Gerekli Sürtünme: UX Güvenliğinin Gösterimi

Yayınlanan: 2022-07-22

UX tasarımcıları genellikle ürünlerin kullanımını daha kolay hale getirmeye çalışır, ancak sürtünme eklemenin ürün güvenliğini iyileştirdiği durumlar vardır. Örneğin, iki faktörlü kimlik doğrulama, oturum açmayı yavaşlatır ancak kimlik hırsızlığını azaltabilir. Sürtünmenin uygulanmasının yalnızca kullanıcıları güvende hissettirdiği durumlar da vardır: Hareketli ilerleme çubukları kişisel verileri korumaz, ancak bir kullanıcının güvenli bir ortamda gereken daha yüksek işlem gücü derecesine ilişkin beklentilerini karşılayabilir.

İsveç hükümetiyle sözleşmeli bir dijital güvenlik şirketi olan Freja'nın ürün tasarım müdürü olarak, rutin olarak kullanılabilirliği kullanıcı güvenliğiyle uyumlu hale getirmenin yollarını arıyorum. Bazen bu, kullanıcıların güvenli olarak algıladığı özellikleri dahil etmek anlamına gelir. Örneğin, çoğu dijital ürün karmaşık verileri anında hesaplayabilir, ancak araştırmalar yapay yükleme sürelerinin kullanıcılara gelişmiş bir sistemin kendi adlarına çalışmakta olduğu hissini verdiğini gösteriyor. Öte yandan, tasarımcılar yalnızca güvenliği desteklediği görülen (güvenlik tiyatrosu olarak bilinir) özelliklere aşırı derecede bağımlıysa, kullanıcıların bilgilerinin olduğundan daha güvenli olduğuna inanmalarına neden olabilir.

UX Güvenliğini Artıran Özellikler

Kimlik doğrulama, UX güvenliğinin çok önemli bir yönüdür. Ne yazık ki, kullanıcı adları ve şifreler güvenilir kimlik doğrulama önlemleri değil: 2021'de kimlik avı saldırılarının %85'i kullanıcı kimlik bilgilerini hedef aldı. Bununla mücadele etmek için tasarımcılar, kullanıcıların bir hesap oluşturması ve oturum açması için gereken süreyi artıran güvenlik özellikleri uyguluyor. Örneğin, çok faktörlü kimlik doğrulama (MFA), hesap oluşturma veya oturum açma sırasında birden çok kimlik biçimi gerektirir. MFA kullanan çoğu ürün, kullanıcıların üç kimlik bilgisinden ikisini sağlamasını gerektirir:

  • Pasaport veya ehliyet gibi bir kimlik formu veya kredi kartı gibi bir ödeme yöntemi
  • Şifre veya PIN gibi benzersiz bilgiler
  • Yüz, parmak izi veya retina taraması gibi biyometrik veriler

Kullanıcıları güvende tutarken MFA'yı düzene sokmanın bir yolu, bir kullanıcının resmi bir kimliği yüzünün yanında tutarken fotoğraf veya video çektiği bir belge özçekimi istemektir. Selfie yüklendikten sonra, şirketler ya bir çalışanın bir eşleşme için kullanıcının yüzünü ve kimliğini incelemesini sağlar ya da orijinalliği belirlemek için bilgisayar algoritmalarını kullanır.

Yüz tanıma, oturum açma ve sonrasında hızla popüler bir güvenlik özelliği haline geliyor. Örneğin, bazı bankacılık uygulamaları, hesap ayrıntılarına erişmek, e-belge imzalamak veya para transferi yapmak istediklerinde bir kullanıcının kimliğini doğrulamak için yüz tanıma özelliğini kullanır. Ve birçok kişi akıllı telefonlarının kilidini hızlı bir şekilde açmak için yüz tanımayı tek başına kullansa da, yüksek güvenlik için teknolojiyi bir MFA stratejisinin parçası olarak uygulamanızı öneririm.

Bir çizim, akıllı telefondaki bir uygulamanın oturum açma ekranını gösterir. Metinde “Hoş geldiniz. Başlamak için giriş yapın." Aşağıda, kullanıcıların kimliklerini ve şifrelerini girebilecekleri alanlar ve ayrıca oturum açma işlemini tamamlamak veya şifre yardımı almak için düğmeler bulunmaktadır. Yüz Kimliği özelliğinin bir kaplaması, bir çerçeve içindeki bir yüzün ana hatlarını gösterir.
Yüz tanıma gibi biyometrik verileri kullanan güvenlik önlemleri, kullanıcıların kimliklerini, bilgilerini ve fonlarını hırsızlığa karşı daha iyi korur.

Bir kullanıcının kimliğini doğrulamanın kolay bir yolu, yarım saatten birkaç güne kadar değişen önceden belirlenmiş aralıklarla oturumlarını otomatik olarak kapatmaktır. Bazıları bu yöntemi can sıkıcı bulsa da, dizüstü bilgisayarını başıboş bırakan, akıllı telefonunu kaybeden veya halka açık bir bilgisayardan çıkış yapmayı unutan kullanıcıları koruyabilir.

Ayrıca, kullanıcıların etkinlik biletleri ve reçeteler gibi dijital belgelerin gerçek sahibi olduklarını doğrulamaları gereken zamanlar olacaktır. Freja'nın bir kullanıcının dijital kimliğini (uygulamamızda doğrulanmıştır) COVID-19 aşı pasaportuna güvenli bir şekilde bağlayan bir ürün tasarlamasına yardımcı oldum. Bu, pasaportun sahte olmasını kağıt versiyonundan veya birçok ülkede mevcut olan dijital versiyondan çok daha zor hale getirdi. Örneğin İsveç ve Danimarka'da, dijital aşı pasaportları diğer kimlik biçimleriyle bağlantılı değildir ve tipik olarak bir QR kodu aracılığıyla erişilir.

Dijital doğrulamadaki gelişmelere rağmen, bazı bankalar da dahil olmak üzere bazı şirketler, özellikle kredi başvurusunda bulunurken, kullanıcıların kimliklerini kanıtlamak için fiziksel bir yeri ziyaret etmelerini hala şart koşuyor. Bu gibi durumlarda personel, kullanıcının görünüşünü dikkatlice inceler ve kimlik belgelerindeki fotoğraflarla eşleşmesini sağlar. Bazıları bu güvenlik tiyatrosunu düşünüyor ve bir çalışanın bu görevi kullanıcı olmadan tamamlayabileceğini savunuyor. Ancak yüz yüze ziyaretler, gerçek görüntülerden ayırt edilmesi zorlaşan, derin sahtekarlık olarak bilinen fotoğraf ve video tahrifatlarına karşı koruma sağladığı için bir güvenlik geliştirmesi olabilir. Ek olarak, bir AARP Araştırması araştırması, 50 yaş ve üzerindeki yetişkinlerin %83'ünün çevrimiçi etkinliklerinin ve bilgilerinin gizli olduğundan emin olmadığını ortaya koydu. Bu kullanıcılara belgelerinin şahsen gözden geçirilmesi seçeneğinin sunulması, kalıcı ürün güveni ve sadakati sağlayabilir.

Birçok dijital ürün, kullanıcıların adreslerini, iletişim bilgilerini, ödeme yöntemlerini ve hatta tıbbi geçmişlerini de saklar. Riskler göz önüne alındığında, daha fazla güvenlik önlemi uygulamanın daha güvenli bir ürüne yol açacağını düşünebilirsiniz, ancak bu kolayca sinir bozucu bir kullanıcı deneyimi yaratabilir. Bağlam çok önemlidir. Örneğin, bir kripto ticareti uygulaması tasarlıyorsanız, bu bilgilerin Google'da bulunması kolay olduğundan, kullanıcıların giriş yapmadan token fiyatlarını ve trendlerini görmelerine izin verebilirsiniz. Ancak kullanıcılar jeton satın almaya veya satmaya karar verdiğinde, MFA kullanarak oturum açmalarını zorunlu kılarsınız. Farklı eylemler, farklı güvenlik seviyeleri gerektirir.

Kullanıcıları Güvende Hissettiren Güvenlik Tiyatrosu

Bazı durumlarda, tasarımcılar sürtüşme eklemek ve kullanıcılara daha fazla gönül rahatlığı sağlamak için güvenlik tiyatrosuna güvenir. Bu uygulama, kullanıcıları gerçekten koruyan UX özelliklerinin yerini almadığı sürece faydalı, hatta bazen gerekli olabilir.

Bazı şirketler kendilerini güvende hissettirmek için prosedürlere gereksiz zaman ekler. TurboTax, bir kullanıcı vergilerini beyan ederken kişisel ve finansal bilgilerin işlenmesini yavaşlatır. Animasyonlu ilerleme çubukları, ekrandaki metinle birlikte kullanıcılara, olası tüm vergi indirimlerinin uygulandığından emin olmak için programın her ayrıntıyı gözden geçirdiğini garanti eder. Ancak TurboTax, her adımda bu verileri zaten doğrulamaktadır.

TurboTax web sitesinin kaynak kodunu inceleyen araştırmacılar, ilerleme göstergelerinin önceden ayarlandığını buldu. Animasyonlar oynamaya başladığında sitenin sunucularıyla iletişimi keserler. Ayrıca, ilerleme göstergeleri tüm kullanıcılar için aynıdır ve her zaman aynı süre boyunca sürer. Gecikme, grafikler ve mesajlar, kullanıcıların mümkün olan en büyük vergi iadesini aldıklarına dair güvenlerini artırmayı amaçlayan teatral yöntemlerdir; bu, TurboTax ayrıca veri şifreleme ve çok faktörlü kimlik doğrulama kullandığından kabul edilebilir bir durumdur.

Diğer şirketler, bir dizi etkileşime benzer gecikmeler ekler. Wells Fargo, kullanıcılar tam hızda çalıştıklarında çalıştıklarından emin olmadıkları için uygulamasındaki retina tarayıcılarını yavaşlattı. Facebook'un hesap güvenlik kontrollerinin işlenmesi aslında milisaniye sürüyor, ancak kullanıcıları 10 saniyeye kadar beklemeye zorluyor. Google Ventures tarafından tasarlananlar da dahil olmak üzere kredi veren destekli ipotek uygulamaları, kredi onay süreçlerini yavaşlattı ve kullanıcılar anlık onaya güvenmedikleri için kredi kontrolleri için sahte ilerleme çubukları ekledi.

Freja eID uygulamasıyla, bilgileri yakın alan iletişimi (NFC) aracılığıyla yüklemek için kullanıcıların telefonlarını çip etkin pasaportlarına üç saniye tutmalarını istiyoruz. Aslında, yükleme bir saniyeden daha kısa sürer, ancak kullanıcılardan telefonlarını daha uzun süre sabit tutmalarını istemek, onlara işlemin güvenli olduğunu hissettirir. Belge özçekimine de sürtüşme getirdik: İhtiyacımız olan tek şey statik bir resimdi, ancak kullanıcılar bunun güvenli olduğuna ikna olmadılar, bu yüzden başlarını sola ve sağa çevirme adımını ekledik.

Freja dahil tüm bu şirketler, gerçek güvenlikle desteklenen güvenlik tiyatrosunun kullanıcıların güvenini artırdığını keşfetti. Müşterileriniz için UX güvenlik projeleri üzerinde çalışırken, birçok kullanıcının zihinsel modelinin henüz modern teknolojinin hızlı temposuna ayak uyduramadığını unutmayın. İşleri yavaşlatmak, kullanıcıların bir ürünün güvenli olduğundan emin olmalarına yardımcı olabilir.

Bir grafik, TuboTax'ın sahte ilerleme çubuğunun ekran görüntüsünü gösterir, "Her olası vergi indirimi için iki kez kontrol edin… Hiçbir şeyi kaçırmadığımızdan emin olarak size hak ettiğiniz her doları alıyoruz." Kesintiler, krediler ve analizler için durum çubukları gösterilir. Resimde ayrıca para alan bir elin simgesi de bulunmaktadır.
TurboTax'ın tüm kullanıcılar için aynı olan ve her zaman aynı süre boyunca görünen sahte ilerleme çubuğu ve durum mesajının resimli bir sunumu. Zaman gecikmesi, grafik ve metin, kullanıcıların bir ürünün güvenliğine olan güvenini artırabilecek güvenlik tiyatrosu örnekleridir.

UX ve Sürtünme: Simbiyotik Bir İlişki

UX güvenliği bir spektrumdur ve kullanıcıların güvenliğin nasıl olması gerektiği konusunda belirli beklentileri vardır: Sosyal medya mesajı göndermek hızlı ve basit olmalıdır. 10.000$'ı başka birinin banka hesabına transfer etmemelisiniz.

Etkileşim tasarımında, kullanıcıların hedeflerini olabildiğince çabuk tamamlamalarına yardımcı olmak amacıyla akışa genellikle öncelik verilir - ancak güveni artıran ve kullanıcıların değerli bilgilerini koruyan düşünceli sürtünmenin önemini küçümsemeyin.

Toptal Blog'da Daha Fazla Okuma:

  • Tasarım Tarafından Güvenli: UX Güvenliğine Genel Bir Bakış
  • Maksimum Ürün Güveni İçin Nasıl Tasarım Yapılır?
  • Kart Sıralama: Kullanıcıların Zihinsel Modelleriyle Uyum Sağlayarak Daha İyi Bilgi Mimarisi