แรงเสียดทานที่จำเป็น: Theatrics of UX Security

เผยแพร่แล้ว: 2022-07-22

โดยทั่วไปแล้ว นักออกแบบ UX จะพยายามทำให้ผลิตภัณฑ์ใช้งานง่ายขึ้น แต่มีบางสถานการณ์ที่การเพิ่มแรงเสียดทานช่วยเพิ่มความปลอดภัยของผลิตภัณฑ์ ตัวอย่างเช่น การตรวจสอบสิทธิ์แบบสองปัจจัยทำให้การเข้าสู่ระบบช้าลง แต่สามารถลดการโจรกรรมข้อมูลประจำตัวได้ นอกจากนี้ยังมีบางครั้งที่การใช้แรงเสียดทานทำให้ผู้ใช้ รู้สึก ปลอดภัย: แถบความคืบหน้าแบบเคลื่อนไหวไม่ได้ปกป้องข้อมูลส่วนบุคคล แต่อาจตอบสนองความคาดหวังของผู้ใช้เกี่ยวกับระดับกำลังการประมวลผลที่สูงขึ้นซึ่งจำเป็นในสภาพแวดล้อมที่ปลอดภัย

ในฐานะผู้จัดการฝ่ายออกแบบผลิตภัณฑ์ของ Freja บริษัทรักษาความปลอดภัยดิจิทัลภายใต้สัญญากับรัฐบาลสวีเดน ฉันมักจะมองหาวิธีที่จะปรับการใช้งานให้เข้ากับความปลอดภัยของผู้ใช้อยู่เสมอ บางครั้งนั่นหมายถึงการรวมคุณสมบัติที่ผู้ใช้เห็นว่าปลอดภัย ตัวอย่างเช่น ผลิตภัณฑ์ดิจิทัลส่วนใหญ่สามารถคำนวณข้อมูลที่ซับซ้อนได้ในทันที แต่การวิจัยพบว่าเวลาในการโหลดที่ประดิษฐ์ขึ้นทำให้ผู้ใช้รู้สึกว่าระบบขั้นสูงทำงานแทนพวกเขาได้ยาก ในทางกลับกัน หากนักออกแบบพึ่งพาคุณลักษณะที่ดูเหมือนจะสนับสนุนการรักษาความปลอดภัยมากเกินไป (เรียกว่าระบบรักษาความปลอดภัย) พวกเขาอาจทำให้ผู้ใช้เชื่อว่าข้อมูลของตนปลอดภัยกว่าที่เป็นอยู่

คุณสมบัติที่ปรับปรุงความปลอดภัย UX

การยืนยันตัวตนเป็นส่วนสำคัญของการรักษาความปลอดภัย UX ขออภัย ชื่อผู้ใช้และรหัสผ่านไม่ใช่มาตรการตรวจสอบสิทธิ์ที่เชื่อถือได้: ในปี 2564 การโจมตีแบบฟิชชิง 85% กำหนดเป้าหมายไปยังข้อมูลรับรองผู้ใช้ เพื่อต่อสู้กับสิ่งนี้ นักออกแบบกำลังใช้คุณสมบัติความปลอดภัยที่เพิ่มเวลาสำหรับผู้ใช้ในการสร้างและลงชื่อเข้าใช้บัญชี ตัวอย่างเช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ต้องมีการระบุตัวตนหลายรูปแบบในการสร้างบัญชีหรือเข้าสู่ระบบ ผลิตภัณฑ์ส่วนใหญ่ที่ใช้ MFA ต้องการให้ผู้ใช้ระบุข้อมูลประจำตัวสองในสาม:

  • แบบฟอร์มบัตรประจำตัว เช่น หนังสือเดินทางหรือใบขับขี่ หรือวิธีการชำระเงิน เช่น บัตรเครดิต
  • ข้อมูลเฉพาะ เช่น รหัสผ่านหรือ PIN
  • ข้อมูลไบโอเมตริกซ์ เช่น ใบหน้า ลายนิ้วมือ หรือการสแกนเรตินา

วิธีหนึ่งในการปรับปรุง MFA ในขณะที่รักษาความปลอดภัยให้กับผู้ใช้คือต้องมีเอกสารเซลฟี่ที่ผู้ใช้ถ่ายรูปหรือวิดีโอโดยถือ ID อย่างเป็นทางการไว้ข้างๆ ใบหน้าของพวกเขา เมื่ออัปโหลดเซลฟี่แล้ว บริษัทต่างๆ อาจมีพนักงานตรวจสอบใบหน้าและรหัสของผู้ใช้เพื่อหาการจับคู่ หรือใช้อัลกอริธึมของคอมพิวเตอร์เพื่อตรวจสอบความถูกต้อง

การจดจำใบหน้ากำลังกลายเป็นคุณลักษณะด้านความปลอดภัยที่ได้รับความนิยมอย่างรวดเร็วเมื่อเข้าสู่ระบบและอื่นๆ ตัวอย่างเช่น แอปธนาคารบางแอปใช้การจดจำใบหน้าเพื่อยืนยันตัวตนของผู้ใช้เมื่อต้องการเข้าถึงรายละเอียดบัญชี ลงนามในเอกสารอิเล็กทรอนิกส์ หรือโอนเงิน และแม้ว่าหลายคนใช้การจดจำใบหน้าเพียงอย่างเดียวเพื่อปลดล็อกสมาร์ทโฟนอย่างรวดเร็ว ฉันขอแนะนำให้ใช้เทคโนโลยีนี้เป็นส่วนหนึ่งของกลยุทธ์ MFA เพื่อความปลอดภัยที่เพิ่มขึ้น

ภาพประกอบแสดงหน้าจอลงชื่อเข้าใช้ของแอพบนสมาร์ทโฟน ข้อความเขียนว่า “ยินดีต้อนรับ เข้าสู่ระบบเพื่อเริ่มต้น” ด้านล่างเป็นช่องสำหรับให้ผู้ใช้ป้อน ID และรหัสผ่าน รวมถึงปุ่มต่างๆ เพื่อเข้าสู่กระบวนการเข้าสู่ระบบหรือขอความช่วยเหลือเกี่ยวกับรหัสผ่าน การซ้อนทับของคุณสมบัติ Face ID จะแสดงโครงร่างของใบหน้าภายในกรอบ
มาตรการรักษาความปลอดภัยที่ใช้ข้อมูลไบโอเมตริกซ์ เช่น การจดจำใบหน้า ปกป้องข้อมูลระบุตัวตนของผู้ใช้ ข้อมูล และเงินทุนจากการโจรกรรมได้ดียิ่งขึ้น

วิธีง่ายๆ ในการยืนยันตัวตนของผู้ใช้คือการออกจากระบบโดยอัตโนมัติตามช่วงเวลาที่กำหนดไว้ตั้งแต่ครึ่งชั่วโมงจนถึงสองสามวัน แม้ว่าบางคนอาจพบว่าวิธีนี้น่ารำคาญ แต่ก็สามารถปกป้องผู้ใช้ที่ทิ้งแล็ปท็อปไว้โดยไม่มีใครดูแล ทำสมาร์ทโฟนหาย หรือลืมออกจากระบบคอมพิวเตอร์สาธารณะ

นอกจากนี้ยังมีบางครั้งที่ผู้ใช้จำเป็นต้องยืนยันว่าพวกเขาเป็นเจ้าของเอกสารดิจิทัลที่ถูกต้อง เช่น ตั๋วงานและใบสั่งยา ฉันช่วย Freja ออกแบบผลิตภัณฑ์ที่เชื่อมโยงข้อมูลประจำตัวดิจิทัลของผู้ใช้ (ยืนยันแล้วในแอปของเรา) กับหนังสือเดินทางของวัคซีนโควิด-19 ทำให้ปลอมแปลงหนังสือเดินทางได้ยากกว่าฉบับกระดาษหรือฉบับดิจิทัลที่มีอยู่ก่อนแล้วในหลายประเทศ ตัวอย่างเช่น ในสวีเดนและเดนมาร์ก พาสปอร์ตวัคซีนดิจิทัลไม่ได้เชื่อมต่อกับบัตรประจำตัวรูปแบบอื่น และโดยทั่วไปจะเข้าถึงได้โดยใช้รหัส QR

แม้จะมีความก้าวหน้าในการยืนยันทางดิจิทัล แต่บางบริษัท รวมถึงธนาคารบางแห่ง ยังคงต้องการให้ผู้ใช้ไปเยี่ยมชมสถานที่จริงเพื่อพิสูจน์ตัวตนของพวกเขา โดยเฉพาะอย่างยิ่งเมื่อสมัครขอสินเชื่อ ในกรณีดังกล่าว พนักงานจะตรวจสอบลักษณะที่ปรากฏของผู้ใช้อย่างรอบคอบและตรวจดูให้แน่ใจว่าตรงกับรูปถ่ายในเอกสารระบุตัวตน บางคนคิดว่าระบบรักษาความปลอดภัยนี้และโต้แย้งว่าพนักงานสามารถทำงานนี้ให้เสร็จได้โดยที่ผู้ใช้ไม่อยู่ แต่การเข้าชมแบบตัวต่อตัวอาจเป็นการเพิ่มประสิทธิภาพด้านความปลอดภัย เนื่องจากป้องกันการปลอมแปลงภาพถ่ายและวิดีโอที่เรียกว่า deepfakes ซึ่งยากต่อการแยกแยะจากภาพจริง นอกจากนี้ การสำรวจของ AARP Research ยังพบว่า 83% ของผู้ใหญ่อายุ 50 ปีขึ้นไปไม่มั่นใจว่ากิจกรรมออนไลน์และข้อมูลของพวกเขาเป็นข้อมูลส่วนตัว การให้ตัวเลือกแก่ผู้ใช้เหล่านี้ในการตรวจสอบเอกสารด้วยตนเอง สามารถสร้างความไว้วางใจและความภักดีของผลิตภัณฑ์ที่ยั่งยืนได้

ผลิตภัณฑ์ดิจิทัลจำนวนมากยังจัดเก็บที่อยู่ของผู้ใช้ ข้อมูลติดต่อ วิธีการชำระเงิน และแม้แต่ประวัติทางการแพทย์ เมื่อพิจารณาจากความเสี่ยง คุณอาจคิดว่าการใช้มาตรการรักษาความปลอดภัยมากขึ้นจะนำไปสู่ผลิตภัณฑ์ที่มีความปลอดภัยมากขึ้น แต่นั่นก็อาจสร้างประสบการณ์การใช้งานที่น่าผิดหวังได้อย่างง่ายดาย บริบทเป็นสิ่งสำคัญ ตัวอย่างเช่น หากคุณกำลังออกแบบแอปซื้อขาย crypto คุณอาจอนุญาตให้ผู้ใช้ดูราคาโทเค็นและแนวโน้มโดยไม่ต้องลงชื่อเข้าใช้ เนื่องจากข้อมูลนั้นหาได้ง่ายบน Google แต่เมื่อผู้ใช้ตัดสินใจซื้อหรือขายโทเค็น คุณจะต้องเข้าสู่ระบบโดยใช้ MFA การกระทำที่แตกต่างกันจำเป็นต้องมีระดับความปลอดภัยที่แตกต่างกัน

ระบบรักษาความปลอดภัยที่ทำให้ผู้ใช้รู้สึกปลอดภัย

ในบางกรณี นักออกแบบพึ่งพาระบบความปลอดภัยเพื่อเพิ่มแรงเสียดทานและมอบความอุ่นใจให้กับผู้ใช้มากขึ้น แนวทางปฏิบัตินี้อาจเป็นประโยชน์—ในบางครั้งถึงแม้จะจำเป็น—ตราบใดที่ไม่ได้ทดแทนฟีเจอร์ UX ที่ปกป้องผู้ใช้อย่างแท้จริง

บางบริษัทเพิ่มเวลาที่ไม่จำเป็นในกระบวนการเพื่อให้รู้สึกปลอดภัย TurboTax ชะลอการประมวลผลข้อมูลส่วนบุคคลและข้อมูลทางการเงินเมื่อผู้ใช้ยื่นภาษี แถบความคืบหน้าแบบเคลื่อนไหวร่วมกับข้อความบนหน้าจอทำให้ผู้ใช้มั่นใจได้ว่าโปรแกรมกำลังตรวจสอบทุกรายละเอียดเพื่อให้แน่ใจว่ามีการลดหย่อนภาษีที่เป็นไปได้ทั้งหมด แต่ TurboTax ได้ตรวจสอบข้อมูลนั้นแล้วในทุกขั้นตอน

นักวิจัยที่ศึกษาซอร์สโค้ดของเว็บไซต์ TurboTax พบว่าตัวบ่งชี้ความคืบหน้าถูกกำหนดไว้ล่วงหน้า เมื่อแอนิเมชั่นเริ่มเล่น พวกมันจะหยุดสื่อสารกับเซิร์ฟเวอร์ของไซต์ นอกจากนี้ ตัวบ่งชี้ความคืบหน้าจะเหมือนกันสำหรับผู้ใช้ทุกคนและคงอยู่เป็นระยะเวลาเท่ากันเสมอ ความล่าช้า กราฟิก และข้อความเป็นวิธีที่แสดงละครเพื่อเพิ่มความมั่นใจของผู้ใช้ว่าพวกเขาได้รับการคืนภาษีที่ใหญ่ที่สุดเท่าที่จะเป็นไปได้ ซึ่งเป็นที่ยอมรับได้เนื่องจาก TurboTax ใช้การเข้ารหัสข้อมูลและการตรวจสอบสิทธิ์แบบหลายปัจจัย

บริษัทอื่นๆ ได้เพิ่มความล่าช้าที่คล้ายคลึงกันในการโต้ตอบต่างๆ Wells Fargo ชะลอการทำงานของเครื่องสแกนม่านตาในแอป เนื่องจากผู้ใช้ไม่แน่ใจว่ากำลังทำงานเมื่อวิ่งด้วยความเร็วเต็มที่ การตรวจสอบความปลอดภัยของบัญชี Facebook จริง ๆ แล้วใช้เวลาประมวลผลเป็นมิลลิวินาที แต่บังคับให้ผู้ใช้ต้องรอถึง 10 วินาที แอปจำนองที่ได้รับการสนับสนุนจากผู้ให้กู้ซึ่งรวมถึงแอปที่ออกแบบโดย Google Ventures ทำให้กระบวนการอนุมัติสินเชื่อช้าลงและเพิ่มแถบความคืบหน้าปลอมสำหรับการตรวจสอบเครดิตเนื่องจากผู้ใช้ไม่เชื่อถือการอนุมัติในทันที

ด้วยแอป Freja eID เรากำหนดให้ผู้ใช้ถือโทรศัพท์ของตนไว้ในหนังสือเดินทางที่ใช้ชิปเป็นเวลาสามวินาทีเพื่ออัปโหลดข้อมูลผ่านการสื่อสารระยะใกล้ (NFC) อันที่จริง การอัปโหลดใช้เวลาน้อยกว่าหนึ่งวินาที แต่การขอให้ผู้ใช้รักษาโทรศัพท์ให้นิ่งนานขึ้นทำให้พวกเขารู้สึกว่ากระบวนการนี้ปลอดภัย เราได้เพิ่มความขัดแย้งในเซลฟี่ของเอกสารเช่นกัน: ภาพนิ่งคือสิ่งที่เราต้องการ แต่ผู้ใช้ไม่เชื่อว่าปลอดภัย ดังนั้นเราจึงเพิ่มขั้นตอนในการให้พวกเขาหันศีรษะไปทางซ้ายและขวา

บริษัทเหล่านี้ทั้งหมด รวมถึง Freja พบว่าระบบรักษาความปลอดภัยซึ่งได้รับการสนับสนุนจากความปลอดภัยที่แท้จริง ได้เพิ่มความไว้วางใจให้กับผู้ใช้ ในขณะที่คุณทำงานในโครงการรักษาความปลอดภัย UX สำหรับลูกค้าของคุณ โปรดจำไว้ว่าแบบจำลองทางความคิดของผู้ใช้จำนวนมากยังไม่ทันเทคโนโลยีสมัยใหม่ การทำให้ช้าลงสามารถช่วยให้ผู้ใช้รู้สึกมั่นใจว่าผลิตภัณฑ์มีความปลอดภัย

กราฟิกแสดงภาพหน้าจอของแถบแสดงความคืบหน้าปลอมของ TuboTax ซึ่งเขียนว่า "ตรวจสอบซ้ำทุกครั้งที่มีการลดหย่อนภาษีได้... เราได้รับเงินทุกดอลลาร์ที่คุณสมควรได้รับจากการทำให้แน่ใจว่าเราจะไม่พลาดสิ่งใด" แถบสถานะสำหรับการหัก เครดิต และการวิเคราะห์จะแสดงขึ้น ภาพยังมีไอคอนของมือรับเงิน
การแสดงภาพประกอบของแถบแสดงความคืบหน้าปลอมของ TurboTax และข้อความสถานะ ซึ่งเหมือนกันสำหรับผู้ใช้ทุกคนและจะปรากฏเป็นระยะเวลาเท่ากันเสมอ การหน่วงเวลา ภาพกราฟิก และข้อความเป็นตัวอย่างของระบบรักษาความปลอดภัย ซึ่งสามารถเพิ่มความเชื่อถือของผู้ใช้ในความปลอดภัยของผลิตภัณฑ์ได้

UX และแรงเสียดทาน: ความสัมพันธ์ทางชีวภาพ

การรักษาความปลอดภัย UX เป็นคลื่นความถี่ และผู้ใช้มีความคาดหวังเฉพาะว่าความปลอดภัยควรมีลักษณะอย่างไร: การส่งข้อความโซเชียลมีเดียควรรวดเร็วและเรียบง่าย ไม่ควรโอนเงิน 10,000 ดอลลาร์ไปยังบัญชีธนาคารของผู้อื่น

ในการออกแบบการโต้ตอบ โฟลว์มักถูกจัดลำดับความสำคัญด้วยความตั้งใจที่จะช่วยให้ผู้ใช้บรรลุเป้าหมายโดยเร็วที่สุด แต่อย่าลดความสำคัญของความขัดแย้งที่รอบคอบซึ่งเพิ่มความไว้วางใจและปกป้องข้อมูลอันมีค่าของผู้ใช้

อ่านเพิ่มเติมในบล็อก Toptal:

  • ปลอดภัยโดยการออกแบบ: ภาพรวมของการรักษาความปลอดภัย UX
  • วิธีการออกแบบเพื่อความไว้วางใจสูงสุดในผลิตภัณฑ์
  • การเรียงลำดับการ์ด: สถาปัตยกรรมข้อมูลที่ดีขึ้นโดยสอดคล้องกับโมเดลทางจิตของผู้ใช้