Attrito necessario: la teatralità della sicurezza UX

Pubblicato: 2022-07-22

I designer UX generalmente si sforzano di rendere i prodotti più facili da usare, ma ci sono circostanze in cui l'aggiunta di attrito migliora la sicurezza del prodotto. Ad esempio, l'autenticazione a due fattori rallenta l'accesso ma può ridurre il furto di identità. Ci sono anche occasioni in cui l'implementazione dell'attrito fa semplicemente sentire gli utenti al sicuro: le barre di avanzamento animate non proteggono i dati personali ma possono soddisfare le aspettative di un utente sul livello più elevato di potenza di elaborazione richiesta in un ambiente sicuro.

In qualità di product design manager per Freja, un'azienda di sicurezza digitale sotto contratto con il governo svedese, cerco regolarmente modi per armonizzare l'usabilità con la sicurezza degli utenti. A volte ciò significa incorporare funzionalità che gli utenti percepiscono come sicure. Ad esempio, la maggior parte dei prodotti digitali può calcolare istantaneamente dati complessi, ma la ricerca mostra che i tempi di caricamento artificiali danno agli utenti la sensazione che un sistema avanzato stia lavorando sodo per loro conto. D'altra parte, se i progettisti fanno troppo affidamento su funzionalità che sembrano solo rafforzare la sicurezza (note come teatro della sicurezza), possono indurre gli utenti a credere che le loro informazioni siano più sicure di quanto non siano.

Funzionalità che migliorano la sicurezza dell'esperienza utente

La verifica dell'identità è un aspetto cruciale della sicurezza dell'esperienza utente. Sfortunatamente, nomi utente e password non sono misure di autenticazione affidabili: nel 2021, l'85% degli attacchi di phishing ha preso di mira le credenziali degli utenti. Per contrastare questo problema, i progettisti stanno implementando funzionalità di sicurezza che aumentano il tempo necessario agli utenti per creare e accedere a un account. Ad esempio, l'autenticazione a più fattori (MFA) richiede più forme di identificazione al momento della creazione dell'account o dell'accesso. La maggior parte dei prodotti che utilizzano l'autenticazione a più fattori richiede agli utenti di fornire due delle tre credenziali:

  • Una forma di identità, come un passaporto o una patente di guida, o un metodo di pagamento, come una carta di credito
  • Informazioni univoche, come una password o un PIN
  • Dati biometrici, come una scansione del viso, dell'impronta digitale o della retina

Un modo per semplificare l'MFA mantenendo gli utenti al sicuro è richiedere un selfie del documento in cui un utente scatta una foto o un video tenendo un documento d'identità ufficiale accanto al viso. Una volta caricato il selfie, le aziende chiedono a un dipendente di esaminare il volto e l'ID dell'utente per trovare una corrispondenza o utilizzare algoritmi informatici per determinare l'autenticità.

Il riconoscimento facciale sta rapidamente diventando una funzionalità di sicurezza popolare all'accesso e oltre. Ad esempio, alcune app bancarie utilizzano il riconoscimento facciale per verificare l'identità di un utente quando desidera accedere ai dettagli del conto, firmare documenti elettronici o trasferire fondi. E sebbene molte persone utilizzino il riconoscimento facciale da solo per sbloccare rapidamente i propri smartphone, consiglio di implementare la tecnologia come parte di una strategia MFA per una maggiore sicurezza.

Un'illustrazione mostra la schermata di accesso di un'app su uno smartphone. Il testo recita: “Benvenuto. Accedi per iniziare." Di seguito sono riportati i campi in cui gli utenti possono inserire i propri ID e password, nonché i pulsanti per completare il processo di accesso o ottenere assistenza per la password. Una sovrapposizione della funzione Face ID mostra il contorno di un viso all'interno di una cornice.
Le misure di sicurezza che utilizzano dati biometrici, come il riconoscimento facciale, proteggono meglio le identità, le informazioni e i fondi degli utenti contro i furti.

Un modo semplice per verificare l'identità di un utente è disconnetterlo automaticamente a intervalli predeterminati che vanno da mezz'ora a pochi giorni. Mentre alcuni potrebbero trovare questo metodo fastidioso, può proteggere gli utenti che lasciano un laptop incustodito, perdono uno smartphone o dimenticano di disconnettersi da un computer pubblico.

Ci saranno anche momenti in cui gli utenti dovranno verificare di essere i legittimi proprietari di documenti digitali, come biglietti per eventi e prescrizioni. Ho aiutato Freja a progettare un prodotto che collegasse in modo sicuro l'identità digitale di un utente (verificata nella nostra app) al suo passaporto per il vaccino COVID-19. Ciò ha reso il passaporto molto più difficile da falsificare rispetto alla versione cartacea o alla versione digitale preesistente disponibile in molti paesi. In Svezia e Danimarca, ad esempio, i passaporti vaccinali digitali non sono collegati ad altre forme di identificazione e sono generalmente accessibili tramite un codice QR.

Nonostante i progressi nella verifica digitale, alcune aziende, comprese alcune banche, richiedono ancora agli utenti di visitare un luogo fisico per dimostrare la propria identità, soprattutto quando richiedono un prestito. In questi casi, i membri del personale esaminano attentamente l'aspetto dell'utente e si assicurano che corrisponda alle foto sui loro documenti di identità. Alcuni considerano questo teatro di sicurezza e sostengono che un dipendente potrebbe completare questa attività senza che l'utente sia presente. Ma le visite di persona possono essere un miglioramento della sicurezza perché proteggono dalle falsificazioni di foto e video note come deepfake, che stanno diventando più difficili da distinguere dalle immagini autentiche. Inoltre, un sondaggio AARP Research ha rilevato che l'83% degli adulti di età pari o superiore a 50 anni non è sicuro che le proprie attività e informazioni online siano private. Fornire a questi utenti la possibilità di far esaminare i propri documenti di persona può stabilire una fiducia e una lealtà durature del prodotto.

Molti prodotti digitali memorizzano anche gli indirizzi degli utenti, le informazioni di contatto, i metodi di pagamento e persino le storie mediche. Data la posta in gioco, potresti pensare che l'implementazione di più misure di sicurezza porterà a un prodotto più sicuro, ma ciò potrebbe facilmente creare un'esperienza utente frustrante. Il contesto è cruciale. Ad esempio, se stavi progettando un'app per il trading di criptovalute, potresti consentire agli utenti di visualizzare i prezzi e le tendenze dei token senza effettuare l'accesso poiché tali informazioni sono facili da trovare su Google. Ma quando gli utenti decidono di acquistare o vendere token, dovresti richiedere loro di accedere utilizzando MFA. Azioni diverse richiedono diversi livelli di sicurezza.

Security Theater che fa sentire gli utenti al sicuro

In alcuni casi, i progettisti si affidano al teatro di sicurezza per aggiungere attrito e offrire agli utenti una maggiore tranquillità. Questa pratica può essere utile, a volte persino necessaria, purché non sostituisca le funzionalità UX che proteggono realmente gli utenti.

Alcune aziende aggiungono tempo non necessario alle procedure per farle sentire al sicuro. TurboTax rallenta l'elaborazione delle informazioni personali e finanziarie quando un utente presenta le proprie tasse. Le barre di avanzamento animate insieme al testo sullo schermo assicurano agli utenti che il programma sta esaminando ogni dettaglio per garantire l'applicazione di tutte le possibili agevolazioni fiscali. Ma TurboTax ha già verificato quei dati in ogni fase.

I ricercatori che hanno studiato il codice sorgente del sito Web TurboTax hanno scoperto che gli indicatori di avanzamento sono preimpostati. Una volta che le animazioni iniziano a essere riprodotte, smettono di comunicare con i server del sito. Inoltre, gli indicatori di avanzamento sono gli stessi per tutti gli utenti e durano sempre per la stessa quantità di tempo. Il ritardo, la grafica e i messaggi sono metodi teatrali volti ad aumentare la fiducia degli utenti di ottenere la più grande dichiarazione dei redditi possibile, il che è accettabile poiché TurboTax utilizza anche la crittografia dei dati e l'autenticazione a più fattori.

Altre aziende aggiungono ritardi simili in una serie di interazioni. Wells Fargo ha rallentato gli scanner retinici sulla sua app perché gli utenti non erano sicuri che stessero funzionando quando funzionavano a piena velocità. I controlli di sicurezza dell'account di Facebook richiedono in realtà alcuni millisecondi per essere elaborati, ma costringono gli utenti ad attendere fino a 10 secondi. Le app ipotecarie sostenute da prestatori, inclusa quella progettata da Google Ventures, hanno rallentato i processi di approvazione dei prestiti e aggiunto barre di avanzamento false per i controlli del credito perché gli utenti non si fidavano dell'approvazione istantanea.

Con l'app Freja eID, chiediamo agli utenti di tenere i telefoni sui loro passaporti abilitati al chip per tre secondi per caricare le informazioni tramite Near Field Communication (NFC). In effetti, il caricamento richiede meno di un secondo, ma chiedere agli utenti di mantenere i loro telefoni fermi più a lungo fa sentire loro che il processo è sicuro. Abbiamo introdotto l'attrito anche nel selfie del documento: un'immagine statica era tutto ciò di cui avevamo bisogno, ma gli utenti non erano convinti che fosse sicuro, quindi abbiamo aggiunto il passaggio per farli girare la testa a sinistra e a destra.

Tutte queste aziende, inclusa Freja, hanno scoperto che il teatro di sicurezza, supportato dalla sicurezza effettiva, ha aumentato la fiducia degli utenti. Mentre lavori su progetti di sicurezza UX per i tuoi clienti, ricorda che i modelli mentali di molti utenti non hanno ancora raggiunto il ritmo veloce della tecnologia moderna. Rallentare le cose può aiutare gli utenti a sentirsi sicuri che un prodotto sia sicuro.

Un grafico mostra uno screenshot della falsa barra di avanzamento di TuboTax, che dice: "Ricontrollando ogni possibile sgravio fiscale... Ti stiamo ottenendo ogni dollaro che meriti assicurandoci di non perdere nulla". Vengono visualizzate le barre di stato per detrazioni, crediti e analisi. L'immagine presenta anche l'icona di una mano che riceve denaro.
Un rendering illustrato della falsa barra di avanzamento e del messaggio di stato di TurboTax, che è identico per tutti gli utenti e appare sempre per lo stesso periodo di tempo. Il ritardo, la grafica e il testo sono esempi di teatro di sicurezza, che possono aumentare la fiducia degli utenti nella sicurezza di un prodotto.

UX e attrito: una relazione simbiotica

La sicurezza dell'esperienza utente è uno spettro e gli utenti hanno aspettative specifiche su come dovrebbe essere la sicurezza: l'invio di un messaggio sui social media dovrebbe essere rapido e semplice. Il trasferimento di $ 10.000 sul conto bancario di qualcun altro non dovrebbe.

Nella progettazione dell'interazione, il flusso è spesso prioritario con l'intento di aiutare gli utenti a completare i propri obiettivi il più rapidamente possibile, ma non sottovalutare l'importanza di un attrito ponderato che aumenta la fiducia e salvaguarda le informazioni preziose degli utenti.

Ulteriori letture sul blog Toptal:

  • Sicuro in base alla progettazione: una panoramica della sicurezza UX
  • Come progettare per la massima fiducia del prodotto
  • Ordinamento delle carte: migliore architettura dell'informazione allineandosi con i modelli mentali degli utenti