Gesekan yang Diperlukan: Theatrics of UX Security

Diterbitkan: 2022-07-22

Desainer UX umumnya berusaha untuk membuat produk lebih mudah digunakan, tetapi ada keadaan di mana menambahkan gesekan meningkatkan keamanan produk. Misalnya, otentikasi dua faktor membuat proses masuk lebih lambat tetapi dapat mengurangi pencurian identitas. Ada juga saat-saat ketika menerapkan gesekan hanya membuat pengguna merasa aman: Bilah kemajuan animasi tidak melindungi data pribadi tetapi dapat memenuhi harapan pengguna tentang tingkat kekuatan pemrosesan yang lebih tinggi yang diperlukan dalam lingkungan yang aman.

Sebagai manajer desain produk untuk Freja, sebuah perusahaan keamanan digital di bawah kontrak dengan pemerintah Swedia, saya secara rutin mencari cara untuk menyelaraskan kegunaan dengan keselamatan pengguna. Terkadang itu berarti menggabungkan fitur yang dianggap aman oleh pengguna. Misalnya, sebagian besar produk digital dapat secara instan menghitung data yang kompleks, tetapi penelitian menunjukkan bahwa waktu pemuatan buatan memberi pengguna perasaan bahwa sistem canggih bekerja keras atas nama mereka. Di sisi lain, jika desainer terlalu bergantung pada fitur yang tampaknya hanya meningkatkan keamanan (dikenal sebagai teater keamanan), mereka dapat membuat pengguna percaya bahwa informasi mereka lebih aman daripada itu.

Fitur yang Meningkatkan Keamanan UX

Verifikasi identitas adalah aspek penting dari keamanan UX. Sayangnya, nama pengguna dan sandi bukanlah ukuran autentikasi yang andal: Pada tahun 2021, 85% serangan phishing menargetkan kredensial pengguna. Untuk mengatasi hal ini, desainer menerapkan fitur keamanan yang meningkatkan waktu yang dibutuhkan pengguna untuk membuat dan masuk ke akun. Misalnya, otentikasi multifaktor (MFA) memerlukan berbagai bentuk identifikasi saat pembuatan akun atau login. Sebagian besar produk yang menggunakan MFA mengharuskan pengguna untuk memberikan dua dari tiga kredensial:

  • Bentuk ID, seperti paspor atau SIM, atau metode pembayaran, seperti kartu kredit
  • Informasi unik, seperti kata sandi atau PIN
  • Data biometrik, seperti pemindaian wajah, sidik jari, atau retina

Salah satu cara untuk merampingkan MFA sekaligus menjaga keamanan pengguna adalah dengan mewajibkan selfie dokumen di mana pengguna mengambil foto atau video sambil memegang ID resmi di samping wajah mereka. Setelah selfie diunggah, perusahaan meminta karyawan memeriksa wajah dan ID pengguna untuk menemukan kecocokan atau menggunakan algoritme komputer untuk menentukan keasliannya.

Pengenalan wajah dengan cepat menjadi fitur keamanan populer saat login dan seterusnya. Misalnya, beberapa aplikasi perbankan menggunakan pengenalan wajah untuk memverifikasi identitas pengguna saat mereka ingin mengakses detail akun, menandatangani dokumen elektronik, atau mentransfer dana. Dan meskipun banyak orang menggunakan pengenalan wajah saja untuk membuka kunci ponsel cerdas mereka dengan cepat, saya sarankan untuk menerapkan teknologi tersebut sebagai bagian dari strategi MFA untuk meningkatkan keamanan.

Sebuah ilustrasi menggambarkan layar masuk aplikasi pada ponsel cerdas. Teks itu berbunyi, “Selamat datang. Masuk untuk memulai.” Di bawah ini adalah kolom untuk pengguna memasukkan ID dan kata sandi mereka, serta tombol untuk menyelesaikan proses login atau mendapatkan bantuan kata sandi. Hamparan fitur ID Wajah menunjukkan garis luar wajah dalam bingkai.
Langkah-langkah keamanan yang menggunakan data biometrik, seperti pengenalan wajah, melindungi identitas, informasi, dan dana pengguna dengan lebih baik dari pencurian.

Cara mudah untuk memverifikasi identitas pengguna adalah dengan keluar secara otomatis pada interval yang telah ditentukan mulai dari setengah jam hingga beberapa hari. Meskipun beberapa orang mungkin menganggap metode ini mengganggu, metode ini dapat melindungi pengguna yang meninggalkan laptop tanpa pengawasan, kehilangan ponsel cerdas, atau lupa untuk keluar dari komputer umum.

Ada juga saat-saat ketika pengguna perlu memverifikasi bahwa mereka adalah pemilik sah dari dokumen digital, seperti tiket acara dan resep. Saya membantu Freja mendesain produk yang secara aman menautkan identitas digital pengguna (terverifikasi di aplikasi kami) ke paspor vaksin COVID-19 mereka. Ini membuat paspor jauh lebih sulit untuk dipalsukan daripada versi kertas atau versi digital yang sudah ada sebelumnya yang tersedia di banyak negara. Di Swedia dan Denmark, misalnya, paspor vaksin digital tidak terhubung dengan bentuk identifikasi lain dan biasanya diakses melalui kode QR.

Meskipun ada kemajuan dalam verifikasi digital, beberapa perusahaan, termasuk bank tertentu, masih mengharuskan pengguna untuk mengunjungi tempat fisik untuk membuktikan identitas mereka, terutama saat mengajukan pinjaman. Dalam kasus seperti itu, anggota staf dengan hati-hati meninjau penampilan pengguna dan memastikan bahwa itu cocok dengan foto pada dokumen identifikasi mereka. Beberapa menganggap teater keamanan ini dan berpendapat bahwa seorang karyawan dapat menyelesaikan tugas ini tanpa kehadiran pengguna. Tetapi kunjungan langsung dapat menjadi peningkatan keamanan karena mereka melindungi dari pemalsuan foto dan video yang dikenal sebagai deepfake, yang semakin sulit dibedakan dari gambar asli. Selain itu, survei Penelitian AARP menemukan bahwa 83% orang dewasa berusia 50 tahun ke atas tidak yakin bahwa aktivitas dan informasi online mereka bersifat pribadi. Memberi pengguna ini opsi untuk meninjau dokumen mereka secara langsung dapat membangun kepercayaan dan loyalitas produk yang bertahan lama.

Banyak produk digital juga menyimpan alamat pengguna, informasi kontak, metode pembayaran, dan bahkan riwayat medis. Mengingat taruhannya, Anda mungkin berpikir bahwa menerapkan lebih banyak tindakan keamanan akan menghasilkan produk yang lebih aman, tetapi itu dapat dengan mudah menciptakan pengalaman pengguna yang membuat frustrasi. Konteks sangat penting. Misalnya, jika Anda mendesain aplikasi perdagangan kripto, Anda dapat mengizinkan pengguna untuk melihat harga dan tren token tanpa masuk karena informasi itu mudah ditemukan di Google. Tetapi ketika pengguna memutuskan untuk membeli atau menjual token, Anda akan meminta mereka untuk masuk menggunakan MFA. Tindakan yang berbeda memerlukan tingkat keamanan yang berbeda.

Teater Keamanan yang Membuat Pengguna Merasa Aman

Dalam beberapa kasus, desainer mengandalkan teater keamanan untuk menambah gesekan dan memberikan ketenangan pikiran yang lebih besar kepada pengguna. Praktik ini bisa bermanfaat—bahkan terkadang perlu—selama itu bukan pengganti fitur UX yang benar-benar melindungi pengguna.

Beberapa perusahaan menambahkan waktu yang tidak perlu ke prosedur untuk membuat mereka merasa aman. TurboTax memperlambat pemrosesan informasi pribadi dan keuangan ketika pengguna mengajukan pajak mereka. Bilah kemajuan animasi dalam hubungannya dengan teks di layar meyakinkan pengguna bahwa program melihat setiap detail untuk memastikan semua kemungkinan keringanan pajak diterapkan. Tetapi TurboTax telah memverifikasi data itu di setiap langkah.

Para peneliti yang mempelajari kode sumber situs web TurboTax menemukan bahwa indikator kemajuan telah diatur sebelumnya. Setelah animasi mulai diputar, mereka berhenti berkomunikasi dengan server situs. Selain itu, indikator kemajuannya sama untuk semua pengguna dan selalu bertahan dalam jangka waktu yang sama. Penundaan, grafik, dan pesan adalah metode teatrikal yang dimaksudkan untuk meningkatkan kepercayaan pengguna bahwa mereka mendapatkan pengembalian pajak terbesar—yang dapat diterima karena TurboTax juga menggunakan enkripsi data dan otentikasi multifaktor.

Perusahaan lain menambahkan penundaan serupa ke dalam berbagai interaksi. Wells Fargo memperlambat pemindai retina pada aplikasinya karena pengguna tidak yakin mereka bekerja saat mereka berlari dengan kecepatan penuh. Pemeriksaan keamanan akun Facebook sebenarnya membutuhkan waktu milidetik untuk diproses, tetapi mereka memaksa pengguna untuk menunggu hingga 10 detik. Aplikasi hipotek yang didukung pemberi pinjaman, termasuk yang dirancang oleh Google Ventures, memperlambat proses persetujuan pinjaman mereka dan menambahkan bilah kemajuan palsu untuk pemeriksaan kredit karena pengguna tidak mempercayai persetujuan instan.

Dengan aplikasi Freja eID, kami mengharuskan pengguna untuk memegang ponsel mereka di paspor yang mendukung chip selama tiga detik untuk mengunggah informasi melalui komunikasi jarak dekat (NFC). Faktanya, unggahan membutuhkan waktu kurang dari satu detik, tetapi meminta pengguna untuk menjaga ponsel mereka tetap stabil lebih lama membuat mereka merasa prosesnya aman. Kami juga memperkenalkan gesekan ke dalam selfie dokumen: Gambar statis adalah semua yang kami butuhkan, tetapi pengguna tidak yakin bahwa itu aman, jadi kami menambahkan langkah untuk membuat mereka menoleh ke kiri dan ke kanan.

Semua perusahaan ini, termasuk Freja, telah menemukan bahwa teater keamanan—didukung oleh keamanan yang sebenarnya—telah meningkatkan kepercayaan pengguna. Saat Anda mengerjakan proyek keamanan UX untuk klien Anda, ingatlah bahwa banyak model mental pengguna yang belum mengikuti langkah cepat teknologi modern. Memperlambat segalanya dapat membantu pengguna merasa yakin bahwa suatu produk aman.

Sebuah grafik menunjukkan tangkapan layar bilah kemajuan palsu TuboTax, yang berbunyi, "Periksa dua kali untuk setiap kemungkinan keringanan pajak ... Kami memberi Anda setiap dolar yang pantas Anda dapatkan dengan memastikan kami tidak melewatkan apa pun." Bilah status untuk pengurangan, kredit, dan analisis ditampilkan. Gambar tersebut juga menampilkan ikon tangan yang menerima uang.
Render ilustrasi dari bilah kemajuan dan pesan status palsu TurboTax, yang identik untuk semua pengguna dan selalu muncul untuk jangka waktu yang sama. Waktu tunda, grafik, dan teks adalah contoh teater keamanan, yang dapat meningkatkan kepercayaan pengguna terhadap keamanan suatu produk.

UX dan Gesekan: Hubungan Simbiotik

Keamanan UX adalah spektrum, dan pengguna memiliki ekspektasi spesifik tentang seperti apa seharusnya keamanan: Mengirim pesan media sosial harus cepat dan sederhana. Mentransfer $10.000 ke rekening bank orang lain tidak boleh.

Dalam desain interaksi, aliran sering kali diprioritaskan dengan maksud membantu pengguna menyelesaikan tujuan mereka secepat mungkin—tetapi jangan mengabaikan pentingnya gesekan bijaksana yang meningkatkan kepercayaan dan melindungi informasi berharga pengguna.

Bacaan Lebih Lanjut di Blog Toptal:

  • Aman dengan Desain: Gambaran Umum Keamanan UX
  • Cara Mendesain untuk Kepercayaan Produk Maksimal
  • Penyortiran Kartu: Arsitektur Informasi yang Lebih Baik dengan Menyelaraskan dengan Model Mental Pengguna