Frecare necesară: Theatrics of UX Security

Publicat: 2022-07-22

Designerii UX se străduiesc în general să facă produsele mai ușor de utilizat, dar există circumstanțe în care adăugarea de frecare îmbunătățește securitatea produsului. De exemplu, autentificarea cu doi factori face autentificarea mai lentă, dar poate reduce furtul de identitate. Există, de asemenea, ocazii în care implementarea fricțiunii îi face pe utilizatori să se simtă în siguranță: barele de progres animate nu protejează datele personale, dar pot îndeplini așteptările utilizatorului cu privire la gradul mai mare de putere de procesare necesar într-un mediu securizat.

În calitate de manager de design de produs pentru Freja, o companie de securitate digitală sub contract cu guvernul suedez, caut în mod obișnuit modalități de a armoniza gradul de utilizare cu siguranța utilizatorilor. Uneori, asta înseamnă încorporarea unor funcții pe care utilizatorii le percep ca fiind sigure. De exemplu, majoritatea produselor digitale pot calcula instantaneu date complexe, dar cercetările arată că timpii artificiali de încărcare oferă utilizatorilor sentimentul că un sistem avansat lucrează din greu în numele lor. Pe de altă parte, dacă designerii se bazează prea mult pe funcții care par doar să întărească securitatea (cunoscut sub numele de teatru de securitate), aceștia pot determina utilizatorii să creadă că informațiile lor sunt mai sigure decât sunt.

Caracteristici care îmbunătățesc securitatea UX

Verificarea identității este un aspect crucial al securității UX. Din păcate, numele de utilizator și parolele nu sunt măsuri de autentificare fiabile: în 2021, 85% dintre atacurile de phishing au vizat acreditările utilizatorilor. Pentru a combate acest lucru, designerii implementează caracteristici de securitate care cresc timpul necesar utilizatorilor pentru a crea și a se conecta la un cont. De exemplu, autentificarea multifactorială (MFA) necesită mai multe forme de identificare la crearea contului sau autentificarea. Majoritatea produselor care folosesc MFA solicită utilizatorilor să furnizeze două din trei acreditări:

  • O formă de identitate, cum ar fi un pașaport sau un permis de conducere, sau o metodă de plată, cum ar fi un card de credit
  • Informații unice, cum ar fi o parolă sau un cod PIN
  • Date biometrice, cum ar fi o scanare a feței, a amprentei sau a retinei

O modalitate de a eficientiza MFA, menținând în același timp utilizatorii în siguranță, este să solicitați un document selfie în care un utilizator face o fotografie sau un videoclip în timp ce ține un act de identitate oficial lângă față. Odată ce selfie-ul este încărcat, companiile fie pun un angajat să examineze fața și ID-ul utilizatorului pentru o potrivire, fie folosesc algoritmi de computer pentru a determina autenticitatea.

Recunoașterea facială devine rapid o caracteristică de securitate populară la conectare și nu numai. De exemplu, unele aplicații bancare folosesc recunoașterea facială pentru a verifica identitatea unui utilizator atunci când doresc să acceseze detaliile contului, să semneze documente electronice sau să transfere fonduri. Și, deși mulți oameni folosesc singur recunoașterea facială pentru a-și debloca smartphone-urile rapid, recomand implementarea tehnologiei ca parte a unei strategii MFA pentru securitate sporită.

O ilustrație ilustrează ecranul de conectare al unei aplicații pe un smartphone. Textul spune: „Bine ați venit. Conectați-vă pentru a începe.” Mai jos sunt câmpuri pentru ca utilizatorii să își introducă ID-urile și parolele, precum și butoane pentru a finaliza procesul de conectare sau pentru a obține ajutor pentru parolă. O suprapunere a funcției Face ID arată conturul unei fețe într-un cadru.
Măsurile de securitate care utilizează date biometrice, cum ar fi recunoașterea facială, protejează mai bine identitățile utilizatorilor, informațiile și fondurile împotriva furtului.

O modalitate ușoară de a verifica identitatea unui utilizator este deconectarea automată a acestuia la intervale prestabilite, de la o jumătate de oră la câteva zile. Deși unii ar putea considera această metodă enervantă, poate proteja utilizatorii care lasă un laptop nesupravegheat, pierd un smartphone sau uită să se deconecteze de la un computer public.

De asemenea, vor exista momente în care utilizatorii vor trebui să verifice dacă sunt proprietarii de drept al documentelor digitale, cum ar fi biletele la evenimente și rețetele. L-am ajutat pe Freja să creeze un produs care a legat în siguranță identitatea digitală a unui utilizator (verificată în aplicația noastră) de pașaportul pentru vaccinul COVID-19. Acest lucru a făcut ca pașaportul să fie mult mai greu de falsificat decât versiunea pe hârtie sau versiunea digitală preexistentă disponibilă în multe țări. În Suedia și Danemarca, de exemplu, pașapoartele digitale pentru vaccinuri nu sunt conectate la alte forme de identificare și sunt de obicei accesate printr-un cod QR.

În ciuda progreselor în verificarea digitală, unele companii, inclusiv anumite bănci, solicită în continuare utilizatorilor să viziteze un loc fizic pentru a-și dovedi identitatea, mai ales atunci când solicită un împrumut. În astfel de cazuri, membrii personalului analizează cu atenție aspectul utilizatorului și se asigură că acesta se potrivește cu fotografiile de pe documentele lor de identificare. Unii consideră acest teatru de securitate și susțin că un angajat ar putea finaliza această sarcină fără ca utilizatorul să fie prezent. Dar vizitele în persoană pot fi o îmbunătățire a securității, deoarece protejează împotriva falsificărilor foto și video cunoscute sub denumirea de deepfakes, care devin din ce în ce mai greu de distins de imaginile autentice. În plus, un sondaj de cercetare AARP a constatat că 83% dintre adulții de 50 de ani și peste nu sunt siguri că activitatea și informațiile lor online sunt private. Oferirea acestor utilizatori cu opțiunea de a-și revizui documentele în persoană poate stabili încrederea și loialitatea durabilă în produs.

Multe produse digitale stochează, de asemenea, adresele utilizatorilor, informațiile de contact, metodele de plată și chiar istoricul medical. Având în vedere mizele, s-ar putea să credeți că implementarea mai multor măsuri de securitate va duce la un produs mai sigur, dar asta ar putea crea cu ușurință o experiență frustrantă pentru utilizator. Contextul este crucial. De exemplu, dacă proiectați o aplicație de tranzacționare cripto, ați putea permite utilizatorilor să vadă prețurile și tendințele token-ului fără a vă conecta, deoarece aceste informații sunt ușor de găsit pe Google. Dar atunci când utilizatorii decid să cumpere sau să vândă jetoane, le veți solicita să se conecteze folosind MFA. Acțiuni diferite necesită niveluri diferite de securitate.

Teatru de securitate care îi face pe utilizatori să se simtă în siguranță

În unele cazuri, designerii se bazează pe teatrul de securitate pentru a adăuga frecare și pentru a oferi utilizatorilor mai multă liniște sufletească. Această practică poate fi benefică – uneori chiar necesară – atâta timp cât nu înlocuiește funcțiile UX care protejează cu adevărat utilizatorii.

Unele companii adaugă timp inutil procedurilor pentru a le face să se simtă în siguranță. TurboTax încetinește procesarea informațiilor personale și financiare atunci când un utilizator își depune taxele. Barele de progres animate împreună cu textul de pe ecran asigură utilizatorilor că programul analizează fiecare detaliu pentru a se asigura că sunt aplicate toate reducerile fiscale posibile. Dar TurboTax a verificat deja aceste date la fiecare pas.

Cercetătorii care au studiat codul sursă al site-ului TurboTax au descoperit că indicatorii de progres sunt prestabiliți. Odată ce animațiile încep să fie redate, acestea încetează să comunice cu serverele site-ului. În plus, indicatorii de progres sunt aceiași pentru toți utilizatorii și durează întotdeauna aceeași perioadă de timp. Întârzierea, grafica și mesajele sunt metode teatrale menite să sporească încrederea utilizatorilor că obțin cea mai mare declarație fiscală posibilă – ceea ce este acceptabil, deoarece TurboTax utilizează, de asemenea, criptarea datelor și autentificarea multifactorială.

Alte companii adaugă întârzieri similare într-o serie de interacțiuni. Wells Fargo a încetinit scanerele retiniene din aplicația sa, deoarece utilizatorii nu erau siguri că funcționează atunci când rulau la viteză maximă. Verificările de securitate ale contului Facebook durează de fapt milisecunde pentru a fi procesate, dar îi obligă pe utilizatori să aștepte până la 10 secunde. Aplicațiile pentru credite ipotecare susținute de creditori, inclusiv una concepută de Google Ventures, și-au încetinit procesele de aprobare a împrumuturilor și au adăugat bare de progres false pentru verificările de credit, deoarece utilizatorii nu aveau încredere în aprobarea instantanee.

Cu aplicația Freja eID, solicităm utilizatorilor să își țină telefoanele pe pașapoartele cu cip timp de trei secunde pentru a încărca informațiile prin comunicare în câmp apropiat (NFC). De fapt, încărcarea durează mai puțin de o secundă, dar le cere utilizatorilor să-și păstreze telefoanele stabile mai mult timp îi face să simtă că procesul este în siguranță. Am introdus fricțiune și în selfie-ul documentului: o imagine statică era tot ce aveam nevoie, dar utilizatorii nu erau convinși că este sigur, așa că am adăugat pasul de a-i face să întoarcă capul în stânga și în dreapta.

Toate aceste companii, inclusiv Freja, au descoperit că teatrul de securitate – susținut de securitate reală – a sporit încrederea utilizatorilor. În timp ce lucrați la proiecte de securitate UX pentru clienții dvs., amintiți-vă că modelele mentale ale multor utilizatori nu au ajuns încă la pasul rapid al tehnologiei moderne. Încetinirea lucrurilor poate ajuta utilizatorii să se simtă încrezători că un produs este sigur.

Un grafic arată o captură de ecran a barei de progres false a TuboTax, care spune: „Verificăm dublu pentru fiecare posibilă reducere fiscală... Vă primim fiecare dolar pe care îl meritați, asigurându-ne că nu pierdem nimic”. Sunt afișate barele de stare pentru deduceri, credite și analize. Imaginea prezintă, de asemenea, o pictogramă a unei mâini care primește bani.
O redare ilustrată a barei de progres false și a mesajului de stare TurboTax, care este identică pentru toți utilizatorii și apare întotdeauna pentru aceeași perioadă de timp. Întârzierea, grafica și textul sunt exemple de teatru de securitate, care pot crește încrederea utilizatorilor în siguranța unui produs.

UX și fricțiune: o relație simbiotică

Securitatea UX este un spectru, iar utilizatorii au așteptări specifice cu privire la cum ar trebui să arate securitatea: trimiterea unui mesaj pe rețelele sociale ar trebui să fie rapidă și simplă. Transferul de 10.000 USD în contul bancar al altcuiva nu ar trebui.

În proiectarea interacțiunii, fluxul este adesea prioritizat cu intenția de a ajuta utilizatorii să-și atingă obiectivele cât mai repede posibil, dar nu neglijați importanța frecării atentă care crește încrederea și protejează informațiile valoroase ale utilizatorilor.

Citiți suplimentare pe blogul Toptal:

  • Safe by Design: O privire de ansamblu asupra securității UX
  • Cum să proiectați pentru o încredere maximă în produs
  • Sortarea cardurilor: o mai bună arhitectură a informațiilor prin alinierea la modelele mentale ale utilizatorilor