如何减少安全产品开发中的用户体验摩擦
已发表: 2022-07-22在产品开发中,外观通常最终会引起所有关注。 令人愉悦的 UI 很重要,但 UX 才是你产品的成败。
作为产品经理,我大部分时间都在思考如何减少整个用户体验中的摩擦。 我的意思是要么减少最终用户为实现目标而必须采取的步骤数量,要么降低这些步骤的复杂性。 让您通过三项安全措施进行购买的电子商务应用程序的性能不如只需要一项的应用程序。
但是,低摩擦不能以牺牲维护敏感客户数据的组织(例如金融机构和保险公司)的安全性为代价。
由于易用性和个人数据安全通常存在矛盾,因此找到合适的平衡点可能很棘手。 这是如何做到的。
安全与便利之间的古老斗争
在 1950 年代信用卡诞生后的几十年里,发卡机构对欺诈保持警惕,要求商家在交易超过“下限”(持卡人无需预授权即可收取的最高金额)时给他们打电话。 对于等待购买新车或冰箱的消费者来说,这是一个很大的麻烦。 因此,在设定下限时,银行和信用卡公司不得不权衡他们的风险偏好和消费者对不便的容忍度。
信用额度为 10,000 美元的客户可能比信用额度为 1,000 美元的客户对银行更有价值,对服务的期望也更高。 您可能会决定提高此类客户的最低限额,以尽量减少他们遇到的摩擦。 但是,如果这些高价值账户也最容易受到欺诈怎么办? 您最终可能会引入一定程度的风险,这对您的底线造成的损害比失去其中一些客户的损失更大。
快进到数字时代,这种竞争需求的跷跷板仍然存在,尽管威胁瞬息万变,消费者缺乏耐心。 没有精确的公式来调和这些需求,因此从事软件和应用程序工作的产品经理需要不断校准他们的用户体验,以保持摩擦和安全性的平衡。
更少的欺诈并不总是意味着更多的利润
在大多数安全软件和应用程序中,产品经理必须服务于两类客户:
- 优先考虑最高保护的组织。
- 想要无缝产品 UX 的最终用户。
例如,一家银行出于多种原因希望 100% 防止欺诈,包括:
- 顾客满意度。
- 减少欺诈损失。
- 品牌美誉度。
- 网络攻击最小化。
另一方面,最终用户有相互竞争的要求:他们希望轻松快速地访问他们的帐户。 如果银行的用户体验是为 100% 的欺诈保护而设计的,那么这将不会发生。
相反,最终用户每次使用应用程序时都会遇到很大的摩擦。 例如,输入密码后,用户可能需要输入发送到手机的双重身份验证码,然后进行生物识别扫描或验证码质询。 由此产生的延迟时间可能会导致一些用户减少他们的应用程序使用,或者更糟糕的是,他们会寻找新的银行。 在这种情况下,银行将节省欺诈损失的资金,但会因客户群的减少而蒙受损失。
更复杂的是,不同的最终用户在寻找另一家服务提供商之前可能对他们能容忍的摩擦程度有不同的阈值。
锁定客户的目标、成本和风险承受能力
既然我们已经确定尝试提供 100% 的欺诈保护没有商业意义,我们需要确定什么是有效的。 让我们从银行的资源开始:金钱和人员。
首先,确定银行当前的欺诈率以及它可以吸收多少损失。 还要权衡它希望通过这种新产品获得的净节省与开发和维护它的成本。 (您可能会发现欺诈保护的成本高于欺诈本身。)
接下来,计算银行员工每天可以处理多少可疑案例和“误报”。 当银行由于风险计算错误而删除或限制用户的帐户时,就会发生误报。 这些误报增加了用户的摩擦,浪费了银行员工的时间,并最终损害了品牌的声誉。
一旦您确定了银行可以承受的支出或金钱和劳动力损失,您就可以开始确定您的产品范围。 借助此信息,您可以确定要从最终用户那里收集哪些数据点,以实时计算他们的欺诈风险评分。
确定要从最终用户那里收集哪些数据
安全软件和应用程序验证:
- 你是谁。 这些是您的行为,包括您的登录位置或鼠标移动等。
- 你有什么。 这些是向您注册或您经常使用的设备。
- 你知道什么。 这包括密码、安全问题、生日和其他个人信息。
一旦软件收集到这些信息,机器学习模型就会使用每个类别的输入来为用户分配欺诈风险概况。 基于此配置文件,组织可以决定是否允许访问、拒绝访问、请求进一步的身份验证、限制功能或这些选项的任意组合。
作为产品经理,收集尽可能多的信息是很有诱惑力的。 但是,这并不总是最佳做法。 这是因为您从每个用户那里收集的信息越多,计算后端风险评分所需的时间和资源就越多。 这反过来又增加了用户的滞后时间,即更多的摩擦。
相反,从似乎是用户身份的最简单标志的指标开始,例如位置、已知设备和密码。 然后,考虑恶意行为者可以规避这些指标的方式。 老练的犯罪分子可能会欺骗用户的位置和设备,并可能访问因数据泄露或恶意软件攻击而泄露的密码。 为了弥补这些漏洞,您还可以分析鼠标移动或检查用户过去是否进行过类似的购买。
在添加新指标之前,请权衡其对欺诈预防的影响与将其添加到产品中的前期成本。 您还应该考虑额外计算和数据存储带来的经常性劳动力和财务成本。
请记住,找到正确的指标集是一个反复试验的练习。 真正确定每个指标的好处的唯一方法是添加和减去它们中的每一个,监控每个组合对客户和最终用户的欺诈率和用户体验的影响。
与客户一起审查您的指标
虽然客户可能会优先考虑减少欺诈,但他们自己的员工(例如欺诈分析师)的可用性在后端也很重要。 因此,明智的做法是确保您计划收集的数据点将有助于而不是阻碍它们。
设计思维框架对于服务于两个用户集的产品来说是一种有用的方法。 它以人为中心,而不是以问题为中心,并要求设计师同情用户,以便他们能够想象他们未来的需求。 设计思维可以帮助产品经理开发一个动态的产品,服务于相互竞争的利益——在这种情况下,安全性和便利性。
投资移情阶段意味着提出问题并将其嵌入客户的日常工作流程中。 这使您可以与 RFP 互动以预测市场变化,并了解客户的数据如何与他们的实时威胁形势保持一致。 一旦您了解了这些战略和战术挑战,您就可以开始开发了。
计划在开发和测试阶段尽可能多地与您的客户相处。 虽然反馈会让您了解客户的愿望清单,但跟踪可以帮助您识别不会出现在自我报告中的错误沟通、知识差距和设计缺陷。
如果您是与欺诈分析师共享办公空间的内部产品经理,那么跟踪是相当简单的。 如果您是顾问或非现场工作人员,则需要尽可能多地安排现场访问。 如果旅行不是一种选择,那么带有屏幕共享的虚拟会话是值得的。
一旦您的产品启动并运行,请每周与欺诈分析师进行检查,以确保 UX 设计为他们服务,尤其是在您推出新功能时:他们为什么按特定顺序执行任务? 当他们单击特定按钮时会发生什么? 当他们收到通知时,他们会如何反应? 他们在日常工作中注意到了哪些变化?
收集您的数据
数据收集技术让组织可以利用数百个数据点来验证用户的身份。 它还可以帮助电子商务网站和应用程序根据他们的人口统计资料定制用户体验。 符合特定个人资料的用户甚至可以获得定制交易或触发自动帮助。
那么这在安全应用程序中是如何工作的呢?
- Web 浏览器:每次用户在浏览器中导航到受保护的站点时,嵌入式 JavaScript “收集器”都会收集识别信息。 这可能包括位置、设备详细信息和鼠标移动等数据点。
- 原生应用:原生应用专为特定设备平台设计,例如 iOS 或 Android。 从移动设备访问服务时,这些应用程序使用软件开发工具包 (SDK) 来收集识别信息,其中可能包括手指点击和滑动而不是鼠标移动。
然后,您的机器学习模型将根据这些数据点形成的整体模式分配欺诈风险评分。 如果风险评分高于平均水平,则以双因素身份验证或安全问题的形式引入更多摩擦是有意义的。 但是,如果您的太多用户触发了额外的验证步骤,则可能是时候重新考虑您的风险阈值或数据收集策略了。
不断减少最终用户的摩擦
产品运行后,跟踪呼叫中心或应用商店记录的最终用户投诉,以发现痛点和改进建议。 即使是最好的发布前测试也无法捕捉到每一个摩擦点,新的操作系统和设备发布可能会导致意想不到的复杂情况,从而减慢最终用户的速度。
对于建立在电子商务基础上的企业来说,这些放缓的成本是显而易见的。 到 2022 年,Baymard 研究所估计 17% 的可避免的购物车放弃是由于结账过程过长或复杂造成的; 另有 18% 的受访者将其归咎于对其信用卡信息的安全性缺乏信任。 Baymard 估计,结账速度慢和对网站安全缺乏信任是导致美国和欧盟销售额损失 2600 亿美元的一系列因素之一。 这为电子商务产品经理重新考虑他们的销售点解决方案提供了难得的机会。 但无论您身处哪个行业,减少用户摩擦并确保对您的数据保护的信心都应该是一种持续的做法,可以产生更快乐的客户和重大的业务创新。
以下是安全产品开发中成功减少摩擦的两个示例:
3DS
在 1990 年代后期,Visa 和 Mastercard 联手创建了 3D 安全支付 (3DS) 安全协议。 2001 年发布的原始协议要求所有用户在 3DS 上注册他们的卡,并在每次结账时使用专用的 3DS 密码登录。 如果用户忘记了他们的 3DS 密码,他们需要在完成购买之前找回或重置密码。 在后来的版本中,发卡机构可以选择用动态一次性密码 (OTP) 替换经常被遗忘的静态密码。 但是,额外的登录步骤继续阻碍结帐过程。
3DS 开发人员注意到了这种挥之不去的摩擦,并在 2016 年发布了 3DS 2.0,其中包括一个 SDK 组件,允许应用程序将 3DS 元素嵌入到他们的代码中。 3DS 2.0 更适合移动交易并分析更多数据点以产生更准确的风险评估。 因此,只有一小部分 3DS 2.0 用户需要采取额外的身份验证步骤,通常采用 OTP 的形式。
优步
3DS 2.0 就是一个通过迭代减少产品摩擦的例子。 但您也可以通过引入颠覆性产品来减少行业层面的摩擦。
优步的商业模式是建立在从传统出租车中减少摩擦的基础上的。 使用优步,您无需再等待出租车服务或在旅行结束时翻找钱包。
无缝的支付流程是公司早期成功的关键,但也带来了一些风险。 每次优步自动处理存储在其应用程序中的信用卡交易时,都会面临拒付的风险(持卡人对交易提出异议并获得退款)。
然而,Uber 计算出这些潜在拒付的成本值得有机会优化用户体验。 如果用户每次叫车时都必须掏出信用卡或输入密码,那么整个业务可能会失败。 相反,优步接受了摩擦带来的风险,并且服务起飞了。
在这两个示例中,以用户为中心的产品管理方法也权衡了安全性和风险,从而带来了开创性和有利可图的创新。
最好的维护是一个很好的进攻
欺诈者希望比产品团队领先一步。 虽然其他类型的开发可以对不断变化的需求做出反应,但安全软件项目需要预测它们。 这意味着产品经理必须阅读行业文献并利用来自多个客户的数据从过去的安全漏洞和成功的转移中学习。
您的产品团队应定期提供威胁情况报告,并将它们与客户的经验和要求进行交叉引用。 并非每个新威胁都需要更新产品。 也许您的团队发现了一种您的 UX 无法防御的新型攻击,但与您的客户的讨论表明这与他们的威胁环境无关:南非的一位银行客户可能正在处理一连串的SIM 交换欺诈,而纽约的另一个可能正在遭受黑客使用 VPN 的更多攻击。 在大多数情况下,保护两家银行免受这两种欺诈行为的成本效益并不高——并且会引入不必要的用户体验摩擦。
作为产品经理,您的角色需要不断调整功能,以确保您不会为了令人愉悦的用户体验而牺牲安全性,反之亦然。 虽然您需要大量数据才能真正了解客户和最终用户的需求,但这种平衡行为的其余部分是试验、错误和艺术的混合体。