必要な摩擦:UXセキュリティの演劇

公開: 2022-07-22

UXデザイナーは一般的に製品を使いやすくするよう努めていますが、摩擦を加えることで製品のセキュリティが向上する場合があります。 たとえば、2要素認証ではログインが遅くなりますが、個人情報の盗難を減らすことができます。 摩擦を実装すると、単にユーザーが安全だと感じる場合もあります。アニメーションのプログレスバーは個人データを保護しませんが、安全な環境で必要とされる高度な処理能力に関するユーザーの期待に応えることができます。

スウェーデン政府と契約しているデジタルセキュリティ会社Frejaの製品設計マネージャーとして、私は日常的に使いやすさとユーザーの安全性を調和させる方法を探しています。 これは、ユーザーが安全だと感じる機能を組み込むことを意味する場合もあります。 たとえば、ほとんどのデジタル製品は複雑なデータを瞬時に計算できますが、調査によると、人為的な読み込み時間により、高度なシステムがユーザーに代わって懸命に働いているという感覚がユーザーに与えられます。 一方、設計者がセキュリティを強化するように見える機能(セキュリティシアターと呼ばれる)に過度に依存している場合、ユーザーは自分の情報が実際よりも安全であると信じ込ませる可能性があります。

UXセキュリティを強化する機能

本人確認は、UXセキュリティの重要な側面です。 残念ながら、ユーザー名とパスワードは信頼できる認証手段ではありません。2021年には、フィッシング攻撃の85%がユーザーの資格情報を標的にしていました。 これに対抗するために、設計者は、ユーザーがアカウントを作成してログインするのにかかる時間を増やすセキュリティ機能を実装しています。 たとえば、多要素認証(MFA)では、アカウントの作成時またはログイン時に複数の形式のIDが必要です。 MFAを採用しているほとんどの製品では、ユーザーは次の3つの資格情報のうち2つを提供する必要があります。

  • パスポートや運転免許証などのIDの形式、またはクレジットカードなどの支払い方法
  • パスワードやPINなどの一意の情報
  • 顔、指紋、網膜スキャンなどの生体認証データ

ユーザーを安全に保ちながらMFAを合理化する1つの方法は、ユーザーが顔の横に公式IDを持って写真やビデオを撮るドキュメントセルフィーを要求することです。 自撮り写真がアップロードされると、企業は従業員にユーザーの顔とIDを調べて一致させるか、コンピューターアルゴリズムを使用して信頼性を判断します。

顔認識は、ログイン時以降、急速に人気のあるセキュリティ機能になりつつあります。 たとえば、一部の銀行アプリは、ユーザーがアカウントの詳細にアクセスしたり、電子文書に署名したり、資金を送金したりするときに、顔認識を使用してユーザーのIDを確認します。 また、多くの人が顔認識だけを使用してスマートフォンのロックをすばやく解除していますが、セキュリティを強化するためのMFA戦略の一部としてこのテクノロジーを実装することをお勧めします。

イラストは、スマートフォンのアプリのサインイン画面を示しています。テキストには、「ようこそ。ログインして開始してください。」その下には、ユーザーがIDとパスワードを入力するためのフィールドと、ログインプロセスを完了したりパスワードのヘルプを取得したりするためのボタンがあります。 Face ID機能のオーバーレイは、フレーム内の顔の輪郭を示します。
顔認識などの生体認証データを使用するセキュリティ対策により、ユーザーのID、情報、および資金を盗難から保護します。

ユーザーの身元を確認する簡単な方法は、30分から数日の範囲の所定の間隔でユーザーを自動的にログアウトすることです。 この方法は煩わしいと感じる人もいるかもしれませんが、ラップトップを放置したり、スマートフォンを紛失したり、公共のコンピューターからログアウトするのを忘れたりするユーザーを保護できます。

また、イベントチケットや処方箋など、デジタルドキュメントの正当な所有者であることをユーザーが確認する必要がある場合もあります。 私は、ユーザーのデジタルID(アプリで確認済み)をCOVID-19ワクチンパスポートに安全にリンクする製品の設計をFrejaが支援しました。 これにより、パスポートは、多くの国で利用可能な紙のバージョンや既存のデジタルバージョンよりも偽造がはるかに困難になりました。 たとえば、スウェーデンとデンマークでは、デジタルワクチンパスポートは他の形式の身分証明書に接続されておらず、通常はQRコードを介してアクセスされます。

デジタル検証の進歩にもかかわらず、特定の銀行を含む一部の企業は、特にローンを申請するときに、ユーザーが身元を証明するために実際の場所に行くことを要求しています。 このような場合、スタッフはユーザーの外観を注意深く確認し、身分証明書の写真と一致することを確認します。 一部の人々はこのセキュリティシアターを検討し、ユーザーが立ち会わなくても従業員がこのタスクを完了することができると主張しています。 しかし、直接の訪問は、本物の画像と区別するのが難しくなっているディープフェイクと呼ばれる写真やビデオの改ざんから保護するため、セキュリティを強化することができます。 さらに、AARP Researchの調査によると、50歳以上の成人の83%は、オンラインでの活動や情報が非公開であると確信していません。 これらのユーザーにドキュメントを直接確認するオプションを提供することで、永続的な製品の信頼と忠誠心を確立できます。

多くのデジタル製品には、ユーザーの住所、連絡先情報、支払い方法、さらには病歴も保存されます。 賭け金を考えると、より多くのセキュリティ対策を実装すると、より安全な製品につながると思うかもしれませんが、それは簡単にイライラするユーザーエクスペリエンスを生み出す可能性があります。 コンテキストは非常に重要です。 たとえば、暗号取引アプリを設計している場合、その情報はGoogleで簡単に見つけられるため、ユーザーがログインせずにトークンの価格と傾向を表示できるようにすることができます。 ただし、ユーザーがトークンを購入または販売することを決定した場合は、MFAを使用してログインする必要があります。 アクションが異なれば、必要なセキュリティレベルも異なります。

ユーザーを安心させるセキュリティシアター

場合によっては、設計者はセキュリティシアターを利用して摩擦を加え、ユーザーに安心感を与えます。 この方法は、ユーザーを真に保護するUX機能の代わりにならない限り、有益な場合があり、場合によっては必要になることもあります。

一部の企業は、手続きに不必要な時間を追加して、安心できるようにしています。 TurboTaxは、ユーザーが税金を申告しているときに、個人情報と財務情報の処理を遅くします。 アニメーション化されたプログレスバーと画面上のテキストを組み合わせることで、プログラムがすべての詳細を調べて、考えられるすべての減税が適用されていることを確認できます。 しかし、TurboTaxはすでにすべてのステップでそのデータを検証しています。

TurboTax Webサイトのソースコードを調査した研究者は、進行状況インジケーターが事前設定されていることを発見しました。 アニメーションの再生が開始されると、サイトのサーバーとの通信が停止します。 さらに、進行状況インジケーターはすべてのユーザーで同じであり、常に同じ時間持続します。 遅延、グラフィックス、およびメッセージは、可能な限り最大の納税申告書を取得しているというユーザーの信頼を高めることを目的とした演劇的な方法です。これは、TurboTaxがデータ暗号化と多要素認証も採用しているため許容されます。

他の企業は、同様の遅延をさまざまなやり取りに追加しています。 ウェルズファーゴは、ユーザーがフルスピードで実行しているときに動作しているかどうか確信が持てなかったため、アプリの網膜スキャナーの速度を低下させました。 Facebookのアカウントセキュリティチェックは、実際には処理に数ミリ秒かかりますが、ユーザーは最大10秒待つ必要があります。 Google Venturesによって設計されたものを含む、貸し手が支援する住宅ローンアプリは、ユーザーが即時承認を信頼していなかったため、ローン承認プロセスを遅らせ、信用調査用の偽のプログレスバーを追加しました。

Freja eIDアプリでは、近距離無線通信(NFC)を介して情報をアップロードするために、ユーザーが携帯電話をチップ対応パスポートに3秒間保持する必要があります。 実際、アップロードには1秒もかかりませんが、ユーザーにスマートフォンを長時間安定させておくように依頼すると、プロセスが安全であると感じるようになります。 ドキュメントの自撮り写真にも摩擦を導入しました。必要なのは静止画だけでしたが、ユーザーはそれが安全であると確信していなかったため、頭を左右に回転させる手順を追加しました。

Frejaを含むこれらすべての企業は、実際のセキュリティに裏打ちされたセキュリティシアターがユーザーの信頼を高めていることを発見しました。 クライアントのUXセキュリティプロジェクトに取り組むとき、多くのユーザーのメンタルモデルが現代のテクノロジーの速いペースにまだ追いついていないことを忘れないでください。 速度を落とすと、ユーザーは製品が安全であると確信できるようになります。

グラフィックは、TuboTaxの偽のプログレスバーのスクリーンショットを示しています。控除、クレジット、および分析のステータスバーが表示されます。この画像には、お金を受け取る手のアイコンも含まれています。
TurboTaxの偽のプログレスバーとステータスメッセージの図解されたレンダリング。これはすべてのユーザーで同一であり、常に同じ時間表示されます。 時間遅延、グラフィック、およびテキストは、製品の安全性に対するユーザーの信頼を高めることができるセキュリティシアターの例です。

UXと摩擦:共生関係

UXセキュリティはスペクトルであり、ユーザーはセキュリティがどのように見えるべきかについて特定の期待を抱いています。ソーシャルメディアメッセージの送信は高速でシンプルでなければなりません。 10,000ドルを他人の銀行口座に送金するべきではありません。

インタラクションデザインでは、ユーザーができるだけ早く目標を達成できるようにすることを目的として、フローが優先されることがよくありますが、信頼を高め、ユーザーの貴重な情報を保護する思慮深い摩擦の重要性を軽視しないでください。

Toptalブログでさらに読む:

  • 安全な設計:UXセキュリティの概要
  • 製品の信頼を最大化するための設計方法
  • カードの並べ替え:ユーザーのメンタルモデルに合わせた情報アーキテクチャの改善