Как Национальная служба здравоохранения Англии сократила время регистрации и сэкономила более 1 миллиона фунтов стерлингов благодаря системе Passkeys

Ю Цуно
Yu Tsuno
Даррен Хаттон
Darren Hutton
Пелин Дем
Pelin Dem

Опубликовано: 10 июля 2026 г.

Национальная служба здравоохранения (NHS) — это финансируемая государством система здравоохранения Великобритании. Являясь надежным поставщиком услуг цифровой идентификации для NHS Англии и NHS Уэльса, система авторизации NHS предоставляет единый, надежный способ доступа к медицинским и социальным услугам для десятков миллионов граждан. При таком масштабе пользовательской базы и обработке столь конфиденциальных данных, проблемы аутентификации и безопасность имеют первостепенное значение.

В сотрудничестве с партнером по цифровым услугам Hippo команда NHS внедрила систему паролей. Hippo провела исследование пользовательского опыта и техническую интеграцию паролей, что привело к более быстрому, простому и безопасному доступу для пользователей, а также к значительному снижению затрат на поддержку и эксплуатацию.

Ключевые результаты

  • Сокращение времени входа в систему : пользователи проходят аутентификацию в 8 раз быстрее, используя пароли. Среднее время входа в систему сократилось с 43 секунд (пароль + SMS-код подтверждения) до всего 5 секунд при использовании условного интерфейса.
  • Высокий уровень внедрения и масштабируемость : с момента запуска функции два года назад пользователями было создано 6,7 миллиона паролей, что обеспечивает 6 миллионов входов в систему с использованием паролей каждый месяц.
  • Снижение транзакционных издержек : экономия до 1,2 млн фунтов стерлингов на комиссиях за одноразовые пароли с момента запуска.
Ключевой показатель Влияние
8x Более быстрая авторизация с использованием паролей (5 секунд против 43 секунд)
6,7 миллиона Пароли, созданные пользователями с момента запуска.
6 миллионов Ежемесячная регистрация по ключу.
1,2 миллиона фунтов стерлингов С момента запуска удалось сэкономить на расходах на SMS-коды.

Трудности, стоимость и усталость от паролей

Система авторизации NHS служит централизованным цифровым шлюзом для пользователей, получающих доступ к различным медицинским услугам. Чтобы ни один пользователь не остался без доступа, платформа поддерживает многофакторную аутентификацию (МФА) на основе паролей и SMS. Однако эти методы создают системные проблемы:

  • Забытые пароли : Пользователи часто теряют доступ к медицинским сервисам из-за того, что забывают свои пароли.
  • Риски для безопасности : Пароли и SMS-коды остаются уязвимыми для фишинговых атак.
  • Рост затрат : отправка миллионов SMS-сообщений для двухфакторной аутентификации обходится очень дорого.
  • Препятствия для инклюзивности : Использование SMS-сообщений требует от пользователей наличия мобильного телефона с надежным сигналом, что может стать препятствием для некоторых.

Как Национальная служба здравоохранения Великобритании (NHS) и компания Hippo внедрили систему паролей

Подход команды был ориентирован на пользователя и новизну, сосредоточившись на интеграции паролей в качестве нового, необязательного метода аутентификации, а не в качестве принудительной замены. Это позволило обеспечить постепенное внедрение и получить обратную связь от реальных пользователей.

Команда сосредоточилась на двух основных процессах разработки в рамках существующей платформы: регистрации паролей и аутентификации.

Повышение уровня доступа пользователей благодаря простой регистрации с помощью пароля.

Вместо того чтобы заставлять всех пользователей немедленно регистрировать пароль, команда ориентируется на активных, аутентифицированных пользователей. После успешного входа в систему стандартным способом (пароль + SMS) пользователь видит четкое приглашение создать пароль для более быстрого и безопасного входа в систему в будущем.

Самой большой проблемой для нас стало нахождение правильного баланса между обучением и расширением возможностей пользователей. Чем больше мы пытались объяснить, что такое пароли, тем больше неуверенности испытывали пользователи. Мы перешли к подходу, ориентированному на устройство, используя знакомые термины, такие как «отпечаток пальца» и «Face ID». Пользователи гораздо быстрее поняли концепцию, используя её на практике.

Пелин Демир, UX-дизайнер в компании Hippo.

Процесс регистрации основан на стандартном API WebAuthn, встроенном в браузер. Ниже представлен концептуальный пример последовательности регистрации:

// Simplified example of the registration call
async function createPasskey() {
  try {
    // 1. Fetch challenge and options from the NHS Login server
    const createOptions = await fetch('/api/passkey/register-options', {
      method: 'POST'
    }).then(r => r.json());

    // 2. Trigger the browser/OS to create the passkey
    const credential = await navigator.credentials.create({
      publicKey: createOptions
    });

    // 3. Send the public key credential back to the server for verification and storage
    await fetch('/api/passkey/register-verify', {
      method: 'POST',
      body: JSON.stringify(credential)
    });

    // 4. Show success message to the user
    showSuccess('Passkey saved');

  } catch (err) {
    console.error('Error creating passkey:', err);
    showError('Could not create passkey. Please try again.');
  }
}
Пошаговая процедура регистрации пароля при входе в систему NHS.
Процесс регистрации пароля для входа в систему NHS.

Оптимизируйте процесс авторизации с помощью условного пользовательского интерфейса.

Наиболее существенное улучшение пользовательского опыта достигается за счет условного заполнения интерфейса (автозаполнение WebAuthn). Добавив в поле для входа строку autocomplete="username webauthn" , браузер заблаговременно предлагает пользователю пройти аутентификацию с использованием биометрических данных.

<form action="/login" method="post">
  <label for="username">Email or NHS number</label>
  <input type="text"
         id="username"
         name="username"
         autocomplete="username webauthn"
         required>
  <button type="submit">Continue</button>
</form>

Внедрение условного пользовательского интерфейса привело к увеличению использования паролей почти в 1,7 раза, что демонстрирует, что устранение сложностей ввода напрямую ускоряет внедрение.

Обработка устаревших ключей с помощью Signal API

Известная проблема, связанная с использованием паролей, — это устаревшие учетные данные , когда пользователь удаляет учетные данные из настроек своей учетной записи, но пароль остается сохраненным в менеджере паролей устройства. Попытка использования устаревшего ключа приводит к непонятной ошибке аутентификации.

Для решения этой проблемы команда внедрила API WebAuthn Signal . Когда учетные данные отзываются или обновляются на бэкэнде, сервер посылает сигнал поставщику ключей паролей для синхронизации, незаметно удаляя недействительные ключи из подсказок автозаполнения пользователя.

Обеспечьте беспрепятственный доступ и повышенную безопасность.

Пользователи все чаще используют пароли в качестве механизма аутентификации.

  • Беспроблемный пользовательский опыт : устранение сложностей с аутентификацией означает, что пользователи могут получать доступ к услугам NHS и активно управлять своим здоровьем, избегая разочарования и сбоев, вызванных забытыми учетными данными.
  • Бескомпромиссная безопасность : ключи доступа обеспечивают встроенную защиту от фишинга, защищая конфиденциальные медицинские данные и открывая путь к будущему без паролей и SMS-сообщений.
  • Операционная эффективность : Помимо прямой финансовой экономии на SMS-кодах подтверждения, снижение зависимости от паролей существенно повышает эффективность работы Национальной службы здравоохранения. Сокращение количества обращений в службу поддержки по вопросам паролей позволяет сотрудникам заниматься более сложными запросами.

Ключевые уроки

В процессе внедрения систем паролей во всех службах Национальной службы здравоохранения (NHS) команда выявила следующие ключевые уроки:

  • Удобство использования важнее технической сложности : техническая реализация WebAuthn была довольно простой. Основная сложность заключалась в оптимизации пользовательского опыта для широкого круга пользователей.
  • Преобладание расширения возможностей над обучением : пользователи ожидают, что платформа будет управлять безопасностью незаметно. Чрезмерное объяснение механики ввода пароля создавало когнитивную нагрузку; доверие к привычным подсказкам устройства (биометрическим данным) оказалось гораздо эффективнее.
  • Взаимодействие между устройствами : Пользователь может создать пароль на своем телефоне, но позже попытаться войти в систему на библиотечном компьютере. Обработка взаимодействия между устройствами (когда на рабочем столе отображается QR-код, отсканированный телефоном) была критически важной задачей при проектировании и тестировании. Также был добавлен новый раздел в управлении учетной записью пользователя, отображающий пароли и идентификационные данные для облегчения управления паролями (см. «Определение поставщика паролей с помощью AAGUID »).
  • Восстановление учетной записи : Пароли не исключают необходимости надежного восстановления учетной записи. Команде нужно было обеспечить, чтобы пользователь, потерявший устройство, мог безопасно восстановить доступ к своей учетной записи, что является крайне важным моментом для медицинских услуг.
  • Сочетание инноваций и инклюзивности : хотя пароли обеспечивают превосходный пользовательский опыт, они не могут полностью заменить устаревшие системы в одночасье, не оставив при этом некоторых уязвимых пользователей без доступа к ним. Команда намеренно сохранила возможность использования паролей и SMS-кодов подтверждения в качестве параллельного решения, принимая на себя постоянные затраты, чтобы гарантировать, что ни один пользователь не будет исключен из-за требований к устройству или плохого покрытия сети.

Что дальше?

Создав более 6,7 миллионов паролей, компания Hippo сейчас работает над улучшением подсказок, предлагающих пользователям создать пароль. Вместо принудительного переключения, они используют тестирование, чтобы найти оптимальные моменты для предложения паролей, помогая большему числу пользователей плавно перейти на новую версию.

Узнать больше