان للشاشة من نموذج لموقع إلكتروني للتجارة الإلكترونية معروض على هاتف Android يستخدم الزر على اليمين رمزًا غير واضح إلى حد ما لرابط تسجيل الدخول، بينما يكتب الزر على اليسار ببساطة "تسجيل الدخول".
اجعل عملية تسجيل الدخول واضحة. قد تكون الأيقونة غامضة، ولكن زر تسجيل الدخول أو الرابط واضح.
تتضمّن صفحة تسجيل الدخول إلى Gmail رابطًا لإنشاء حساب.
عندما تكون أحجام النوافذ أكبر من المعروض هنا، يعرض Gmail الرابط تسجيل الدخول والزر إنشاء حساب.

احرص على ربط الحسابات للمستخدمين الذين يشتركون باستخدام موفّر هوية، مثل Google، والذين يشتركون أيضًا باستخدام البريد الإلكتروني وكلمة المرور. يكون ذلك بسيطًا إذا كان بإمكانك الوصول إلى عنوان البريد الإلكتروني للمستخدم من بيانات الملف الشخصي المقدَّمة من موفّر خدمات تحديد الهوية، ومطابقة الحسابَين. يوضّح الرمز البرمجي المعروض هنا كيفية الوصول إلى بيانات البريد الإلكتروني لمستخدم سجّل الدخول باستخدام حساب Google.

// auth2 is initialized with gapi.auth2.init()
if (auth2.isSignedIn.get()) {
  var profile = auth2.currentUser.get().getBasicProfile();
  console.log(`Email: ${profile.getEmail()}`);
}

إتاحة تفاصيل الحساب

بعد تسجيل دخول المستخدم، يجب توضيح كيفية الوصول إلى تفاصيل الحساب. على وجه الخصوص، يجب أن توضّح كيفية تغيير كلمات المرور أو إعادة ضبطها.

تقليل الفوضى في النماذج

في مسار الاشتراك، مهمتك هي تقليل التعقيد والحفاظ على تركيز المستخدم. التخلّص من الفوضى هذا ليس الوقت المناسب للمشتّتات والإغراءات.

لا تشتّت انتباه المستخدمين عن إكمال عملية الاشتراك.

عند الاشتراك، اطلب أقل قدر ممكن من المعلومات. لا تجمع بيانات إضافية عن المستخدمين (مثل الاسم والعنوان) إلا عند الحاجة إليها، وعندما يرى المستخدم فائدة واضحة من تقديم هذه البيانات. يُرجى العِلم أنّ كل عنصر من البيانات التي يتم إرسالها وتخزينها يتكبّد تكلفة ومسؤولية.

لا تكرّر إدخالاتك للتأكّد من حصول المستخدمين على تفاصيل الاتصال الصحيحة. يؤدي ذلك إلى إبطاء عملية إكمال النموذج، ولا يكون منطقيًا إذا تم ملء حقول النموذج تلقائيًا. بدلاً من ذلك، أرسِل رمز تأكيد إلى المستخدم بعد إدخال تفاصيل الاتصال الخاصة به، ثم واصِل عملية إنشاء الحساب بعد أن يردّ عليك. هذا نمط شائع للاشتراك، والمستخدمون معتادون عليه.

ننصحك بتفعيل ميزة تسجيل الدخول بدون كلمة مرور من خلال إرسال رمز إلى المستخدمين في كل مرة يسجّلون فيها الدخول على جهاز أو متصفّح جديد. تستخدم مواقع إلكترونية مثل Slack وMedium إصدارًا من هذا النوع.

تسجيل الدخول بدون كلمة مرور على medium.com

وكما هو الحال مع تسجيل الدخول الموحّد، يوفّر ذلك ميزة إضافية تتمثل في عدم الحاجة إلى إدارة كلمات مرور المستخدمين.

مراعاة مدة الجلسة

بغض النظر عن الطريقة التي تتّبعها لتحديد هوية المستخدم، عليك اتّخاذ قرار مدروس بشأن مدة الجلسة، أي المدة التي يظل فيها المستخدم مسجّلاً الدخول، والأسباب التي قد تؤدي إلى تسجيل خروجه.

ضَع في اعتبارك ما إذا كان المستخدمون يستعملون جهازًا جوّالاً أو كمبيوتر مكتبيًا، وما إذا كانوا يشاركون المحتوى على كمبيوتر مكتبي أو يشاركون الأجهزة.

المساعدة في اقتراح كلمات مرور وتخزينها بأمان في خدمات إدارة كلمات المرور

يمكنك مساعدة أدوات إدارة كلمات المرور التابعة لجهات خارجية والمضمّنة في المتصفّح على اقتراح كلمات المرور وتخزينها، حتى لا يضطر المستخدمون إلى اختيار كلمات المرور أو تذكّرها أو كتابتها بأنفسهم. تعمل خدمات إدارة كلمات المرور بشكل جيد في المتصفحات الحديثة، حيث تتم مزامنة الحسابات على جميع الأجهزة، وعلى التطبيقات الخاصة بالأنظمة الأساسية وتطبيقات الويب، وعلى الأجهزة الجديدة.

لذلك، من المهم للغاية ترميز نماذج الاشتراك بشكل صحيح. على وجه الخصوص، استخدِم قيم الإكمال التلقائي الصحيحة. بالنسبة إلى نماذج الاشتراك، استخدِم autocomplete="new-password" لكلمات المرور الجديدة، وأضِف قيم التعبئة التلقائية إلى حقول النموذج الأخرى حيثما أمكن، مثل autocomplete="email" وautocomplete="tel". يمكنك أيضًا مساعدة خدمات إدارة كلمات المرور من خلال استخدام قيم مختلفة للسمتَين name وid في نماذج الاشتراك وتسجيل الدخول، وذلك بالنسبة إلى العنصر form نفسه، بالإضافة إلى أي عناصر input وselect وtextarea.

يجب أيضًا استخدام سمة type المناسبة لتوفير لوحة المفاتيح الصحيحة على الأجهزة الجوّالة وتفعيل عملية التحقّق الأساسية المضمّنة من خلال المتصفّح. يمكنك الاطّلاع على مزيد من المعلومات من خلال أفضل الممارسات المتعلّقة بنموذج الدفع والعنوان.

ضمان إدخال المستخدمين كلمات مرور آمنة

إنّ السماح لخدمات إدارة كلمات المرور باقتراح كلمات مرور هو الخيار الأفضل، ويجب تشجيع المستخدمين على قبول كلمات المرور القوية التي تقترحها المتصفحات وخدمات إدارة كلمات المرور التابعة لجهات خارجية.

ومع ذلك، يريد العديد من المستخدمين إدخال كلمات المرور الخاصة بهم، لذا عليك تنفيذ قواعد لمدى قوة كلمات المرور. يوضّح المعهد الوطني للمعايير والتكنولوجيا في الولايات المتحدة كيفية تجنُّب كلمات المرور غير الآمنة.

عدم السماح بكلمات المرور المحتمَل تعرّضها للاختراق

بغض النظر عن القواعد التي تختارها لكلمات المرور، يجب ألا تسمح أبدًا بكلمات المرور التي تم الكشف عنها في خروقات أمنية.

بعد أن يُدخل المستخدم كلمة مرور، عليك التأكّد من أنّها ليست كلمة مرور تم اختراقها من قبل. يوفّر الموقع الإلكتروني Have I Been Pwned واجهة برمجة تطبيقات لفحص كلمات المرور، أو يمكنك تشغيل هذه الخدمة بنفسك.

يتيح لك "مدير كلمات المرور" من Google أيضًا التحقّق مما إذا تم اختراق أي من كلمات المرور الحالية.

إذا رفضت كلمة المرور التي يقترحها المستخدم، عليك إخباره تحديدًا بسبب الرفض. عرض المشاكل بشكل مضمّن وتوضيح كيفية حلّها فور إدخال المستخدم قيمة، وليس بعد إرسال نموذج الاشتراك وانتظار ردّ من الخادم.

توضيح سبب رفض كلمة المرور:

السماح بلصق كلمات المرور

لا تسمح بعض المواقع الإلكترونية بلصق النص في حقول كلمات المرور.

إنّ عدم السماح بلصق كلمات المرور يزعج المستخدمين ويشجّعهم على استخدام كلمات مرور يسهل تذكّرها (وبالتالي قد يسهل اختراقها)، كما أنّ هذه الممارسة قد تؤدي في الواقع إلى تقليل الأمان، وذلك وفقًا لمؤسسات مثل "المركز الوطني للأمن السيبراني" في المملكة المتحدة. لا يدرك المستخدمون أنّه لا يُسمح باللصق إلا بعد محاولة لصق كلمة المرور، وبالتالي، عدم السماح بلصق كلمة المرور لا يتجنّب الثغرات الأمنية في الحافظة.

عدم تخزين كلمات المرور أو نقلها كنص عادي مطلقًا

احرص على تشفير كلمات المرور باستخدام التجزئة والملح، ولا تحاول ابتكار خوارزمية تجزئة خاصة بك.

عدم فرض تعديلات على كلمة المرور

لا تجبر المستخدمين على تعديل كلمات المرور بشكل عشوائي.

يمكن أن تكون عمليات فرض تحديثات كلمات المرور مكلفة لأقسام تكنولوجيا المعلومات، ومزعجة للمستخدمين، كما أنّها لا تؤثر كثيرًا في الأمان. ومن المحتمل أيضًا أن يشجّع المستخدمين على استخدام كلمات مرور يسهل تذكّرها ولكنها غير آمنة، أو على الاحتفاظ بسجلّ ورقي لكلمات المرور.

بدلاً من فرض تحديثات لكلمات المرور، عليك مراقبة النشاط غير المعتاد في الحسابات وتنبيه المستخدمين. إذا أمكن، عليك أيضًا مراقبة كلمات المرور التي تم اختراقها بسبب عمليات اختراق البيانات.

عليك أيضًا أن تتيح للمستخدمين الوصول إلى سجلّ تسجيل الدخول إلى حساباتهم، مع عرض مكان ووقت تسجيل الدخول.

صفحة "نشاط حساب Gmail"
صفحة "نشاط حساب Gmail"

تسهيل تغيير كلمات المرور أو إعادة ضبطها

يجب أن يكون من الواضح للمستخدمين مكان وكيفية تعديل كلمة مرور حساباتهم. على بعض المواقع الإلكترونية، يكون ذلك صعبًا بشكل مفاجئ.

بالطبع، يجب أيضًا تسهيل عملية إعادة ضبط كلمة المرور في حال نسيانها. يقدّم "مشروع أمان تطبيقات الويب المفتوح" إرشادات مفصّلة حول كيفية التعامل مع كلمات المرور المفقودة.

للحفاظ على أمان نشاطك التجاري والمستخدمين، من المهم بشكل خاص مساعدة المستخدمين على تغيير كلمة المرور إذا تبيّن لهم أنّها تعرّضت للاختراق. لتسهيل ذلك، عليك إضافة عنوان URL /.well-known/change-password إلى موقعك الإلكتروني يعيد التوجيه إلى صفحة إدارة كلمات المرور. يتيح ذلك لخدمات إدارة كلمات المرور توجيه المستخدمين مباشرةً إلى الصفحة التي يمكنهم فيها تغيير كلمة المرور الخاصة بموقعك الإلكتروني. تتوفّر هذه الميزة الآن في Safari وChrome، وستتوفّر قريبًا في متصفّحات أخرى. توضّح مقالة مساعدة المستخدمين في تغيير كلمات المرور بسهولة من خلال إضافة عنوان URL معروف لتغيير كلمات المرور كيفية تنفيذ ذلك.

يجب أيضًا أن تسهّل على المستخدمين حذف حساباتهم.

توفير إمكانية تسجيل الدخول من خلال خدمات خارجية

يفضّل العديد من المستخدمين تسجيل الدخول إلى المواقع الإلكترونية باستخدام نموذج تسجيل يتضمّن عنوان بريد إلكتروني وكلمة مرور. ومع ذلك، يجب أيضًا السماح للمستخدمين بتسجيل الدخول باستخدام موفِّر هوية تابع لجهة خارجية، ويُعرف أيضًا باسم تسجيل الدخول الموحّد.

صفحة تسجيل الدخول إلى WordPress، مع خيارات تسجيل الدخول باستخدام Google وApple

لهذا الأسلوب عدة مزايا. بالنسبة إلى المستخدمين الذين ينشئون حسابًا باستخدام تسجيل الدخول الموحّد، لن تحتاج إلى طلب كلمات المرور أو إرسالها أو تخزينها.

قد تتمكّن أيضًا من الوصول إلى معلومات إضافية تم التحقّق منها في الملف الشخصي من خلال تسجيل الدخول الموحّد، مثل عنوان البريد الإلكتروني، ما يعني أنّ المستخدم لن يضطر إلى إدخال هذه البيانات ولن تحتاج إلى إجراء عملية التحقّق بنفسك. يمكن أن يسهّل تسجيل الدخول الموحّد على المستخدمين عملية إعداد جهاز جديد.

يوضّح دمج خدمة "تسجيل الدخول باستخدام حساب Google" في تطبيق الويب كيفية إضافة ميزة تسجيل الدخول الموحّد إلى خيارات الاشتراك. تتوفّر العديد من منصات تحديد الهوية الأخرى.

تسهيل عملية تبديل الحسابات

يشارك العديد من المستخدمين الأجهزة وينتقلون بين الحسابات باستخدام المتصفّح نفسه. سواء كان المستخدمون يستخدمون ميزة تسجيل الدخول الموحّد أو لا، عليك تسهيل عملية تبديل الحسابات.

Gmail، مع عرض عملية تبديل الحساب
تبديل الحسابات على Gmail

توفير المصادقة المتعدّدة العوامل

تعني المصادقة المتعدّدة العوامل التأكّد من أنّ المستخدمين يقدّمون المصادقة بأكثر من طريقة واحدة. على سبيل المثال، بالإضافة إلى مطالبة المستخدم بضبط كلمة مرور، يمكنك أيضًا فرض عملية إثبات الهوية باستخدام رمز صالح للاستخدام مرة واحدة يتم إرساله عبر البريد الإلكتروني أو رسالة SMS نصية، أو باستخدام رمز صالح للاستخدام مرة واحدة يستند إلى تطبيق أو مفتاح أمان أو مستشعر بصمة. توضّح أفضل الممارسات لاستخدام كلمات المرور الصالحة لمرة واحدة (OTP) عبر الرسائل القصيرة وتفعيل المصادقة القوية باستخدام WebAuthn كيفية تنفيذ المصادقة المتعدّدة العوامل.

يجب بالتأكيد توفير (أو فرض) المصادقة المتعددة العوامل إذا كان موقعك الإلكتروني يتعامل مع معلومات شخصية أو حساسة.

التعامل بحذر مع أسماء المستخدمين

لا تصرّ على طلب اسم مستخدم إلا إذا كنت بحاجة إليه (أو إلى أن تحتاج إليه). يمكنك السماح للمستخدمين بالاشتراك وتسجيل الدخول باستخدام عنوان بريد إلكتروني (أو رقم هاتف) وكلمة مرور فقط، أو تسجيل الدخول الموحّد إذا كانوا يفضّلون ذلك. لا تجبرهم على اختيار اسم مستخدم وتذكّره.

إذا كان موقعك الإلكتروني يتطلّب أسماء مستخدمين، لا تفرض قواعد غير معقولة عليها، ولا تمنع المستخدمين من تعديل اسم المستخدم. في الخلفية، عليك إنشاء معرّف فريد لكل حساب مستخدم، وليس معرّفًا يستند إلى بيانات شخصية، مثل اسم المستخدم.

احرص أيضًا على استخدام autocomplete="username" لأسماء المستخدمين.

الاختبار على مجموعة من الأجهزة والأنظمة الأساسية والمتصفّحات والإصدارات

اختبِر نماذج الاشتراك على المنصات الأكثر شيوعًا بين المستخدمين. قد تختلف وظائف عناصر النماذج، وقد تؤدي الاختلافات في حجم إطار العرض إلى حدوث مشاكل في التنسيق. تتيح منصة BrowserStack إجراء اختبارات مجانية للمشاريع المفتوحة المصدر على مجموعة من الأجهزة والمتصفحات.

تنفيذ التحليلات ومراقبة تجربة المستخدم

تحتاج إلى بيانات ميدانية بالإضافة إلى بيانات مختبرية لفهم تجربة المستخدمين مع نماذج الاشتراك. توفّر "إحصاءات Google" ومراقبة تجربة المستخدم الحقيقي بيانات عن التجربة الفعلية للمستخدمين، مثل المدة التي تستغرقها صفحات الاشتراك في التحميل، ومكوّنات واجهة المستخدم التي يتفاعل معها المستخدمون (أو لا يتفاعلون معها)، والمدة التي يستغرقها المستخدمون لإكمال عملية الاشتراك.

يمكن أن تُحدث التغييرات الصغيرة فرقًا كبيرًا في معدّلات إكمال نماذج الاشتراك. تتيح لك أدوات الإحصاءات ومراقبة تجربة المستخدم الحقيقية تحسين التغييرات وتحديد أولوياتها، كما تتيح لك مراقبة موقعك الإلكتروني بحثًا عن المشاكل التي لا تظهر أثناء الاختبارات المحلية.

مواصلة التعلّم