如何減少安全產品開發中的用戶體驗摩擦

已發表: 2022-07-22

在產品開發中,外觀通常最終會引起所有關注。 令人愉悅的 UI 很重要,但 UX 才是你產品的成敗。

作為產品經理,我大部分時間都在思考如何減少整個用戶體驗中的摩擦。 我的意思是要么減少最終用戶為實現目標而必須採取的步驟數量,要么降低這些步驟的複雜性。 讓您通過三項安全措施進行購買的電子商務應用程序的性能不如只需要一項的應用程序。

但是,低摩擦不能以犧牲維護敏感客戶數據的組織(例如金融機構和保險公司)的安全性為代價。

由於易用性和個人數據安全通常存在矛盾,因此找到合適的平衡點可能很棘手。 這是如何做到的。

安全與便利之間的古老鬥爭

在 1950 年代信用卡誕生後的幾十年裡,發卡機構對欺詐保持警惕,要求商家在交易超過“下限”(持卡人無需預授權即可收取的最高金額)時給他們打電話。 對於等待購買新車或冰箱的消費者來說,這是一個很大的麻煩。 因此,在設定下限時,銀行和信用卡公司不得不權衡他們的風險偏好和消費者對不便的容忍度。

信用額度為 10,000 美元的客戶可能比信用額度為 1,000 美元的客戶對銀行更有價值,對服務的期望也更高。 您可能會決定提高此類客戶的最低限額,以盡量減少他們遇到的摩擦。 但是,如果這些高價值賬戶也最容易受到欺詐怎麼辦? 您最終可能會引入一定程度的風險,這對您的底線造成的損害比失去其中一些客戶的損失更大。

快進到數字時代,這種競爭需求的蹺蹺板仍然存在,儘管威脅瞬息萬變,消費者缺乏耐心。 沒有精確的公式來調和這些需求,因此從事軟件和應用程序工作的產品經理需要不斷校准他們的用戶體驗,以保持摩擦和安全性的平衡。

更少的欺詐並不總是意味著更多的利潤

在大多數安全軟件和應用程序中,產品經理必須服務於兩類客戶:

  1. 優先考慮最高保護的組織。
  2. 想要無縫產品 UX 的最終用戶。

例如,一家銀行出於多種原因希望 100% 防止欺詐,包括:

  • 顧客滿意度。
  • 減少欺詐損失。
  • 品牌美譽度。
  • 網絡攻擊最小化。

另一方面,最終用戶有相互競爭的要求:他們希望輕鬆快速地訪問他們的帳戶。 如果銀行的用戶體驗是為 100% 的欺詐保護而設計的,那麼這將不會發生。

相反,最終用戶每次使用應用程序時都會遇到很大的摩擦。 例如,輸入密碼後,用戶可能需要輸入發送到手機的雙重身份驗證碼,然後進行生物識別掃描或驗證碼質詢。 由此產生的延遲時間可能會導致一些用戶減少他們的應用程序使用,或者更糟糕的是,他們會尋找新的銀行。 在這種情況下,銀行將節省欺詐損失的資金,但會因客戶群的減少而蒙受損失。

更複雜的是,不同的最終用戶在尋找另一家服務提供商之前可能對他們能容忍的摩擦程度有不同的閾值。

代表銀行的圖標標有“銀行想要一個安全的應用程序”文本。顯示手機的圖標標有“用戶想要無縫體驗”的文字。
客戶的需求和用戶的偏好往往不一致。

鎖定客戶的目標、成本和風險承受能力

既然我們已經確定嘗試提供 100% 的欺詐保護沒有商業意義,我們需要確定什麼是有效的。 讓我們從銀行的資源開始:金錢和人員。

首先,確定銀行當前的欺詐率以及它可以吸收多少損失。 還要權衡它希望通過這種新產品獲得的淨節省與開發和維護它的成本。 (您可能會發現欺詐保護的成本高於欺詐本身。)

接下來,計算銀行員工每天可以處理多少可疑案例和“誤報”。 當銀行由於風險計算錯誤而刪除或限制用戶的帳戶時,就會發生誤報。 這些誤報增加了用戶的摩擦,浪費了銀行員工的時間,並最終損害了品牌的聲譽。

一旦您確定了銀行可以承受的支出或金錢和勞動力損失,您就可以開始確定您的產品範圍。 借助此信息,您可以確定要從最終用戶那裡收集哪些數據點,以實時計算他們的欺詐風險評分。

確定要從最終用戶那裡收集哪些數據

安全軟件和應用程序驗證:

  • 你是誰。 這些是您的行為,包括您的登錄位置或鼠標移動等。
  • 你有什麼。 這些是向您註冊或您經常使用的設備。
  • 你知道什麼。 這包括密碼、安全問題、生日和其他個人信息。

一旦軟件收集到這些信息,機器學習模型就會使用每個類別的輸入來為用戶分配欺詐風險概況。 基於此配置文件,組織可以決定是否允許訪問、拒絕訪問、請求進一步的身份驗證、限制功能或這些選項的任意組合。

作為產品經理,收集盡可能多的信息是很有誘惑力的。 但是,這並不總是最佳做法。 這是因為您從每個用戶那裡收集的信息越多,計算後端風險評分所需的時間和資源就越多。 這反過來又增加了用戶的滯後時間,即更多的摩擦。

相反,從似乎是用戶身份的最簡單標誌的指標開始,例如位置、已知設備和密碼。 然後,考慮惡意行為者可以規避這些指標的方式。 老練的犯罪分子可能會欺騙用戶的位置和設備,並可能訪問因數據洩露或惡意軟件攻擊而洩露的密碼。 為了彌補這些漏洞,您還可以分析鼠標移動或檢查用戶過去是否進行過類似的購買。

在添加新指標之前,請權衡其對欺詐預防的影響與將其添加到產品中的前期成本。 您還應該考慮額外計算和數據存儲帶來的經常性勞動力和財務成本。

請記住,找到正確的指標集是一個反複試驗的練習。 真正確定每個指標的好處的唯一方法是添加和減去它們中的每一個,監控每個組合對客戶和最終用戶的欺詐率和用戶體驗的影響。

與客戶一起審查您的指標

雖然客戶可能會優先考慮減少欺詐,但他們自己的員工(例如欺詐分析師)的可用性在後端也很重要。 因此,明智的做法是確保您計劃收集的數據點將有助於而不是阻礙它們。

設計思維框架對於服務於兩個用戶集的產品來說是一種有用的方法。 它以人為中心,而不是以問題為中心,並要求設計師同情用戶,以便他們能夠想像他們未來的需求。 設計思維可以幫助產品經理開發一個動態的產品,服務於相互競爭的利益——在這種情況下,安全性和便利性。

投資移情階段意味著提出問題並將其嵌入客戶的日常工作流程中。 這使您可以與 RFP 互動以預測市場變化,並了解客戶的數據如何與他們的實時威脅形勢保持一致。 一旦您了解了這些戰略和戰術挑戰,您就可以開始開發了。

計劃在開發和測試階段盡可能多地與您的客戶相處。 雖然反饋會讓您了解客戶的願望清單,但跟踪可以幫助您識別不會出現在自我報告中的錯誤溝通、知識差距和設計缺陷。

如果您是與欺詐分析師共享辦公空間的內部產品經理,那麼跟踪是相當簡單的。 如果您是顧問或非現場工作人員,則需要盡可能多地安排現場訪問。 如果旅行不是一種選擇,那麼帶有屏幕共享的虛擬會話是值得的。

一旦您的產品啟動並運行,請每週與欺詐分析師進行檢查,以確保 UX 設計為他們服務,尤其是在您推出新功能時:他們為什麼按特定順序執行任務? 當他們單擊特定按鈕時會發生什麼? 當他們收到通知時,他們會如何反應? 他們在日常工作中註意到了哪些變化?

收集您的數據

數據收集技術讓組織可以利用數百個數據點來驗證用戶的身份。 它還可以幫助電子商務網站和應用程序根據他們的人口統計資料定制用戶體驗。 符合特定個人資料的用戶甚至可以獲得定制交易或觸發自動幫助。

那麼這在安全應用程序中是如何工作的呢?

  • Web 瀏覽器:每次用戶在瀏覽器中導航到受保護的站點時,嵌入式 JavaScript “收集器”都會收集識別信息。 這可能包括位置、設備詳細信息和鼠標移動等數據點。
  • 原生應用:原生應用專為特定設備平台設計,例如 iOS 或 Android。 從移動設備訪問服務時,這些應用程序使用軟件開發工具包 (SDK) 來收集識別信息,其中可能包括手指點擊和滑動而不是鼠標移動。

然後,您的機器學習模型將根據這些數據點形成的整體模式分配欺詐風險評分。 如果風險評分高於平均水平,則以雙因素身份驗證或安全問題的形式引入更多摩擦是有意義的。 但是,如果您的太多用戶觸發了額外的驗證步驟,則可能是時候重新考慮您的風險閾值或數據收集策略了。

不斷減少最終用戶的摩擦

產品運行後,跟踪呼叫中心或應用商店記錄的最終用戶投訴,以發現痛點和改進建議。 即使是最好的發布前測試也無法捕捉到每一個摩擦點,新的操作系統和設備發布可能會導致意想不到的複雜情況,從而減慢最終用戶的速度。

對於建立在電子商務基礎上的企業來說,這些放緩的成本是顯而易見的。 到 2022 年,Baymard 研究所估計 17% 的可避免的購物車放棄是由於結賬過程過長或複雜造成的; 另有 18% 的受訪者將其歸咎於對其信用卡信息的安全性缺乏信任。 Baymard 估計,結賬速度慢和對網站安全缺乏信任是導緻美國和歐盟銷售額損失 2600 億美元的一系列因素之一。 這為電子商務產品經理重新考慮他們的銷售點解決方案提供了難得的機會。 但無論您身處哪個行業,減少用戶摩擦並確保對您的數據保護的信心都應該是一種持續的做法,可以帶來更快樂的客戶和重大的業務創新。

條形圖顯示結帳期間可預防的購物車放棄的原因。數值包括:附加成本太高,48%;需要創建帳戶,24%;交貨太慢,22%;網站安全感覺不可信,18%;結帳太複雜,17%;總成本不明確,16%;網站錯誤,13%;退貨政策過於嚴格,12%;付款方式有限,9%;卡下降,4%。
2022 年,複雜的結賬流程和對站點安全性缺乏信任占可避免的購物車放棄的 35%。

以下是安全產品開發中成功減少摩擦的兩個示例:

3DS

在 1990 年代後期,Visa 和 Mastercard 聯手創建了 3D 安全支付 (3DS) 安全協議。 2001 年發布的原始協議要求所有用戶在 3DS 上註冊他們的卡,並在每次結賬時使用專用的 3DS 密碼登錄。 如果用戶忘記了他們的 3DS 密碼,他們需要在完成購買之前找回或重置密碼。 在後來的版本中,發卡機構可以選擇用動態一次性密碼 (OTP) 替換經常被遺忘的靜態密碼。 但是,額外的登錄步驟繼續阻礙結帳過程。

3DS 開發人員注意到了這種揮之不去的摩擦,並在 2016 年發布了 3DS 2.0,其中包括一個 SDK 組件,允許應用程序將 3DS 元素嵌入到他們的代碼中。 3DS 2.0 更適合移動交易並分析更多數據點以產生更準確的風險評估。 因此,只有一小部分 3DS 2.0 用戶需要採取額外的身份驗證步驟,通常採用 OTP 的形式。

圖像比較新舊 3DS 流程。最初的 3DS 要求所有購物者使用靜態密碼驗證他們的身份,這些密碼通常在彈出窗口或重定向站點中輸入。 3DS 2.0 流程顯示了更多的身份驗證步驟自動發生並與購物者的結賬流程並行,而不是減慢它的速度。這些身份驗證步驟包括代表買家位置、設備、購物歷史、當前購買、時區和生物特徵的圖標。
3DS 2.0 使用被動身份驗證功能,使大多數購物者在結賬時免於執行額外步驟。

優步

3DS 2.0 就是一個通過迭代減少產品摩擦的例子。 但您也可以通過引入顛覆性產品來減少行業層面的摩擦。

優步的商業模式是建立在從傳統出租車中減少摩擦的基礎上的。 使用優步,您無需再等待出租車服務或在旅行結束時翻找錢包。

無縫的支付流程是公司早期成功的關鍵,但也帶來了一些風險。 每次優步自動處理存儲在其應用程序中的信用卡交易時,都會面臨拒付的風險(持卡人對交易提出異議並獲得退款)。

然而,Uber 計算出這些潛在拒付的成本值得有機會優化用戶體驗。 如果用戶每次叫車時都必須掏出信用卡或輸入密碼,那麼整個業務可能會失敗。 相反,優步接受了摩擦帶來的風險,並且服務起飛了。

在這兩個示例中,以用戶為中心的產品管理方法也權衡了安全性和風險,從而帶來了開創性和有利可圖的創新。

最好的維護是一個很好的進攻

欺詐者希望比產品團隊領先一步。 雖然其他類型的開發可以對不斷變化的需求做出反應,但安全軟件項目需要預測它們。 這意味著產品經理必須閱讀行業文獻並利用來自多個客戶的數據從過去的安全漏洞和成功的轉移中學習。

您的產品團隊應定期提供威脅情況報告,並將它們與客戶的經驗和要求進行交叉引用。 並非每個新威脅都需要更新產品。 也許您的團隊發現了一種您的 UX 無法防禦的新型攻擊,但與您的客戶的討論表明這與他們的威脅環境無關:南非的一位銀行客戶可能正在處理一連串的SIM 交換欺詐,而紐約的另一個可能正在遭受黑客使用 VPN 的更多攻擊。 在大多數情況下,保護兩家銀行免受這兩種欺詐行為的成本效益並不高——並且會引入不必要的用戶體驗摩擦。

作為產品經理,您的角色需要不斷調整功能,以確保您不會為了令人愉悅的用戶體驗而犧牲安全性,反之亦然。 雖然您需要大量數據才能真正了解客戶和最終用戶的需求,但這種平衡行為的其餘部分是試驗、錯誤和藝術的混合體。