چگونه NHS انگلستان با استفاده از رمزهای عبور، زمان ورود به سیستم را بهبود بخشید و بیش از یک میلیون پوند صرفه‌جویی کرد

یو سونو
Yu Tsuno
دارن هاتون
Darren Hutton
پلین دم
Pelin Dem

منتشر شده: ۱۰ ژوئیه ۲۰۲۶

سرویس سلامت ملی (NHS) سیستم مراقبت‌های بهداشتی عمومی بریتانیا است. به عنوان ارائه دهنده هویت دیجیتال امن برای NHS انگلستان و NHS ولز، ورود به سیستم NHS یک راه واحد و قابل اعتماد برای ده‌ها میلیون شهروند برای دسترسی به خدمات بهداشتی و مراقبت‌های اجتماعی فراهم می‌کند. با وجود این حجم از کاربران و با وجود چنین داده‌های حساسی، اصطکاک و امنیت احراز هویت از اهمیت بالایی برخوردار است.

تیم NHS با همکاری شریک خدمات دیجیتال خود، Hippo ، کلیدهای عبور را پیاده‌سازی کرد. Hippo تحقیقات UX و ادغام فنی کلیدهای عبور را هدایت کرد که منجر به دسترسی سریع‌تر، آسان‌تر و ایمن‌تر برای کاربران، در کنار کاهش چشمگیر هزینه‌های پشتیبانی و عملیاتی شد.

نتایج کلیدی

  • کاهش زمان ورود به سیستم : کاربران با استفاده از کلیدهای عبور، ۸ برابر سریع‌تر احراز هویت می‌شوند. میانگین زمان ورود به سیستم از ۴۳ ثانیه (رمز عبور + پیامک OTP) به تنها ۵ ثانیه با استفاده از رابط کاربری شرطی کاهش یافته است.
  • پذیرش و مقیاس بالا : از زمان راه‌اندازی این ویژگی در دو سال پیش، ۶.۷ میلیون رمز عبور توسط کاربران ایجاد شده است که منجر به ۶ میلیون ورود با رمز عبور در هر ماه می‌شود.
  • هزینه‌های تراکنش کمتر : از زمان راه‌اندازی، تا ۱.۲ میلیون پوند در هزینه‌های OTP صرفه‌جویی شده است .
معیار کلیدی تأثیر
۸ برابر زمان ورود سریع‌تر با استفاده از کلیدهای عبور (۵ ثانیه در مقابل ۴۳ ثانیه)
۶.۷ میلیون کلیدهای عبور ایجاد شده توسط کاربران از زمان راه‌اندازی
۶ میلیون ورود با رمز عبور هر ماه
۱.۲ میلیون پوند از زمان راه‌اندازی، در هزینه‌های SMS OTP صرفه‌جویی شده است

اصطکاک، هزینه و خستگی رمز عبور

ورود به سیستم NHS به عنوان دروازه دیجیتال متمرکز برای کاربرانی که به خدمات مختلف بهداشتی دسترسی دارند، عمل می‌کند. برای اطمینان از اینکه هیچ کاربری جا نمی‌ماند، این پلتفرم از روش‌های رمز عبور و احراز هویت چند عاملی (MFA) مبتنی بر پیامک پشتیبانی می‌کند. با این حال، این روش‌ها چالش‌های سیستمی را به همراه دارند:

  • رمزهای عبور فراموش شده : کاربران اغلب به دلیل فراموش کردن رمزهای عبور خود، از دسترسی به خدمات درمانی محروم می‌شوند.
  • خطرات امنیتی : رمزهای عبور و کدهای پیامکی همچنان در برابر حملات فیشینگ آسیب‌پذیر هستند.
  • افزایش هزینه‌ها : ارسال میلیون‌ها پیامک برای احراز هویت دو مرحله‌ای از نظر مالی طاقت‌فرسا است.
  • موانع فراگیری : تکیه بر پیامک مستلزم آن است که کاربران تلفن همراهی با سیگنال قابل اعتماد داشته باشند که این می‌تواند برای برخی مانعی باشد.

نحوه پیاده‌سازی کلیدهای عبور توسط NHS و Hippo

رویکرد این تیم کاربر محور و تکرارشونده بود و بر ادغام کلیدهای عبور به عنوان یک روش احراز هویت جدید و اختیاری به جای یک جایگزین اجباری تمرکز داشت. این امر امکان پذیرش تدریجی و دریافت بازخورد کاربران در دنیای واقعی را فراهم می‌کرد.

این تیم بر دو جریان اصلی توسعه‌دهندگان در پلتفرم موجود تمرکز کرد: ثبت رمز عبور و احراز هویت.

ارتقاء کاربران از طریق ثبت رمز عبور یکپارچه

به جای اینکه همه کاربران را مجبور به ثبت فوری رمز عبور کند، این تیم کاربران فعال و احراز هویت شده را هدف قرار می‌دهد. پس از اینکه کاربر با استفاده از روش استاندارد خود (رمز عبور + پیامک) با موفقیت وارد سیستم شد، یک پیام واضح مشاهده می‌کند که از او دعوت می‌کند برای ورود سریع‌تر و ایمن‌تر در آینده، رمز عبور ایجاد کند.

بزرگترین چالش ما یافتن تعادل مناسب بین آموزش و توانمندسازی کاربران بود. هرچه بیشتر سعی می‌کردیم کلیدهای عبور را توضیح دهیم، کاربران بیشتر مردد می‌شدند. ما به یک تجربه مبتنی بر دستگاه با استفاده از اصطلاحات آشنایی مانند «اثر انگشت» و «شناسایی چهره» روی آوردیم. کاربران با استفاده از آن، مفهوم را بسیار سریع‌تر درک می‌کردند.

پلین دمیر، طراح تجربه کاربری در هیپو

روند ثبت نام به API استاندارد WebAuthn بومی مرورگر متکی است. در زیر یک مثال مفهومی از توالی ثبت نام آمده است:

// Simplified example of the registration call
async function createPasskey() {
  try {
    // 1. Fetch challenge and options from the NHS Login server
    const createOptions = await fetch('/api/passkey/register-options', {
      method: 'POST'
    }).then(r => r.json());

    // 2. Trigger the browser/OS to create the passkey
    const credential = await navigator.credentials.create({
      publicKey: createOptions
    });

    // 3. Send the public key credential back to the server for verification and storage
    await fetch('/api/passkey/register-verify', {
      method: 'POST',
      body: JSON.stringify(credential)
    });

    // 4. Show success message to the user
    showSuccess('Passkey saved');

  } catch (err) {
    console.error('Error creating passkey:', err);
    showError('Could not create passkey. Please try again.');
  }
}
روند گام به گام ثبت رمز عبور در سیستم ورود به سیستم NHS.
روند ثبت رمز عبور ورود به سیستم NHS.

ساده‌سازی جریان ورود با استفاده از رابط کاربری شرطی

مهم‌ترین بهبود تجربه کاربری از رابط کاربری شرطی (WebAuthn autofill) ناشی می‌شود. با اضافه کردن autocomplete="username webauthn" به فیلد ورود، مرورگر به طور فعال از کاربر می‌خواهد که با استفاده از بیومتریک احراز هویت کند.

<form action="/login" method="post">
  <label for="username">Email or NHS number</label>
  <input type="text"
         id="username"
         name="username"
         autocomplete="username webauthn"
         required>
  <button type="submit">Continue</button>
</form>

پیاده‌سازی رابط کاربری شرطی، استفاده از کلید عبور را تقریباً ۱.۷ برابر افزایش داد که نشان می‌دهد حذف اصطکاک ورودی مستقیماً باعث تسریع پذیرش می‌شود.

مدیریت کلیدهای قدیمی با استفاده از Signal API

یک چالش عملیاتی شناخته‌شده با کلیدهای عبور، اعتبارنامه‌های قدیمی است، مواردی که کاربر یک اعتبارنامه را از تنظیمات حساب خود حذف می‌کند، اما کلید عبور در مدیریت رمز عبور دستگاه او ذخیره می‌شود. تلاش برای استفاده از یک کلید قدیمی منجر به یک خطای احراز هویت گیج‌کننده می‌شود.

برای حل این مشکل، تیم WebAuthn Signal API را گنجاند. هنگامی که یک اعتبارنامه در backend لغو یا به‌روزرسانی می‌شود، سرور به ارائه‌دهنده‌ی کلید عبور سیگنال می‌دهد تا همگام‌سازی را انجام دهد و کلیدهای نامعتبر را از پیشنهادات تکمیل خودکار کاربر به طور یکپارچه حذف کند.

دسترسی بدون مشکل و امنیت بیشتر را فراهم کنید

کاربران به طور فزاینده‌ای از کلیدهای عبور به عنوان مکانیسم احراز هویت استفاده می‌کنند.

  • تجربه کاربری بدون مشکل : حذف مشکل احراز هویت به این معنی است که کاربران می‌توانند به خدمات NHS دسترسی پیدا کنند و سلامت خود را به صورت پیشگیرانه مدیریت کنند، بدون اینکه دچار سرخوردگی یا عدم مراجعه به دلیل فراموشی اطلاعات کاربری شوند.
  • امنیت بی‌نقص : کلیدهای عبور، مقاومت داخلی در برابر فیشینگ را ارائه می‌دهند و ضمن ایمن‌سازی داده‌های بسیار حساس سلامت، راه را برای آینده‌ای بدون رمز عبور و پیامک هموار می‌کنند.
  • بهره‌وری عملیاتی : فراتر از صرفه‌جویی مالی مستقیم در ارسال‌های یک‌بار مصرف پیامکی، کاهش وابستگی به رمز عبور اساساً بهره‌وری NHS را بهبود می‌بخشد. کاهش تماس‌های پشتیبانی مرتبط با رمز عبور، کارکنان را برای رسیدگی به درخواست‌های پیچیده‌تر آزاد می‌کند.

درس‌های کلیدی

تیم ضمن ادغام کلیدهای عبور در خدمات NHS، درس‌های کلیدی زیر را شناسایی کرد:

  • اولویت تجربه کاربری بر پیچیدگی فنی : پیاده‌سازی فنی WebAuthn ساده بود. چالش اصلی بهینه‌سازی تجربه کاربری برای پذیرش گسترده جمعیتی بود.
  • توانمندسازی به جای آموزش : کاربران انتظار دارند که پلتفرم، امنیت را به صورت بی‌سروصدا مدیریت کند. توضیح بیش از حد مکانیزم‌های رمز عبور، بار شناختی ایجاد می‌کرد؛ اعتماد به دستورالعمل‌های آشنای دستگاه (بیومتریک) بسیار مؤثرتر بود.
  • سفرهای بین دستگاهی : یک کاربر ممکن است یک کلید عبور روی تلفن خود ایجاد کند اما بعداً سعی کند روی رایانه کتابخانه وارد سیستم شود. مدیریت جریان بین دستگاهی (که در آن دسکتاپ یک کد QR اسکن شده توسط تلفن را نشان می‌دهد) یک سفر حیاتی برای طراحی و آزمایش بود. آنها همچنین بخش جدیدی را در مدیریت حساب کاربر اضافه کردند که کلیدهای عبور و هویت را نشان می‌دهد تا به مدیریت کلیدهای عبور کمک کند ( به تعیین ارائه دهنده کلید عبور با AAGUID مراجعه کنید).
  • بازیابی حساب کاربری : رمزهای عبور نیاز به بازیابی قوی حساب کاربری را از بین نمی‌برند. این تیم باید اطمینان حاصل می‌کرد که کاربری که دستگاه خود را گم کرده است، همچنان می‌تواند به طور ایمن به حساب کاربری خود دسترسی پیدا کند، که این یک جریان پرمخاطره برای خدمات مرتبط با سلامت است.
  • ایجاد تعادل بین نوآوری و فراگیری : اگرچه کلیدهای عبور تجربه‌ی فوق‌العاده‌ای ارائه می‌دهند، اما نمی‌توانند بدون اینکه برخی از کاربران آسیب‌پذیر را پشت سر بگذارند، یک شبه به‌طور کامل جایگزین سیستم‌های قدیمی شوند. این تیم عمداً رمز عبور + پیامک OTP را به‌عنوان یک مسیر موازی حفظ کرد و هزینه‌های جاری را پذیرفت تا مطمئن شود هیچ کاربری به دلیل الزامات دستگاه یا پوشش ضعیف شبکه از سیستم حذف نمی‌شود.

بعدش چی؟

با بیش از ۶.۷ میلیون کلید عبور ایجاد شده، هیپو اکنون در حال بهبود پیام‌هایی است که کاربران را به ایجاد کلید عبور دعوت می‌کنند. آنها به جای مجبور کردن کاربران به تغییر، از آزمایش برای یافتن بهترین لحظات برای ارائه کلید عبور استفاده می‌کنند و به کاربران بیشتری کمک می‌کنند تا به راحتی ارتقا یابند.

بیشتر بدانید