Вход по QR-коду в личный кабинет: больше никакого «я забыл логин и пароль»

До апреля 2021 года в веб-версию СберБанк Онлайн можно было войти только одним способом: введя логин и пароль. Миллионы пользователей каждый месяц забывали эти данные (и мы их прекрасно понимаем). Чтобы решить проблему, мы добавили новый способ входа — по QR-коду. Объясняем, как он работает и почему он совершенно безопасен.

Начнём с цифр. Из ста с лишним миллионов клиентов Сбера около семи миллионов человек заходят в веб-версию СберБанк Онлайн. Из этих семи миллионов человек примерно четыре миллиона активно пользуются нашим мобильным приложением. При этом паттерны поведения на сайте и в приложении у них очень разные.

Мобильное приложение такие пользователи используют практически каждый день, чтобы переводить кому-то деньги, пополнять счёт телефона — в общем, для быстрого решения задач. В веб-версию они заходят раз в две-три недели. В браузере пользователям удобнее решать задачи, требующие сосредоточенности: инвестировать, брать кредит, выполнять сложные переводы, для которых нужны реквизиты.

Часто за эти две-три недели, которые проходят между сеансами, человек успевает забыть логин и пароль. Это нормально, с нами тоже такое случается: мы привыкли всюду входить по биометрии, номеру телефона или сохранённым в кэше браузера паролям. Вход по логину и паролю всё ещё популярен, но в современном мире люди отвыкли запоминать такие вещи. Многие до сих пор пытаются записывать такие данные в блокнотах или на стикерах (напомним: это крайне небезопасно, не стоит так делать!).

Всё это привело к тому, что около 40% обращений в Сбер в категории «вход и регистрация» были связаны с тем, что человек забыл логин или пароль. Чтобы восстановить их, нужно вводить номер банковской карты, а она не всегда есть под рукой. Кроме того, для подтверждения нужно ввести код из смс. С этим тоже бывают проблемы: сообщение может не прийти по разным причинам — и войти в личный кабинет не получится. Так мы поняли, что нужен новый, альтернативный способ входа. И стали его искать.

Мы изучили, как это работает у других компаний — не только банков. И поняли, что вход по QR-коду — популярная опция, к которой пользователи давно привыкли. Например, так это работает в WhatsApp. Чтобы попасть в веб-версию мессенджера, пользователь открывает мобильную версию и сканирует код. Так сервис понимает, что «впускает» именно этого пользователя.

Итак, QR-код оказался оптимальным вариантом: простым и привычным для пользователя, а главное — безопасным. О том, как обеспечивается безопасность, мы расскажем ниже, а сейчас опишем, как технология входа по QR-коду работает у нас.

Все эти действия занимают приблизительно 20 секунд. Кстати, если вы ни разу в жизни не пользовались веб-версией и не регистрировались там, это не помешает войти в кабинет таким способом.

Разумеется, мы проводили исследования и собирали фокус-группы, чтобы понять, что клиенты думают о новой фиче. Обратная связь была на 100% положительной: все, кому мы предложили попробовать вход по QR-коду, сказали, что это удобнее ввода логина и пароля.

Личный кабинет клиента банка — святая святых. Предлагая добавить новый способ входа, мы понимали, что он должен быть абсолютно безопасным. Чисто технически настроить вход по QR-коду было просто. В этом нам очень помогли коллеги, которые сделали Сбер ID — сервис единого входа в сервисы СберБанка и партнёров.

Технология была готова в январе, и следующие три месяца ушли на совместную работу со службой безопасности. Мы тестировали фичу, проверяя сотни самых разных сценариев. А что, если у клиента два устройства с мобильным приложением? А если пользователь сказал кому-то из членов семьи код от СберБанка Онлайн? И так бесконечно.

В итоге мы обеспечили несколько уровней защиты. Во-первых, технология входа по QR-коду не работает на смартфонах, которые не защищены паролем или биометрией. При попытке входа приложение выдаст ошибку. Во-вторых, мы с коллегами из Сбер ID продумали, как должен выглядеть экран подтверждения входа в мобильном приложении, чтобы пользователь в любой момент понимал, что происходит, и не впустил в свой кабинет злоумышленника. В-третьих, как только пользователь попадает в личный кабинет, включается фрод-мониторинг, который анализирует все его действия.

О большей части работы, которую мы проделали вместе со службой безопасности, мы рассказать не можем. А жаль! Там было много интересного. Когда все тесты по безопасности были пройдены, мы начали внутренний пилот. Около двух недель команда тестировала новый способ входа, всячески пытаясь его сломать и найти ошибки. Убедившись, что всё работает корректно, мы стали плавно выкатывать новую функцию для пользователей. Тиражирование прошло без происшествий, и теперь вход по QR-коду доступен всем. Со стороны кажется, что мы добавили маленькую фичу, но цифры показывают, что сотни тысяч клиентов уже отказались от входа по логину и паролю, а значит, решили проблему с их запоминанием. Этого мы и добивались.