Güvenli Ürün Geliştirmede UX Sürtünmesi Nasıl Azaltılır

Yayınlanan: 2022-07-22

Ürün geliştirmede, görünüş genellikle tüm dikkati çeker. Hoş bir kullanıcı arayüzü önemlidir, ancak ürününüzü yapan veya bozan şey kullanıcı deneyimidir.

Bir ürün yöneticisi olarak, zamanımın çoğunu UX boyunca sürtünmeyi nasıl azaltacağımı düşünerek geçiriyorum. Bununla, bir son kullanıcının hedeflerine ulaşmak için atması gereken adımların sayısını azaltmayı veya bu adımların karmaşıklığını azaltmayı kastediyorum. Bir satın alma işlemi gerçekleştirmek için üç güvenlik önleminden geçmenizi sağlayan bir e-ticaret uygulaması, yalnızca bir güvenlik önlemi gerektiren bir uygulama kadar iyi performans göstermez.

Ancak, düşük sürtünme, finansal kurumlar ve sigorta şirketleri gibi hassas müşteri verilerini tutan kuruluşlar için güvenlik pahasına olamaz.

Kullanım kolaylığı ve kişisel veri güvenliği genellikle birbirine zıt olduğundan, doğru dengeyi bulmak zor olabilir. İşte nasıl yapılacağı.

Güvenlik ve Kolaylık Arasındaki Asırlık Savaş

1950'lerde kredi kartının doğuşundan sonra onlarca yıl boyunca, ihraççılar sahtekarlığa karşı dikkatli davranarak, bir işlem "taban limitini" aştığında tüccarların onları aramasını istedi - bir kart sahibinin ön provizyon olmadan tahsil edebileceği maksimum miktar. Bu, yeni bir araba veya buzdolabı almayı bekleyen bir tüketici için çok fazla sürtüşme demektir. Sonuç olarak, bankalar ve kredi kartı şirketleri taban limitleri belirlerken risk iştahlarını tüketicilerinin uygunsuzluğa karşı toleransı ile tartmak zorunda kaldılar.

10.000$'lık kredi limiti olan bir müşteri, bir banka için muhtemelen 1000$'lık limiti olan bir müşteriden daha fazla değere ve daha yüksek hizmet beklentilerine sahiptir. Bu tür müşterilerin yaşadıkları sürtünmeyi en aza indirmek için taban sınırını yükseltmeye karar verebilirsiniz. Peki ya bu yüksek değerli hesaplar aynı zamanda dolandırıcılığa karşı en savunmasızsa? Sonuç olarak, bu müşterilerin bazılarının kaybından daha fazla zarar verecek bir risk düzeyi ortaya koyabilirsiniz.

Hızla değişen tehditlere ve daha az sabırlı tüketicilere rağmen, dijital çağa hızlı bir geçiş ve rekabet eden taleplerin tahterevalli devam ediyor. Bu talepleri uzlaştırmak için kesin bir formül yoktur, bu nedenle yazılım ve uygulamalar üzerinde çalışan ürün yöneticilerinin, sürtüşme ve güvenliği dengede tutmak için UX'lerini sürekli olarak kalibre etmeleri gerekir.

Daha Az Dolandırıcılık Her Zaman Daha Fazla Kâr Demek Değildir

Çoğu güvenli yazılım ve uygulamada, ürün yöneticilerinin hizmet vermesi gereken iki grup müşteri vardır:

  1. Mümkün olan en yüksek korumaya öncelik veren kuruluş.
  2. Sorunsuz bir ürün UX isteyen son kullanıcı.

Örneğin bir banka, aşağıdakiler de dahil olmak üzere birçok nedenden dolayı dolandırıcılığa karşı %100 korumayı tercih eder:

  • Müşteri memnuniyeti.
  • Dolandırıcılık kaybının azaltılması.
  • Marka itibarı.
  • Siber saldırı minimizasyonu.

Öte yandan, son kullanıcının rekabet eden gereksinimleri vardır: Hesaplarına kolay ve hızlı erişim istiyorlar. Bankanın UX'i %100 dolandırıcılık koruması için tasarlandıysa bu olmayacak.

Bunun yerine, son kullanıcı uygulamayı her kullandığında yüksek sürtüşmeyle karşılaşacaktır. Örneğin, bir şifre girdikten sonra, kullanıcının telefonuna gönderilen iki faktörlü bir kimlik doğrulama kodunu girmesi ve ardından biyometrik bir tarama veya bir CAPTCHA sorgulaması yapması gerekebilir. Ortaya çıkan gecikme süresi, bazı kullanıcıların uygulama kullanımlarını azaltmasına veya daha da kötüsü yeni bir banka aramasına neden olabilir. Bu senaryoda, banka dolandırıcılık kayıplarından tasarruf etmiş olacak, ancak azalan müşteri tabanında para kaybetmiş olacaktır.

Konuyu karmaşık hale getirmek için, farklı son kullanıcılar, başka bir hizmet sağlayıcı aramadan önce ne kadar sürtüşmeye tahammül edecekleri konusunda farklı eşiklere sahip olabilir.

Bir bankayı temsil eden bir simge, "Banka güvenli bir uygulama istiyor" metniyle etiketlenmiştir. Bir cep telefonunu gösteren bir simge, "Kullanıcı kusursuz bir deneyim istiyor" metniyle etiketlenmiştir.
Müşterinin ihtiyaçları ve kullanıcının tercihleri ​​genellikle çelişir.

Müşterinin Hedeflerini, Maliyetlerini ve Risk Toleransını Kilitleyin

Artık %100 dolandırıcılık koruması sağlamaya çalışmanın ticari açıdan mantıklı olmadığını belirlediğimize göre, neyin işe yaradığını belirlememiz gerekiyor. Bankanın kaynaklarıyla başlayalım: para ve insanlar.

İlk olarak, bankanın mevcut dolandırıcılık oranını ve ne kadar zararı karşılayabileceğini belirleyin. Ayrıca, bu yeni ürünle elde etmeyi umduğu net tasarrufları, onu geliştirme ve sürdürme maliyetiyle karşılaştırın. (Dolandırıcılık korumasının dolandırıcılığın kendisinden daha maliyetli olduğunu görebilirsiniz.)

Ardından, banka personelinin günde kaç tane şüpheli vaka ve "yanlış pozitif" işleyebileceğini hesaplayın. Yanlış pozitifler, banka bir risk yanlış hesaplaması nedeniyle bir kullanıcının hesabını kaldırdığında veya kısıtladığında meydana gelir. Bu yanlış pozitifler kullanıcı için sürtüşmeyi artırır, banka çalışanlarının zamanını tüketir ve nihayetinde markanın itibarına zarar verebilir.

Bankanın para ve emek olarak harcamayı veya kaybetmeyi göze alabileceğini bir kez belirledikten sonra ürününüzün kapsamını belirlemeye başlayabilirsiniz. Bu bilgilerle, gerçek zamanlı olarak dolandırıcılık risk puanlarını hesaplamak için son kullanıcılardan hangi veri noktalarının toplanacağını belirleyebilirsiniz.

Son Kullanıcılardan Hangi Verilerin Toplanacağını Belirleyin

Güvenli yazılım ve uygulamalar şunları doğrular:

  • Sen kimsin. Bunlar, oturum açma konumlarınız veya fare hareketleriniz gibi şeyleri içeren davranışlarınızdır.
  • Neyin var. Bunlar size kayıtlı olan veya düzenli olarak kullandığınız cihazlardır.
  • Ne biliyorsun. Buna parolalar, güvenlik soruları, doğum günleri ve diğer kişisel bilgiler dahildir.

Yazılım bu bilgileri topladıktan sonra, makine öğrenimi modelleri, kullanıcıya bir dolandırıcılık riski profili atamak için her kategoriden gelen girdileri kullanır. Bu profile dayalı olarak bir kuruluş, erişime izin verip vermemeye, erişimi reddetmeye, daha fazla kimlik doğrulama talep etmeye, işlevselliği kısıtlamaya veya bu seçeneklerin herhangi bir kombinasyonuna karar verebilir.

Bir ürün yöneticisi olarak, mümkün olduğu kadar çok bilgi toplamak cezbedicidir. Ancak, bu her zaman en iyi uygulama değildir. Bunun nedeni, her bir kullanıcıdan ne kadar fazla bilgi toplarsanız, arka uçtaki risk puanını hesaplamak için o kadar fazla zaman ve kaynak harcamanızdır. Bu da kullanıcı için gecikme süresini, yani daha fazla sürtünmeyi artırır.

Bunun yerine, konum, bilinen cihazlar ve şifreler gibi bir kullanıcının kimliğinin en basit göstergeleri gibi görünen göstergelerle başlayın. Ardından, kötü niyetli bir aktörün bu göstergeleri nasıl alt edebileceğini düşünün. Gelişmiş suçlular, bir kullanıcının konumunu ve cihazını taklit edebilir ve veri sızıntıları veya kötü amaçlı yazılım saldırıları yoluyla güvenliği ihlal edilmiş parolalara erişebilir. Bu boşlukları kapatmak için fare hareketlerini de analiz edebilir veya kullanıcının geçmişte benzer alışverişler yapıp yapmadığını kontrol edebilirsiniz.

Yeni bir gösterge eklemeden önce, dolandırıcılığı önleme üzerindeki etkisini, ürüne eklemenin ön maliyetleriyle karşılaştırın. Ek hesaplamalar ve veri depolama ile birlikte gelen yinelenen işçilik ve finansal maliyetleri de hesaba katmalısınız.

Doğru gösterge setini bulmanın bir deneme yanılma alıştırması olduğunu unutmayın. Her bir göstergenin faydasını gerçekten belirlemenin tek yolu, her birini ekleyip çıkarmak, her kombinasyonun dolandırıcılık oranınız ve hem müşteri hem de son kullanıcılar için kullanıcı deneyimi üzerindeki etkisini izlemektir.

Göstergelerinizi İncelemek için Müşterilerle Yerleştirin

Müşteri dolandırıcılığın azaltılmasına öncelik verebilirken, arka uçta kendi çalışanları (sahtekarlık analistleri gibi) için kullanılabilirlik de önemlidir. Bu nedenle, toplamayı planladığınız veri noktalarının onları engellemeyeceğinden yardımcı olacağından emin olmak akıllıca olacaktır.

Tasarım odaklı düşünme çerçevesi, iki kullanıcı grubuna hizmet eden ürünlere faydalı bir yaklaşımdır. Sorun merkezli olmaktan ziyade insan merkezlidir ve tasarımcılardan gelecekteki ihtiyaçlarını hayal edebilmeleri için kullanıcılarla empati kurmalarını ister. Tasarım odaklı düşünme, ürün yöneticilerinin rekabet halindeki çıkarlara hizmet eden dinamik bir ürün geliştirmelerine yardımcı olabilir - bu durumda güvenlik ve rahatlık.

Empati aşamasına yatırım yapmak, sorular sormak ve müşterinizin günlük iş akışına dahil olmak anlamına gelir. Bu, pazar değişimlerini tahmin etmek için RFP'lerle etkileşim kurmanıza ve müşterinin verilerinin gerçek zamanlı tehdit ortamıyla nasıl uyumlu olduğunu görmenize olanak tanır. Bu stratejik ve taktiksel zorlukları anladıktan sonra geliştirmeye başlayabilirsiniz.

Geliştirme ve test aşamalarında müşterinizle mümkün olduğunca fazla zaman geçirmeyi planlayın. Geri bildirim size müşterinin istek listesi hakkında bir fikir verirken, gölgeleme, kendi kendine raporlamada görünmeyecek olan yanlış iletişimleri, bilgi boşluklarını ve tasarım kusurlarını belirlemenize yardımcı olur.

Dolandırıcılık analistleriyle ofis alanını paylaşan bir şirket içi ürün yöneticisiyseniz, gölgeleme oldukça basittir. Danışman veya saha dışında çalışan biriyseniz, saha ziyaretlerini mümkün olduğunca sık ayarlamanız gerekir. Seyahat bir seçenek değilse, ekran paylaşımlı sanal oturumlar çabaya değer.

UX tasarımının onlara hizmet ettiğinden emin olmak için, ürününüz çalışır hale geldiğinde, özellikle de yeni özellikler başlattığınızda, dolandırıcılık analistleriyle haftalık olarak kontrol edin: Neden görevleri belirli bir sırayla gerçekleştirirler? Belirli bir düğmeyi tıkladıklarında ne olur? Bir bildirim aldıklarında nasıl tepki veriyorlar? Günlük işlerinde ne gibi değişiklikler fark ediyorlar?

Verilerinizi Toplayın

Veri toplama teknolojisi, kuruluşların bir kullanıcının kimliğini doğrulamak için yüzlerce veri noktasından yararlanmasına olanak tanır. Ayrıca, e-ticaret sitelerinin ve uygulamalarının bir kullanıcının deneyimini demografik profillerine göre uyarlamasına yardımcı olur. Belirli bir profile uyan bir kullanıcı, özel fırsatlar bile alabilir veya otomatik yardımı tetikleyebilir.

Peki bu güvenlik uygulamalarında nasıl çalışır?

  • Web tarayıcıları: Bir kullanıcı bir tarayıcıda korunan bir siteye her gittiğinde, gömülü JavaScript "toplayıcıları" tanımlayıcı bilgiler toplar. Bu, konum, cihaz ayrıntıları ve fare hareketleri gibi veri noktalarını içerebilir.
  • Yerel uygulamalar: Yerel uygulamalar, iOS veya Android gibi belirli bir cihaz platformu için tasarlanmıştır. Bir mobil cihazdan bir hizmete erişirken, bu uygulamalar, fare hareketleri yerine parmakla dokunma ve kaydırmayı içerebilecek tanımlayıcı bilgileri toplamak için yazılım geliştirme kitlerini (SDK'lar) kullanır.

Ardından, makine öğrenimi modelleriniz, bu veri noktalarının oluşturduğu genel kalıba dayalı olarak bir dolandırıcılık riski puanı atayacaktır. Risk puanı ortalamanın üzerindeyse, iki faktörlü kimlik doğrulama veya güvenlik soruları şeklinde daha fazla sürtüşme yapmak mantıklıdır. Ancak, çok sayıda kullanıcınız ek doğrulama adımlarını tetikliyorsa, risk eşiğinizi veya veri toplama stratejinizi yeniden gözden geçirmenin zamanı gelmiş olabilir.

Son Kullanıcı Sürtünmesini Azaltmaya Devam Edin

Ürününüz çalışmaya başladığında, sorunlu noktaları ve iyileştirme önerilerini keşfetmek için çağrı merkezleri veya uygulama mağazaları aracılığıyla kaydedilen son kullanıcıların şikayetlerini takip edin. En iyi lansman öncesi testler bile her sorunlu noktayı yakalayamaz ve yeni işletim sistemleri ve cihaz sürümleri, son kullanıcıları yavaşlatan beklenmedik komplikasyonlara neden olabilir.

E-ticaret üzerine kurulu işletmeler için bu yavaşlamaların maliyeti açıkça görülüyor. 2022'de Baymard Enstitüsü, önlenebilir alışveriş sepeti terklerinin %17'sinin aşırı uzun veya karmaşık bir ödeme sürecinden kaynaklandığını tahmin ediyor; Katılımcıların ek %18'i kredi kartı bilgilerinin güvenliğine olan güven eksikliğini suçladı. Baymard, yavaş ödeme ve site güvenliğine olan güven eksikliğinin ABD ve AB genelinde 260 milyar dolarlık satış kaybına katkıda bulunan bir dizi faktör arasında olduğunu tahmin ediyor. Bu, e-ticaret ürün yöneticilerine satış noktası çözümlerini yeniden düşünmeleri için inanılmaz bir fırsat sunuyor. Ancak sektörünüz ne olursa olsun, kullanıcı sürtünmesini azaltmak ve veri korumanıza olan güveni sağlamak, daha mutlu müşteriler ve büyük iş yenilikleri sağlayabilecek sürekli bir uygulama olmalıdır.

Ödeme sırasında önlenebilir alışveriş sepeti terklerinin nedenlerini gösteren bir çubuk grafik. Değerler şunları içerir: Ek maliyetler çok yüksek, %48; Hesap oluşturma gerekli, %24; Teslimat çok yavaş, %22; Site güvenliği güvenilmez geliyor, %18; Ödeme çok karmaşık, %17; Toplam maliyet belirsiz, %16; Web sitesi hataları, %13; İade politikası çok katı, %12; Ödeme yöntemleri sınırlı, %9; Kart reddedildi, %4.
Karmaşık ödeme süreçleri ve site güvenliğine duyulan güvensizlik, 2022'de önlenebilir alışveriş sepeti terklerinin %35'ini oluşturdu.

Güvenli ürün geliştirmede iki başarılı sürtünme azaltma örneği:

3DS

1990'ların sonlarında Visa ve Mastercard, 3D güvenli ödemeler (3DS) güvenlik protokolünü oluşturmak için bir araya geldi. 2001 yılında piyasaya sürülen orijinal protokol, tüm kullanıcıların kartlarını 3DS'ye kaydettirmesini ve her kasada özel bir 3DS şifresi ile oturum açmasını gerektiriyordu. Bir kullanıcı 3DS parolasını hatırlayamıyorsa, satın alma işlemini tamamlamadan önce parolasını geri alması veya sıfırlaması gerekiyordu. Daha sonraki bir sürümde, kart veren kuruluşlar, sıklıkla unutulan statik parolayı dinamik bir kerelik parola (OTP) ile değiştirme seçeneğine sahipti. Ancak, ekstra giriş adımı, ödeme sürecini engellemeye devam etti.

3DS geliştiricileri, bu kalıcı sürtüşmeyi not aldı ve 2016'da, uygulamaların 3DS öğesini kendi kodlarına gömmesine olanak tanıyan bir SDK bileşeni içeren 3DS 2.0'ı piyasaya sürdü. 3DS 2.0, mobil işlemler için daha uygundur ve daha doğru bir risk değerlendirmesi sağlamak için daha fazla veri noktasını analiz eder. Sonuç olarak, 3DS 2.0 kullanıcılarının yalnızca küçük bir yüzdesinin, genellikle bir OTP biçiminde, fazladan bir kimlik doğrulama adımı atması gerekir.

Eski ve yeni 3DS süreçlerini karşılaştıran görüntü. Orijinal 3DS, tüm müşterilerin kimliklerini, genellikle bir açılır pencereye veya yeniden yönlendirme sitesine girilen statik şifrelerle doğrulamasını gerektiriyordu. 3DS 2.0 süreci, alışveriş yapanın ödeme sürecini yavaşlatmak yerine otomatik olarak ve paralel olarak gerçekleşen daha fazla kimlik doğrulama adımı gösterir. Bu kimlik doğrulama adımları, alıcı konumunu, cihazları, alışveriş geçmişini, mevcut satın alma işlemini, saat dilimini ve biyometriyi temsil eden simgeleri içerir.
3DS 2.0, alışveriş yapanların çoğunu ödeme sırasında ekstra adımlardan kurtaran pasif kimlik doğrulama özelliklerini kullanır.

Uber

3DS 2.0, yineleme yoluyla ürün sürtünmesini azaltmanın bir örneğidir. Ancak, yıkıcı ürünler sunarak sektör düzeyinde sürtünmeyi de azaltabilirsiniz.

Uber'in iş modeli, geleneksel bir taksi yolculuğundan sürtünmeyi çıkarmak üzerine kuruludur. Uber ile, yolculuğunuzun sonunda bir taksi servisi ile beklemeye veya cüzdanınızı karıştırmaya gerek yok.

Sorunsuz bir ödeme süreci, şirketin erken başarısının anahtarıydı, ancak bazı riskleri de beraberinde getirdi. Uber, uygulamasında depolanan bir kredi kartındaki bir işlemi otomatik olarak her işlediğinde, ters ibraz riskini alır (kart sahibinin bir işleme itiraz etmesi ve geri ödeme alması).

Ancak Uber, bu olası ters ibrazların maliyetinin, kullanıcı deneyimini optimize etme fırsatına değer olduğunu hesapladı. Bir kullanıcı her yolculuk çağrısında bir kredi kartı bulmak veya bir şifre girmek zorunda kalsaydı, tüm iş başarısız olabilirdi. Bunun yerine Uber, sürtüşme riskini kabul etti ve hizmet başladı.

Bu örneklerin her ikisinde de, güvenlik ve riski de tartan kullanıcı merkezli bir ürün yönetimi yaklaşımı, çığır açan ve kârlı yeniliklerle sonuçlandı.

En İyi Bakım İyi Bir Hücumdur

Dolandırıcılar, ürün ekiplerinin bir adım önünde olmak istiyor. Diğer geliştirme türleri değişen gereksinimlere tepki verebilirken, güvenli yazılım projelerinin bunları öngörmesi gerekir. Bu, ürün yöneticilerinin endüstri literatürünü okuması ve geçmiş güvenlik ihlallerinden ve başarılı sapmalardan ders almak için birden fazla müşteriden gelen verilerden faydalanması gerektiği anlamına gelir.

Ürün ekibiniz düzenli olarak tehdit ortamı raporları sağlamalı ve bunları müşterinizin deneyimleri ve gereksinimleriyle karşılaştırmalıdır. Her yeni tehdit bir ürün güncellemesini garanti etmez. Belki ekibiniz, UX'inizin korumadığı yeni bir saldırı türü belirlemiştir, ancak müşterinizle yaptığınız bir görüşme, bunun tehdit ortamlarıyla ilgili olmadığını ortaya koymaktadır: Güney Afrika'daki bir bankacılık müşterisi, bir döküntü ile uğraşıyor olabilir. SIM takas dolandırıcılığı, New York'ta bir başkası VPN kullanan bilgisayar korsanlarından daha fazla saldırı yaşıyor olabilir. Çoğu durumda, her iki bankayı da her iki tür dolandırıcılıktan korumak için uygun maliyetli olmaz ve gereksiz UX sürtünmesine neden olur.

Bir ürün yöneticisi olarak rolünüz, keyifli bir kullanıcı deneyimi için güvenlikten ödün vermemenizi veya tam tersini sağlamak için özelliklerin sürekli olarak ayarlanmasını gerektirir. Müşterilerinizin ve son kullanıcılarınızın ihtiyaçlarını gerçekten anlamak için çok fazla veriye ihtiyacınız olacak olsa da, bu dengeleme eyleminin geri kalanı deneme, yanılma ve sanatın bir karışımıdır.