Сложности при входе убивают конверсию: 5 симптомов и решений

Whitepaper по аналитике аутентификации. Практические рекомендации, шаблоны внедрения и KPI для программ passkeys.

Получить whitepaper

Если вы продакт-менеджер, отвечающий за аутентификацию, вы, вероятно, слышали: «Почему наша конверсия застряла?». Обычно винят стандартные причины: расходы на рекламу, время загрузки страницы, UX оформления заказа. Но в воронке есть один этап, который сложнее диагностировать: вход в систему.

Большинство аналитических систем рассматривают аутентификацию как бинарный процесс: пользователь вошел в систему или нет. Они не фиксируют сложности с аутентификацией в промежутке: пользователя, который трижды попробовал ввести пароль и ушел; того, чей код из SMS пришел на 45 секунд позже; вернувшегося клиента, который не смог вспомнить, использовал ли он «Войти с Google» или создал пароль.

Эта слепая зона обходится дорого. Процент брошенных корзин в среднем составляет около 70%, и значительная часть этого связана со сложностями при входе. В отличие от отказов при оформлении заказа (на которых зациклена каждая команда электронной коммерции), ошибки при входе остаются неизмеренными и неисправленными.

Последствия накапливаются: каждый неудачный вход — это потраченные впустую средства на привлечение клиента (CAC), снижение пожизненной ценности (CLTV) и клиент, который может уйти к конкуренту, предлагающему беспрепятственный вход. Если вы не можете это измерить, вы не можете это улучшить.

Прежде чем углубляться, подумайте вот о чем: если снижение оттока при входе на пару процентов означает шестизначную прибавку к годовой выручке для крупной компании электронной коммерции, что это значит для вас?

Если таких данных нет в вашей аналитической системе, вы выявили первый симптом более глубокой проблемы: вы действуете вслепую в вопросах аутентификации.

Каждый шаг аутентификации — это налог на намерения пользователя. Вопрос в том, знаете ли вы, сколько именно вы взимаете?

Рассмотрим, что происходит, когда вернувшийся пользователь хочет совершить покупку:

1. Он пробует свой обычный пароль. Ошибка.
2. Пробует другой вариант. Снова ошибка.
3. Теперь он перед выбором: сбросить пароль (5+ минут сложностей) или бросить корзину (2 секунды).

В большинстве случаев побеждает отказ от покупки. А ваша аналитика показывает просто уход со страницы (bounce), а не корневую причину.

Этот «налог на вход» накладывается в самый неподходящий момент: при оформлении заказа. Пользователь уже потратил время на поиск, сравнение и добавление товаров в корзину. Он готов платить. В этот момент возникают сложности с аутентификацией, и когнитивная нагрузка превышает мотивацию.

graph TD
    A[Вернувшийся пользователь при оформлении заказа] --> B{Ввод обычного пароля};
    B -- Ошибка --> C{Ввод другого варианта пароля};
    C -- Ошибка --> D[Точка принятия решения с высоким уровнем трения];
    D -- Путь наименьшего сопротивления --> E["Отказ от корзины (2 секунды)"];
    D -- Путь наибольшего сопротивления --> F["Начало сброса пароля (5+ минут)"];
    F --> G{Сброс успешен?};
    G -- Нет --> E;
    G -- Да --> H[Возврат к оформлению заказа и входу];

    style E fill:#ffcccc,stroke:#ff0000,stroke-width:2px,color:#990000
    style D fill:#fff4e6,stroke:#ff9900,stroke-width:2px

О чем эта статья: Данная статья представляет собой практический разбор пяти сбоев аутентификации, которые убивают конверсию, и способов их диагностики в вашей собственной воронке. В каждом разделе указано, что нужно измерять, какова типичная первопричина и как выглядит решение. Цель — дать вам данные для создания бизнес-кейса инвестиций в аутентификацию и дорожную карту для его реализации.

Как обнаружить: Отслеживайте разницу между login_modal_opened (открыто модальное окно входа) и login_successful (успешный вход). Если вы наблюдаете отток более 20% до завершения аутентификации, этот раздел для вас.

Почему это важно: Это момент наивысшего намерения в вашей воронке. Пользователи, дошедшие до этапа входа, уже приняли решение о взаимодействии: они в одном шаге от конверсии. Их потеря здесь имеет худшие последствия для ROI на любом этапе воронки.

Паттерн «принудительной регистрации» — агрессивный убийца конверсии. При оформлении заказа пользователи уже потратили время на просмотр и сравнение. Принудительное создание аккаунта в тот самый момент, когда они хотят заплатить, создает максимальные трудности при максимальном намерении. Ключи доступа могут помочь решить эту проблему — узнайте, как ключи доступа увеличивают конверсию, достигая 93% успешных входов по сравнению с 63% для паролей.

Для подробного анализа оформления заказа без регистрации (guest checkout) по сравнению с принудительным входом, см. нашу специальную статью.

Вход через социальные сети (например, «Войти с Google», «Продолжить с Apple») теоретически снижает трение. Но плохая реализация создает новые проблемы со входом:

Если эти кнопки скрыты за пределами первого экрана (below the fold), отображаются таким образом, что кажутся второстепенными или менее предпочтительными вариантами, или если им не хватает соответствующих «скоупов» (запрашивается слишком много данных), пользователь возвращается на путь с высоким уровнем трения — к паролю.

Более того, «эффект NASCAR», когда экран загроможден логотипами всех возможных провайдеров идентификации (Google, Facebook, Apple и т. д.), может привести к параличу принятия решений. И наоборот, предложение только одной опции, которую пользователь не использует (например, предложение только входа через Facebook, когда ваши клиенты преимущественно используют устройства Apple), создает тупик. Выбор дизайна часто проистекает из ошибочного желания «владеть учетными данными» (принуждая к созданию локального пароля), что непреднамеренно увеличивает количество отказов, подталкивая пользователей к пути наибольшего сопротивления.

На мобильных устройствах, где пространство экрана ограничено, а при вводе текста легко ошибиться, принудительная стена входа (login wall) еще более губительна. Заполнение формы регистрации с несколькими полями на клавиатуре смартфона — это действие, вызывающее большие сложности. Если кнопка «Зарегистрироваться» не является легкодоступной с помощью решения типа «Вход в один клик» (One-Tap), или если форма не поддерживает атрибуты автозаполнения должным образом, процент отказов значительно возрастает по сравнению с десктопами. Разрыв между мобильным трафиком (высоким) и мобильной конверсией (низкой) часто объясняется тем, насколько трудно преодолевать эти стены входа на 6-дюймовом экране.

Как обнаружить: Доля сброса паролей в процентах от общего числа попыток входа. Цифра выше 10% означает, что усталость от паролей снижает конверсию авторизации.

Почему это важно: Сбросы паролей являются индикатором недовольства пользователей. Каждый сброс означает пользователя, который хотел взаимодействовать, но не может войти.

Доля сброса паролей напрямую измеряет сложности аутентификации. Когда вернувшиеся пользователи видят «Неверный пароль», они пробуют другие варианты. Если они не подходят: инициируют сброс пароля или отказываются от входа.

graph LR
    Step1(1. Нажать 'Забыли пароль') --> Step2(2. Ввести Email);
    Step2 --> Step3{3. Ожидание Email \n Задержка переменна};
    Step3 --Приходит поздно--> DropOff1[Отток: Отвлекся/Потерял терпение];
    Step3 --Приходит--> Step4(4. Переключение контекста на почтовое приложение);
    Step4 --> Step5{5. Поиск Email \n Спам/Промоакции?};
    Step5 --Затерялось--> DropOff2[Отток: Не может найти email];
    Step5 --Найдено--> Step6(6. Переход по ссылке сброса);
    Step6 --> Step7{7. Создание нового пароля \n Правила сложности};
    Step7 --Не проходит правила/Проверка истории--> DropOff3[Отток: Разочарование/Отказ от гнева];
    Step7 --Успех--> Step8(8. Подтверждение пароля);
    Step8 --> Step9(9. Возврат на экран входа);
    Step9 --> Step10(10. Ввод новых учетных данных);
    Step10 --> Success(Возврат к оформлению заказа);

    style DropOff1 fill:#ffdede,stroke:none,color:#cc0000
    style DropOff2 fill:#ffdede,stroke:none,color:#cc0000
    style DropOff3 fill:#ffdede,stroke:none,color:#cc0000
    linkStyle 2,5,8 stroke:#cc0000,stroke-width:2px,stroke-dasharray: 5 5;

Около 19% пользователей бросают корзины, потому что забыли свой пароль. Каждый шаг — это точка оттока. К шагу 5 (поиск письма в спаме) вы уже потеряли значительную часть пользователей.

Почти 50% пользователей отказались бы от покупки, если бы им сказали, что их новый пароль не может совпадать со старым. Эта «проверка истории» блокирует механизм преодоления усталости от паролей: повторное использование. Без альтернативной аутентификации с низким уровнем трения (например, ключей доступа), пользователи придумывают пароли на ходу, которые потом забывают, гарантируя повторение цикла.

По оценкам Forrester, сброс пароля обходится в 70 долларов США, если требуется вмешательство человека. Для крупных корпораций это выливается в миллионы ежегодно.

Невидимые затраты еще хуже: разочарованные вернувшиеся пользователи, которые хотели совершить покупку, но оказались заблокированы. Цикл сброса пароля — это нанесенный самому себе удар по конверсии.

По иронии судьбы, сложности, связанные с паролями, приводят к ослаблению безопасности. Будучи разочарованными, пользователи прибегают к опасному поведению: записывают пароли, используют «Password123» или делятся учетными данными. 46% потребителей в США не завершают транзакции из-за сбоя аутентификации, и эта неудача толкает их к конкурентам, которые могут предложить бесшовный вход. Пароль стал основным вектором как для нарушений безопасности (посредством подстановки учетных данных — credential stuffing), так и для падения конверсии (в результате отказа).

Как обнаружить: Отслеживайте процесс запроса OTP, ввода OTP и успешного применения OTP. Если время ввода превышает 30 секунд или процент отказов составляет более 5%, значит, с SMS OTP есть проблемы с конверсией.

Почему это важно: SMS OTP меняют проблему запоминания на проблему доставки. Режимы сбоев невидимы: вы видите отток, а не пользователя, смотрящего в свой телефон в ожидании кода, который так и не приходит. Хуже того: затраты на SMS растут пропорционально использованию, поэтому вы платите за сложности аутентификации.

Фундаментальный недостаток SMS-аутентификации заключается в зависимости от телефонной сети (SS7), которая никогда не предназначалась для аутентификации в реальном времени. Доставка зависит от агрегаторов, операторов связи и роуминговых соглашений. Один сбой означает, что пользователь смотрит на экран, ожидая код, который никогда не придет.

Мошенничество с накруткой SMS (pump fraud) спровоцировало агрессивную спам-фильтрацию со стороны операторов связи. Легитимные OTP попадают под блокировку, особенно для международных пользователей. Пользователь из Германии, регистрирующийся в американском сервисе, может так и не получить код.

SMS OTP заставляют пользователей прервать процесс оформления заказа, открыть «Сообщения», запомнить код и вернуться обратно. На системах с агрессивным управлением памятью эта перезагрузка полностью сбрасывает процесс оформления заказа, очищая данные форм.

Хотя автозаполнение OTP на iOS и Android помогает, оно часто дает сбой, если формат SMS не соответствует эвристике ОС.

Как обнаружить: Сравните коэффициенты конверсии по типам устройств. Если мобильный трафик составляет более 70%, но конверсия отстает от десктопной более чем на 30%, это может означать наличие сложностей с аутентификацией между устройствами. Также проверьте показатели тайм-аута сессий при оформлении заказа.

Почему это важно: Пользователи просматривают товары на мобильных устройствах, но часто совершают покупки на десктопах. Если состояние аутентификации не переносится, вы заставляете их повторно входить в систему в самый неподходящий момент. Агрессивные тайм-ауты сессий (устанавливаемые отделами безопасности/комплаенса) убивают конверсию в середине оформления заказа или между двумя визитами.

«Кросс-платформенный разрыв» — хорошо задокументированное явление в электронной коммерции. На мобильный трафик приходится примерно 75% посещений, однако коэффициент конверсии на мобильных (около 2%) значительно отстает от конверсии на десктопах (около 3%). Хотя размер экрана играет свою роль, значительной причиной этого разрыва является неспособность бесшовно переносить состояние аутентификации.

Рассмотрим распространенный сценарий: Пользователь на смартфоне кликает по рекламе, просматривает магазин и добавляет товары в корзину. Он выступает в роли «гостя». Он решает завершить покупку на своем ноутбуке, где удобнее вводить данные кредитной карты. Когда он открывает сайт на десктопе, его корзина пуста. Чтобы ее вернуть, он должен войти в систему. Однако, если он создал аккаунт на мобильном телефоне, он мог использовать функцию «Предложить пароль», которая сгенерировала сложную строку, которую он никогда не видел. Теперь, на своем десктопе с Windows, он не знает пароля.

Они фактически отрезаны от собственных намерений. Им приходится инициировать сброс пароля на десктопе, что отправляет письмо на их телефон, заставляя проходить громоздкий цикл переключения между устройствами, который часто заканчивается отказом от покупки. Трение, возникающее при попытке преодолеть разрыв между мобильным устройством и ПК, слишком велико.

Тайм-ауты сессий часто устанавливаются командами по безопасности/комплаенсу (например, PCI-DSS) без участия продуктовой команды. 15-минутный тайм-аут звучит разумно, пока вы не поймете, что «бездействие» для сервера — это «поиск промокода» или «сравнение цен у конкурента» для пользователя.

Это происходит после того, как пользователь уже принял решение о покупке. Отказ воспринимается как наказание. Без автосохранения данных в формах им приходится вводить все заново. 60% потребителей называют разочарование при входе (включая тайм-ауты) причиной полного отказа.

Как обнаружить: Проверьте, не возросла ли частота запросов дополнительных факторов (step-up MFA) после инцидента безопасности. Ищите внезапные скачки блокировок по причине «подозрительной активности», которые коррелируют с падением конверсии. Опросите службу поддержки об объеме тикетов «Я не могу войти».

Почему это важно: Команды по безопасности и продукту часто работают разрозненно. После атаки с подстановкой учетных данных или аудита комплаенса служба безопасности добавляет трения (например, обязательную MFA, агрессивный скоринг рисков), не видя влияния на конверсию. Результат: уровень мошенничества падает, но падает и выручка. Цель — найти методы (такие как ключи доступа), которые одновременно более безопасны и вызывают меньше трений.

Когда пользователи сообщают «Я не могу войти», сколько времени занимает диагностика? Если у вас нет инструментов контроля аутентификации, вы действуете вслепую.

Успешность в 90% может скрывать 50% отказов для мобильных пользователей. Разделяйте по:

• Устройство/браузер: Ошибки в Chrome на Android при успешном входе в Safari на iOS указывают на специфический баг.
• Метод аутентификации: Если успех пароля составляет 90%, а входа через социальные сети — 60%, сфокусируйтесь на реализации входа через соцсети.
• Точка входа: Если вход через хедер (шапку сайта) имеет 95% успеха, а вход при оформлении заказа — 70%, процесс оформления заказа имеет уникальные сложности.
• Новые и вернувшиеся: Ошибки у новых пользователей указывают на проблемы с регистрацией; ошибки у вернувшихся — на проблемы с паролями/сессиями.
• Регион/рынок: Предпочтения по входу через социальные сети сильно различаются (Facebook силен в США, Kakao/Naver в Корее, Google доминирует в Европе). Надежность доставки SMS также зависит от оператора связи и страны.

Для комплексного измерения смотрите наше руководство по аналитике аутентификации.

Вам не нужно избавляться от вашего провайдера идентификации (Auth0, Cognito, ForgeRock, Ping), чтобы улучшить ситуацию. Эффективные UX-исправления могут быть выпущены за один спринт.

• Показать пароль: Функция «Показать пароль» (иконка глаза) снижает количество ошибок входа из-за опечаток на мобильных устройствах.
• Постоянные опции входа: Если пользователь ранее использовал Google, выделите кнопку Google. Значок «В последний раз вы использовали Google» снижает когнитивную нагрузку.
• Встроенная валидация (Inline Validation): Проверяйте требования к паролю в режиме реального времени, а не при отправке формы.
• Продление сессий: Устанавливайте тайм-аут только для чувствительных действий, а не при просмотре продуктов.
• Автофокус: Установите курсор в поле email при открытии модального окна, корректируйте клавиатуру на мобильных устройствах.

Изменения в UX помогают, но самый мощный рычаг — полный отказ от паролей. Ключи доступа решают симптомы 1, 2, 3 и 5:

• Никакого набора текста: Face ID/Touch ID/Windows Hello — нет пароля, который можно забыть.
• Нет задержек доставки: Нет SMS-кодов. Учетные данные хранятся на устройстве.
• Никаких сбросов: Ключ доступа невозможно забыть. Он синхронизируется через iCloud Keychain или Менеджер паролей Google.
• Лучшая безопасность: Устойчивость к фишингу по умолчанию — более сильная аутентификация без трений.

Можете ли вы ответить на эти вопросы о вашей аутентификации?

• Какие комбинации устройств/браузеров имеют самый высокий процент оттока?
• Какой процент входов завершается неудачей из-за технических причин по сравнению с отменой пользователем, в разбивке по методам (пароль, соцсети, OTP, ключ доступа)?
• Когда пользователи сообщают: «Я не могу войти», можете ли вы провести диагностику за минуты, а не за дни?
• Как отличается конверсия входа: вход в шапке профиля по сравнению со входом при оформлении заказа?

Если нет, у вас та же слепая зона, что и у большинства команд. Corbado обеспечивает мониторинг специфических аспектов аутентификации для всех методов входа — он создан специально для команд, которым нужна аналитика без изменения стека аутентификации.

• Аналитика воронки: Отслеживайте конверсию на каждом этапе от login_initiated до session_established — сегментированную по паролю, входу через соцсети, OTP и ключу доступа.
• Инсайты на уровне устройств: Если Android Chrome дает сбои в 3 раза чаще, чем iOS Safari для конкретного метода, вы знаете, на чем сфокусироваться.
• Атрибуция ошибок: Конкретные причины сбоев (например, password_incorrect, otp_expired, social_login_cancelled, credential_not_found) превращают размытые проблемы со входом в данные, с которыми можно работать.

• Сравнение методов: Какой метод аутентификации имеет наибольший уровень успеха? Наименьшие сложности? Смотрите аналитику по ключам доступа для специфических KPI.
• A/B-тестирование: Тестируйте приоритет метода аутентификации, резервные сценарии (fallback) и подталкивания к регистрации.
• Когортный анализ: Сравнивайте коэффициенты конверсии и брошенных корзин по различным методам аутентификации.
• Дашборды в реальном времени: Мониторьте состояние аутентификации во время «Черной пятницы» или запуска новых продуктов.

Как только вы обнаружите, что успех входа при оформлении заказа на 20% ниже, чем входа из хедера:

• Оптимизация метода: Предлагайте самый быстрый метод аутентификации для каждого пользователя на основе истории.
• Conditional UI: Автозаполнение браузера предлагает сохраненные учетные данные, обеспечивая вход без трений.
• Резервные сценарии (Fallback Flows): Умная маршрутизация от неудачных методов к альтернативным без тупиков.
• Снижение затрат: Переводите пользователей с SMS OTP на менее затратные методы, такие как ключи доступа. Некоторые компании отмечают снижение расходов на SMS более чем на 70%.

Узнайте больше о возможностях аналитики Corbado.

Сложности при входе — это проблема с выручкой, скрывающаяся в слепой зоне метрик. Пять симптомов можно идентифицировать и устранить:

1. Отказ от входа/регистрации: Добавьте оформление заказа без регистрации, заметный вход через соцсети, исправьте мобильный UX.
2. Усталость от паролей: Отслеживайте частоту сбросов, внедряйте сценарии привязки ключей доступа.
3. Ошибки доставки OTP: Измеряйте процент успеха по регионам/операторам, рассмотрите альтернативы.
4. Кросс-платформенные трения: Продлевайте сессии, сохраняйте состояние корзины, улучшайте UX перехода между устройствами.
5. Трения, вызванные требованиями безопасности: Согласуйте действия команд по безопасности и продукту вокруг общих метрик конверсии.

Мета-проблема: Большинство организаций не видят сложностей с аутентификацией в своей аналитике. Отказы логируются, а их первопричины — нет.

Путь к беспрепятственному входу:

1. Настройте инструменты воронки аутентификации (см. руководство по аналитике аутентификации).
2. Сегментируйте конверсию авторизации по устройству, методу, точке взаимодействия.
3. В первую очередь исправляйте проблемы с наибольшим влиянием (часто это изменения UX, выполняемые за один спринт).
4. Подготовьте бизнес-кейс для аутентификации с низким уровнем трения.
5. Проанализируйте всю воронку электронной коммерции, чтобы понять, как аутентификация вписывается в общий путь оформления заказа.

Аутентификация — это единственный шаг, который должен выполнить каждый пользователь. Ее оптимизация — это работа с наибольшим влиянием на конверсию, которую большинство команд не делают.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Отслеживайте дискретные события от login_initiated до session_established, сегментируя их по методу аутентификации, типу устройства и точке входа. Совокупный показатель успешности в 90% может скрывать 50% отказов в определенных сегментах, например, среди мобильных пользователей. Сегментируйте новых и вернувшихся пользователей, чтобы отличить проблемы с регистрацией от проблем с сессиями и паролями.

Эффект NASCAR возникает, когда экран входа перегружен логотипами множества поставщиков удостоверений, что приводит к параличу принятия решений в момент наивысшего намерения в воронке. Решение заключается в выделении одного основного варианта и добавлении ссылки «Другие варианты», а не в одновременном отображении всех провайдеров. Предоставление только одного провайдера, которого пользователи не узнают, создает столь же разрушительный тупик.

Тайм-ауты сессий обычно устанавливаются командами по безопасности или комплаенсу без участия продуктологов. 15-минутный тайм-аут регистрируется как неактивность сервера, пока пользователь ищет промокоды или сравнивает цены в другой вкладке. 60% потребителей называют разочарование при входе, включая тайм-ауты, причиной полного отказа от покупки, а без автосохранения форм пользователям приходится заново вводить все данные для оформления заказа.

Большее влияние оказывает потеря конверсии: 46% потребителей в США не завершают транзакции из-за ошибок аутентификации, часто переходя к конкурентам. Воронка сброса пароля содержит множество точек оттока, включая задержку доставки писем, спам-фильтры и правила сложности паролей. Каждая из них приводит к потере части пользователей, изначально имевших высокие намерения, еще до их возвращения к оформлению заказа.

Почти 50% пользователей отказались бы от использования сайта, если бы им сообщили, что их новый пароль не должен совпадать с предыдущим. Проверка истории блокирует основной механизм борьбы с усталостью от паролей: повторное использование знакомых учетных данных. Без альтернативы с низким уровнем трения пользователи придумывают пароли на ходу и сразу же забывают их, запуская полный цикл отказов при следующем посещении.