Kullanıcılarınızın kaydolmasına, oturum açmasına ve hesap ayrıntılarını minimum düzeyde sorun yaşayarak yönetmesine yardımcı olun.
Kullanıcıların sitenize giriş yapması gerekiyorsa iyi bir kayıt formu tasarımı çok önemlidir. Bu durum özellikle zayıf bağlantısı olan, mobil cihaz kullanan, acelesi olan veya stres altında olan kullanıcılar için geçerlidir. Kötü tasarlanmış kayıt formları yüksek hemen çıkma oranlarına sahiptir. Her geri tepme, yalnızca kaçırılmış bir kayıt fırsatı değil, aynı zamanda kaybedilen ve memnuniyetsiz bir kullanıcı anlamına da gelebilir.
Tüm en iyi uygulamaları gösteren çok basit bir kayıt formu örneğini aşağıda bulabilirsiniz:
Yapılacaklar listesi
- Mümkünse oturum açmayın.
- Hesap oluşturma sürecini açıkça belirtin.
- Hesap ayrıntılarına nasıl erişileceğini açıkça belirtin.
- Formdaki dağınıklığı azaltın.
- Oturum süresini göz önünde bulundurun.
- Şifre yöneticilerinin şifreleri güvenli bir şekilde önermesine ve depolamasına yardımcı olma
- Güvenliği ihlal edilmiş şifrelere izin verme.
- Şifre yapıştırmaya izin verin.
- Şifreleri hiçbir zaman düz metin olarak saklamayın veya aktarmayın.
- Şifre güncellemelerini zorunlu kılmayın.
- Şifre değiştirmeyi veya sıfırlamayı kolaylaştırın.
- Birleştirilmiş girişi etkinleştirin.
- Hesap değiştirmeyi kolaylaştırın.
- Çok faktörlü kimlik doğrulaması sunabilirsiniz.
- Kullanıcı adlarını dikkatli seçin.
- Laboratuvarın yanı sıra sahada da test edin.
- Çeşitli tarayıcılar, cihazlar ve platformlarda test edin.
Mümkünse oturum açmayın
Kayıt formu uygulamadan ve kullanıcılardan sitenizde hesap oluşturmalarını istemeden önce, gerçekten gerekli olup olmadığını düşünün. Mümkün olduğunda, özellikleri giriş yapma şartıyla sunmaktan kaçının.
En iyi kayıt formu, kayıt formu olmamasıdır.
Kullanıcıdan hesap oluşturmasını isteyerek kullanıcının hedefine ulaşmasını engellemiş olursunuz. Kullanıcıdan bir iyilik isteğinde bulunuyor ve kişisel verileri sizinle paylaşmasını bekliyorsunuz. Depoladığınız her şifre ve veri öğesi, gizlilik ve güvenlik "veri borcu" taşır ve siteniz için maliyet ve sorumluluk haline gelir.
Kullanıcılardan hesap oluşturmalarını istemenizin asıl nedeni, gezinme veya tarama oturumları arasında bilgi kaydetmekse bunun yerine istemci tarafı depolama alanı kullanmayı düşünebilirsiniz. Alışveriş sitelerinde, kullanıcıların satın alma işlemi yapmak için hesap oluşturmaya zorlanması, alışveriş sepetini terk etme oranının yüksek olmasının başlıca nedenlerinden biri olarak gösteriliyor. Giriş yapmadan ödemeyi varsayılan olarak ayarlayın.
Oturum açmayı belirgin hale getirin
Sitenizde hesap oluşturma işlemini açıkça belirtin. Örneğin, sayfanın sağ üst kısmında bir Giriş veya Oturum aç düğmesi ekleyin. Belirsiz bir simge veya belirsiz ifadeler ("Katıl!", "Bize katılın") ve girişi gezinme menüsünde gizlemeyin. Kullanılabilirlik uzmanı Steve Krug, web sitesi kullanılabilirliğine yönelik bu yaklaşımı şu şekilde özetledi: Bizi düşünmeye zorlamayın! Web ekibinizdeki diğer kişileri ikna etmeniz gerekiyorsa farklı seçeneklerin etkisini göstermek için Analytics'i kullanın.
Google gibi bir kimlik sağlayıcı üzerinden ve e-posta ile şifre kullanarak kaydolan kullanıcıların hesaplarını bağladığınızdan emin olun. Kimlik sağlayıcının profil verilerinden kullanıcının e-posta adresine erişebiliyor ve iki hesabı eşleştirebiliyorsanız bunu kolayca yapabilirsiniz. Aşağıdaki kodda, bir Google ile Oturum Açma kullanıcısının e-posta verilerine nasıl erişileceği gösterilmektedir.
// auth2 is initialized with gapi.auth2.init()
if (auth2.isSignedIn.get()) {
var profile = auth2.currentUser.get().getBasicProfile();
console.log(`Email: ${profile.getEmail()}`);
}
Hesap ayrıntılarına nasıl erişileceğini açıkça belirtin
Kullanıcı oturum açtıktan sonra hesap ayrıntılarına nasıl erişileceğini açıklayın. Özellikle şifrelerin nasıl değiştirileceğini veya sıfırlanacağını açıkça belirtin.
Form karmaşasından kurtulun
Kaydolma akışında, karmaşıklığı en aza indirmek ve kullanıcının dikkatini korumak sizin görevinizdir. Karmaşadan kurtulun. Bu süreçte dikkat dağıtıcı şeylerden ve günaha sürükleyen durumlardan uzak durun.
Kayıt sırasında mümkün olduğunca az bilgi isteyin. Yalnızca ihtiyaç duyduğunuzda ve kullanıcı bu verileri sağladığından açık bir fayda gördüğünde ek kullanıcı verileri (ad ve adres gibi) toplayın. İlettiğiniz ve depoladığınız her veri öğesinin maliyet ve sorumluluk getirdiğini unutmayın.
Yalnızca kullanıcıların iletişim bilgilerini doğru girmesini sağlamak için girişlerinizi iki kez yapmayın. Bu, form doldurma işlemini yavaşlatır ve form alanları otomatik olarak dolduruluyorsa anlamlı değildir. Bunun yerine, kullanıcı iletişim bilgilerini girdikten sonra ona bir onay kodu gönderin ve yanıt verdikten sonra hesap oluşturma işlemine devam edin. Bu, yaygın bir kayıt şeklidir ve kullanıcılar buna alışmıştır.
Kullanıcılara yeni bir cihazda veya tarayıcıda her oturum açtıklarında bir kod göndererek şifresiz oturum açma özelliğini kullanabilirsiniz. Slack ve Medium gibi siteler bunun bir sürümünü kullanır.
Federasyonlu girişte olduğu gibi, bu yöntemin bir avantajı da kullanıcı şifrelerini yönetmeniz gerekmemesidir.
Oturum uzunluğunu göz önünde bulundurun
Kullanıcı kimliğine yaklaşımınız ne olursa olsun oturum süresi (kullanıcı oturumunun açık kalması için gereken süre ve kullanıcının oturumunu kapatmanıza neyin neden olabileceği) hakkında dikkatli bir karar vermeniz gerekir.
Kullanıcılarınızın mobil cihaz mı yoksa masaüstü cihaz mı kullandığını ve masaüstünde mi yoksa cihaz paylaşımında mı olduklarını göz önünde bulundurun.
Şifre yöneticilerinin şifreleri güvenli bir şekilde önermesine ve depolamasına yardımcı olma
Üçüncü taraf ve yerleşik tarayıcı şifre yöneticilerinin şifre önermesine ve depolamasına yardımcı olarak kullanıcıların şifreleri kendilerinin seçmesi, hatırlaması veya yazması gerekmez. Şifre yöneticileri, modern tarayıcılarda iyi çalışır. Hesapları cihazlar, platforma özel uygulamalar ve web uygulamaları arasında senkronize eder ve yeni cihazlarda kullanılabilir.
Bu nedenle, özellikle doğru otomatik tamamlama değerlerini kullanmak için kayıt formlarını doğru şekilde kodlamak son derece önemlidir. Kayıt formlarında yeni şifreler için autocomplete="new-password"
kullanın ve mümkün olduğunda diğer form alanlarına (ör. autocomplete="email"
ve autocomplete="tel"
) doğru otomatik tamamlama değerleri ekleyin. Şifre yöneticilerine yardımcı olmak için kayıt ve oturum açma formlarında form
öğesinin yanı sıra input
, select
ve textarea
öğeleri için farklı name
ve id
değerleri de kullanabilirsiniz.
Mobil cihazlarda doğru klavyeyi sağlamak ve tarayıcı tarafından yerleşik olarak sağlanan temel doğrulamayı etkinleştirmek için uygun type
özelliğini de kullanmanız gerekir.
Ödeme ve adres formu en iyi uygulamaları başlıklı makaleden daha fazla bilgi edinebilirsiniz.
Kullanıcıların güvenli şifreler girmesini sağlayın
Şifre yöneticilerinin şifre önermesini etkinleştirmek en iyi seçenektir. Kullanıcıları, tarayıcılar ve üçüncü taraf tarayıcı yöneticileri tarafından önerilen güçlü şifreleri kabul etmeye teşvik etmeniz gerekir.
Ancak birçok kullanıcı kendi şifrelerini girmek istediğinden şifre gücüyle ilgili kurallar uygulamanız gerekir. ABD Ulusal Standartlar ve Teknoloji Enstitüsü, güvenli olmayan şifrelerden nasıl kaçınacağınızı açıklar.
Güvenliği ihlal edilmiş şifrelere izin verme
Şifreler için hangi kuralları seçerseniz seçin, güvenlik ihlallerinde açığa çıkan şifrelere hiçbir zaman izin vermemelisiniz.
Kullanıcı bir şifre girdikten sonra, bu şifrenin güvenliği ihlal edilmiş bir şifre olmadığından emin olmanız gerekir. Have I Been Pwned sitesi, şifre kontrolü için bir API sağlar. Bu hizmeti kendiniz de hizmet olarak çalıştırabilirsiniz.
Google Şifre Yöneticisi, mevcut şifrelerinizden herhangi birinin güvenliğinin ihlal edilip edilmediğini kontrol etmenize de olanak tanır.
Kullanıcının önerdiği şifreyi reddederseniz şifrenin neden reddedildiğini açıkça belirtin. Kullanıcı bir değer girer girmez sorunları satır içi olarak gösterin ve nasıl düzeltileceğini açıklayın. Kullanıcının, kayıt formunu gönderip sunucunuzdan yanıt beklemesi gerekmez.
Şifre yapıştırmayı yasaklamayın
Bazı siteler, şifre girişlerine metin yapıştırılmasına izin vermez.
Şifre yapıştırmaya izin verilmemesi kullanıcıları rahatsız eder, akılda kalıcı şifreleri teşvik eder (ve bu nedenle güvenliği ihlal edilmesi daha kolay olabilir) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi gibi kuruluşlara göre aslında güvenliği azaltabilir. Kullanıcılar, yapıştırmaya yalnızca şifrelerini yapıştırmaya çalıştıktan sonra izin verilmediğini fark eder. Bu nedenle, şifre yapıştırmaya izin verilmemesi, panodaki güvenlik açıklarını önlemez.
Şifreleri hiçbir zaman düz metin olarak saklamayın veya iletmeyin
Şifreleri salt ve karma oluşturmayı unutmayın ve kendi karma oluşturma algoritmanızı oluşturmaya çalışmayın.
Şifre güncellemelerini zorlama
Kullanıcıların şifrelerini keyfi olarak güncellemelerini zorunlu kılmayın.
Şifre güncellemelerini zorunlu kılmak BT departmanları için maliyetli olabilir, kullanıcılar için can sıkıcı olabilir ve güvenliği pek etkilemez. Ayrıca kullanıcıları güvenli olmayan akılda kalıcı şifreler kullanmaya veya şifrelerin fiziksel bir kaydını tutmaya teşvik edebilir.
Şifre güncellemelerini zorunlu kılmak yerine, olağan dışı hesap etkinliğini izlemeniz ve kullanıcıları uyarmanız gerekir. Mümkünse veri ihlalleri nedeniyle güvenliği ihlal edilen şifreleri de izlemeniz gerekir.
Ayrıca, kullanıcılarınıza hesaplarının giriş geçmişine erişim izni vererek nerede ve ne zaman giriş yapıldığını göstermeniz gerekir.
Şifre değiştirmeyi veya sıfırlamayı kolaylaştırın
Kullanıcılara hesap şifrelerini nereden ve nasıl güncelleyebileceklerini açıkça belirtin. Bazı sitelerde bu işlem şaşırtıcı derecede zordur.
Elbette, kullanıcıların şifrelerini unutması durumunda sıfırlamasını da kolaylaştırmanız gerekir. Open Web Application Security Project, kayıp şifrelerle nasıl başa çıkılacağı konusunda ayrıntılı rehberlik sunar.
İşletmenizin ve kullanıcılarınızın güvenliğini sağlamak için, özellikle de güvenliği ihlal edilmiş şifrelerini değiştirmelerine yardımcı olmak önemlidir. Bu işlemi kolaylaştırmak için sitenize, şifre yönetimi sayfanıza yönlendiren bir /.well-known/change-password
URL'si eklemeniz gerekir. Bu sayede şifre yöneticileri, kullanıcılarınızı doğrudan sitenizin şifresini değiştirebilecekleri sayfaya yönlendirebilir. Bu özellik şu anda Safari ve Chrome'da uygulanmaktadır ve diğer tarayıcılara da eklenecektir. Şifre değiştirmek için bilinen bir URL ekleyerek kullanıcıların şifrelerini kolayca değiştirmelerine yardımcı olma başlıklı makalede bu özelliğin nasıl uygulanacağı açıklanmaktadır.
Ayrıca, kullanıcıların istedikleri takdirde hesaplarını silmesini kolaylaştırmalısınız.
Üçüncü taraf kimlik sağlayıcılar üzerinden oturum açma seçeneği sunma
Birçok kullanıcı, web sitelerine e-posta adresi ve şifre ile kayıt formunu kullanarak giriş yapmayı tercih eder. Ancak kullanıcıların, birleşik giriş olarak da bilinen üçüncü taraf kimlik sağlayıcı üzerinden giriş yapmasını da etkinleştirmeniz gerekir.
Bu yaklaşımın birkaç avantajı vardır. Birleştirilmiş girişi kullanarak hesap oluşturan kullanıcılardan şifre istemeniz, iletmeniz veya saklamanız gerekmez.
Federe girişten e-posta adresi gibi doğrulanmış ek profil bilgilerine de erişebilirsiniz. Bu sayede kullanıcının bu verileri girmesi gerekmez ve doğrulamayı kendiniz yapmanız gerekmez. Birleştirilmiş giriş, kullanıcıların yeni bir cihaz aldığında işlerini çok daha kolaylaştırabilir.
Google ile oturum açma özelliğini web uygulamanıza entegre etme başlıklı makalede, kayıt seçeneklerinize birleşik girişin nasıl ekleneceği açıklanmaktadır. Birçok farklı kimlik platformu mevcuttur.
Hesap değiştirmeyi kolaylaştırın
Birçok kullanıcı cihazları paylaşır ve aynı tarayıcıyı kullanarak hesaplar arasında geçiş yapar. Kullanıcılar birleşik girişe erişsin veya erişmesin, hesap değiştirmeyi basitleştirmeniz gerekir.
Çok öğeli kimlik doğrulaması sunmayı düşünün
Çok faktörlü kimlik doğrulaması, kullanıcıların kimlik doğrulamasını birden fazla şekilde sağlamasını sağlamak anlamına gelir. Örneğin, kullanıcının şifre belirlemesini zorunlu kılmanın yanı sıra e-posta veya SMS ile gönderilen tek kullanımlık şifre kodu ya da uygulama tabanlı tek kullanımlık kod, güvenlik anahtarı veya parmak izi sensörü kullanarak doğrulama da zorunlu kılabilirsiniz. SMS OTP ile ilgili en iyi uygulamalar ve WebAuthn ile Güçlü Kimlik Doğrulamayı Etkinleştirme başlıklı makalelerde çok faktörlü kimlik doğrulamanın nasıl uygulanacağı açıklanmaktadır.
Sitenizde kişisel veya hassas bilgiler işleniyorsa kesinlikle çok faktörlü kimlik doğrulama sunmalı (veya zorunlu kılmalı)sınız.
Kullanıcı adlarına dikkat edin
Gerekmedikçe (veya ihtiyaç duyana kadar) kullanıcı adı konusunda ısrar etmeyin. Kullanıcıların yalnızca e-posta adresi (veya telefon numarası) ve şifreyle kaydolmasını ve oturum açmasını ya da tercih ederlerse federe oturum açma özelliğini kullanmasını sağlayın. Kullanıcıları bir kullanıcı adı seçmeye ve hatırlamaya zorlamayın.
Sitenizde kullanıcı adı gerekiyorsa kullanıcılara mantıksız kurallar uygulamayın ve kullanıcıların kullanıcı adlarını güncellemelerini engellemeyin. Arka uçta, kullanıcı adı gibi kişisel verilere dayalı bir tanımlayıcı değil, her kullanıcı hesabı için benzersiz bir kimlik oluşturmanız gerekir.
Ayrıca, kullanıcı adları için autocomplete="username"
kullanmanız gerekir.
Çeşitli cihazlarda, platformlarda, tarayıcılarda ve sürümlerde test edin
Kaydolma formlarını, kullanıcılarınız için en yaygın platformlarda test edin. Form öğesi işlevleri değişiklik gösterebilir ve görüntü alanı boyutundaki farklılıklar düzen sorunlarına neden olabilir. BrowserStack, çeşitli cihaz ve tarayıcılarda açık kaynaklı projeler için ücretsiz test olanağı sunar.
Analizleri ve gerçek kullanıcı izlemeyi uygulama
Kullanıcıların kayıt formlarınızı nasıl deneyimlediğini anlamak için laboratuvar verilerinin yanı sıra saha verilerine ihtiyacınız vardır. Analytics ve Gerçek Kullanıcı İzleme (RUM), kullanıcılarınızın gerçek deneyimiyle ilgili veriler sağlar. Örneğin, kayıt sayfalarının yüklenmesi ne kadar sürer, kullanıcılar hangi kullanıcı arayüzü bileşenleriyle etkileşim kurar (veya kurmaz) ve kullanıcıların kayıt işlemini tamamlaması ne kadar sürer?
- Sayfa analizleri: Kaydolma akışınızdaki her sayfanın sayfa görüntüleme sayısı, hemen çıkma oranı ve çıkış sayısı.
- Etkileşim analizleri: Hedef dönüşüm hunileri ve etkinlikler, kullanıcıların kayıt akışını nerede terk ettiğini ve kullanıcıların ne kadarının kayıt sayfalarınızın düğmelerini, bağlantılarını ve diğer bileşenlerini tıkladığını gösterir.
- Web sitesi performansı: Kullanıcı odaklı metrikler, kayıt akışınızın yüklenmesinin yavaş olup olmadığını veya görsel olarak kararlı olup olmadığını size söyleyebilir.
Küçük değişiklikler, kayıt formlarının tamamlanma oranlarında büyük fark yaratabilir. Analytics ve RUM, değişiklikleri optimize etmenize ve önceliklendirmenize, ayrıca sitenizi yerel testlerle ortaya çıkmayan sorunlar açısından izlemenize olanak tanır.
Öğrenmeye devam edin
- Giriş formu ile ilgili en iyi uygulamalar
- Ödeme ve adres formu ile ilgili en iyi uygulamalar
- Create Amazing Forms (Harika Formlar Oluşturma)
- Mobil Form Tasarımı İçin En İyi Uygulamalar
- Daha yetenekli form kontrolleri
- Erişilebilir Formlar Oluşturma
- Credential Management API'yi Kullanarak Kaydolma Akışlarını Kolaylaştırma
- WebOTP API ile web'de telefon numaralarını doğrulama
Fotoğraf: Unsplash'taki @ecowarriorprincess