追加のPII /アカウント認証を安全に要求する方法は?
フィッシングの懸念があるため、ユーザーに電子メール内のURLをクリックして身元を確認するように依頼するのは悪い習慣なので、追加のPII情報が必要であることをユーザーに尋ねる最良の方法は何ですか?
Stripe.comからの次の例は要求しています 電子メールアドレスとクリックする後続のURL。
エンドユーザーに電子メールを送信する以外に、この情報を要求するのに最適なチャネルは他にありますか?
電子メールが唯一の選択肢である場合、ユーザーが実際にリンクをクリックして確認を続行することを保証するための最良のアプローチは何ですか。私たちの目標は、ユーザーがこのリクエストを表示しないか無視した場合に、放棄されたカートを制限することです。
この種のシナリオは、基本的に、使いやすさとセキュリティの間のトレードオフを特徴としており、どのオプションを選択するかは、組織のリスク選好度によって異なります。
理想的には、セキュリティの観点から、電子メールの信頼性の欠如と、ユーザーにメール内のリンクをクリックさせることを伴うフィッシング詐欺の蔓延を考えると、ユーザーに電子メール内のリンクをクリックするように勧めるべきではありません。
したがって、その観点からの最善のオプションは、顧客にメールを送信し(または、連絡先の詳細を提供している場合は別のチャネルを介して顧客に連絡し)、ブラウザで自分でサイトにアクセスし、ログインしてからアクセスするように依頼することです。そこ。
もちろん、これは優れたユーザーエクスペリエンスではありません。そのため、多くの企業が、ユーザーがクリックできるように電子メールにリンクを配置することを選択しています。だからあなたがそうするなら、考慮すべきいくつかの事柄
- サードパーティのクリック追跡サイトの使用は避けてください。そうすれば、少なくともユーザーはあなたのドメインにアクセスし、もちろん何を探すべきかを知っていると仮定して確認できます。
- 電子メールにデジタル署名することを検討してください。繰り返しになりますが、多くのユーザーが気付かないことは確かですが、セキュリティをより意識しているユーザーにとっては、メールが正当であるという追加の自信を持つのに役立ちます。