История о ресторе: как VK развивает восстановление доступа к аккаунту

Пользователи часто забывают пароли, меняют номера телефонов или по каким-то другим причинам не могут войти в аккаунт. В таком случае необходимо пройти через рестор. Так мы называем восстановление доступа к аккаунту VK ID. Оно появилось ещё в 2010 году и с тех пор постоянно оптимизируется, становится более гибким, понятным и безопасным.

Меня зовут Ирина Совик, я операционный директор экосистемных сервисов VK, куда входит и VK ID. Расскажу о том, что под капотом у рестора, какие сценарии он предлагает и что делать, чтобы не потерять доступ к аккаунту. А ещё мне поможет руководитель рестора VK ID Гаянэ Лемешева. Она создавала систему с нуля и расскажет о её развитии.

VK — это компания, в которую входит множество платформ и сервисов с общей аудиторией 77 млн человек в сутки, в том числе ВКонтакте, Одноклассники и Mail. Развивались они независимо друг от друга, поэтому механики авторизации и восстановления доступа были разные. Со временем аудитории этих сервисов стали переплетаться между собой, и стало понятно, что и для этих трёх платформ, и для других продуктов компании нужен единый инструмент входа. Так появился VK Connect, который сейчас называется VK ID.

VK ID — это сквозной ID-сервис, единый опыт регистрации и входа в сервисы экосистемы VK. Сейчас с помощью VK ID новые пользователи могут зарегистрироваться в Mail и в Одноклассниках.

После появления единого ключа мы начали работать над общим стандартом рестора. Сейчас добавляем новые способы в процессы восстановления доступа не только ВКонтакте, но и Одноклассников и Mail.

Ещё в 2007 году ВКонтакте появилось сообщество, в котором группа энтузиастов помогала пользователям: отвечала на вопросы, объясняла, как вернуть доступ к профилю, и рассказывала о правилах безопасности аккаунта. Это было волонтёрство в чистом виде.

Тогда я отвечала пользователям в ICQ и по почте. Позже для ответов стали использовать рабочую почту, а затем запустили возможность обратиться со своей проблемой внутри соцсети. Но для этого нужно было оставаться авторизованным в профиле. Так мы пришли к необходимости разработать принципиально новую систему для работы в неавторизованной зоне, когда доступа к профилю нет. Где были бы удобные поля для заполнения данных и возможность тут же приложить фотографии для сценариев расширенного рестора.

Для этого мы осмыслили весь опыт с восстановлением аккаунта, продумали путь пользователя, протестировали гипотезы. Большая часть времени ушла именно на выстраивание логики рестора и всех процессов, а вот разработка прошла оперативно — всего за две недели. В 2010 году выкатили рестор на всех пользователей, но уже в 2011-м столкнулись со шквалом заявок на восстановление доступа. За считанные дни августа их набралось больше 50 тысяч. Это была большая цифра для нашей небольшой команды.

Нам нужно было придумать, как разгрузить систему. Тогда мы дополнили интерфейс новым видом рестора — упрощённым, который был автоматизирован и позволял пользователю самостоятельно и быстро менять номер телефона на актуальный. С тех пор мы постоянно дорабатываем и оптимизируем рестор, чтобы процесс восстановления доступа был проще и понятнее для пользователя. Добавляем новые сценарии, автоматизируем всё больше процессов, а коллеги из продуктовой разработки VK ID запускают фичи, которые снижают нагрузку на рестор. Например, беспарольные способы входа: по лицу или отпечатку пальца, коду из SMS, звонку-сбросу или QR-коду.

Со стороны пользователя система восстановления доступа выглядит просто: он пошагово проходит путь, следуя подсказкам системы. Изнутри же задействовано много сценариев, аналитической работы, чат-бот, модели по поиску лиц на фотографиях и, конечно, живые люди: отдел разработки, продакт-менеджеры, аналитики, тестировщики, дизайнеры и команда администраторов, которые разбирают заявки в режиме 24/7.

В рестор пользователь попадает со страницы авторизации по кнопке «Забыли пароль?» или по прямой ссылке. Система построена так, чтобы открывались разные сценарии и альтернативные варианты восстановления доступа. Плюс есть специальный интерфейс, через который можно заблокировать доступ к старому профилю.

Вариант рестора, который выбирает система, зависит от нескольких факторов. Например, доступны ли пользователю номер телефона и почта, включена ли на его странице двухфакторная аутентификация. Сначала пользователю предложат наиболее простое решение, но всегда остаётся выбор. Например, если он не помнит, какой номер телефона привязан к аккаунту, он может воспользоваться другим способом восстановления. Если система перебрала все варианты и ни один из них не подошёл, то остаётся только восстановить доступ через подтверждение личности.

Всего пользователю доступны четыре сценария рестора — от простого к сложному.

1. Сброс пароля — самый простой, понятный и популярный. Если человеку доступен привязанный к аккаунту телефон, но он забыл пароль, система позволит войти в аккаунт после подтверждения доступа к номеру.

2. Упрощённый рестор — нужен, если пользователю недоступен привязанный номер. Например, телефон украли или номер заблокирован оператором. Тогда человек без участия администратора может получить доступ к аккаунту и самостоятельно привязать новый номер. Для этого нужно знать старый номер телефона или email, а также один из прежних паролей, с которым получалось успешно авторизовываться в аккаунте.

3. Доверенный рестор — нужен, если в аккаунте подключена двухфакторная аутентификация, привязан и доступен номер телефона или почта. Тогда можно сбросить пароль через доверенных друзей (отсюда и название). В этом случае нужно указать доступный номер или почту и выбрать трёх человек из списка друзей, предложенных системой. Выбранные друзья получат комбинации цифр в виде уведомления в «колокольчике» и личного сообщения от администрации ВКонтакте. Эти цифры нужно узнать у друзей и ввести в форму восстановления доступа. Доверенный рестор подходит в случаях, если у пользователя нет возможности или желания делать фото, чтобы подтвердить личность, но есть надёжные друзья.

4. Расширенный рестор — финальный босс, если предыдущие сценарии не подходят: нет ни телефона, ни почты, ни пароля, ни надёжных друзей (не завидуем). Тогда мы попросим владельца аккаунта подтвердить личность и запросим фото на фоне заявки (на десктопе) или селфи с жестом (в приложении или мобильном вебе), а также документ, удостоверяющий личность. Такие данные мы надёжно защищаем от утечек и компрометации. Заявки на расширенный рестор обрабатывает команда администраторов, которые, как мы уже упомянули, работают и днём, и ночью.

Для расширенного рестора очень важно, чтобы в профиле была актуальная фотография пользователя, на которой хорошо видно лицо. Это единственная возможность идентифицировать настоящего владельца и восстановить доступ к его аккаунту.

В идеальном мире мы не теряем телефоны и помним все пароли. В реальности же случается всякое. Чтобы восстановление доступа к аккаунту VK ID не превращалось в стресс, достаточно гигиенического минимума:

• подключите OnePass — вход по лицу или отпечатку пальца. Так не придётся запоминать пароль;

• следите, чтобы к аккаунту были привязаны актуальные телефон и почта;

• высший пилотаж — фото в профиле, на котором хорошо видно лицо. Так даже в самом крайнем случае вы сможете восстановить доступ к аккаунту.