必要的摩擦:用戶體驗安全的戲劇性

已發表: 2022-07-22

UX 設計師通常會努力使產品更易於使用,但在某些情況下,增加摩擦會提高產品的安全性。 例如,雙因素身份驗證使登錄速度變慢,但可以減少身份盜用。 在某些情況下,實施摩擦只會讓用戶感到安全:動畫進度條不會保護個人數據,但可能會滿足用戶對安全環境中所需的更高處理能力的期望。

作為與瑞典政府簽訂合同的數字安全公司 Freja 的產品設計經理,我經常尋找將可用性與用戶安全相協調的方法。 有時這意味著整合用戶認為安全的功能。 例如,大多數數字產品可以即時計算複雜數據,但研究表明,人工加載時間讓用戶感覺高級系統正在為他們努力工作。 另一方面,如果設計人員過度依賴似乎只是增強安全性的功能(稱為安全劇院),他們可能會導致用戶相信他們的信息比實際更安全。

增強用戶體驗安全性的功能

身份驗證是用戶體驗安全的一個重要方面。 不幸的是,用戶名和密碼並不是可靠的身份驗證措施:2021 年,85% 的網絡釣魚攻擊針對的是用戶憑據。 為了解決這個問題,設計人員正在實施安全功能,以增加用戶創建和登錄帳戶所需的時間。 例如,多因素身份驗證 (MFA) 在創建帳戶或登錄時需要多種形式的身份驗證。 大多數採用 MFA 的產品都要求用戶提供三個憑據中的兩個:

  • 一種身份證明形式,例如護照或駕駛執照,或付款方式,例如信用卡
  • 唯一信息,例如密碼或 PIN
  • 生物特徵數據,例如面部、指紋或視網膜掃描

在保證用戶安全的同時簡化 MFA 的一種方法是要求使用文檔自拍照,在該自拍照中,用戶在將官方 ID 放在他們的臉旁時拍攝照片或視頻。 上傳自拍照後,公司要么讓員工檢查用戶的面部和 ID 是否匹配,要么使用計算機算法來確定真實性。

面部識別正迅速成為登錄及以後流行的安全功能。 例如,一些銀行應用程序在用戶想要訪問賬戶詳細信息、簽署電子文檔或轉移資金時使用面部識別來驗證用戶的身份。 儘管許多人單獨使用面部識別來快速解鎖他們的智能手機,但我建議將該技術作為 MFA 策略的一部分來提高安全性。

插圖描繪了智能手機上應用程序的登錄屏幕。正文寫道:“歡迎。登錄以開始。”下面是供用戶輸入其 ID 和密碼的字段,以及用於完成登錄過程或獲取密碼幫助的按鈕。面容 ID 功能的疊加顯示幀內的人臉輪廓。
使用面部識別等生物特徵數據的安全措施可以更好地保護用戶的身份、信息和資金免遭盜竊。

驗證用戶身份的一種簡單方法是按預定的時間間隔自動將其註銷,從半小時到幾天不等。 雖然有些人可能會覺得這種方法很煩人,但它可以保護那些讓筆記本電腦無人看管、丟失智能手機或忘記退出公共計算機的用戶。

有時用戶還需要驗證他們是數字文檔的合法所有者,例如活動門票和處方。 我幫助 Freja 設計了一個產品,將用戶的數字身份(在我們的應用程序中驗證)安全地鏈接到他們的 COVID-19 疫苗護照。 這使得護照比紙質版或許多國家現有的數字版更難偽造。 例如,在瑞典和丹麥,數字疫苗護照不與其他形式的身份證明相關聯,通常通過二維碼訪問。

儘管數字驗證方面取得了進步,但包括某些銀行在內的一些公司仍要求用戶訪問實體場所以證明其身份,尤其是在申請貸款時。 在這種情況下,工作人員會仔細檢查用戶的外貌,並確保其與身份證件上的照片相符。 有些人考慮這個安全劇院,並認為員工可以在沒有用戶在場的情況下完成這項任務。 但是親自訪問可以增強安全性,因為它們可以防止被稱為深度偽造的照片和視頻偽造,這些偽造變得越來越難以與真實圖像區分開來。 此外,AARP Research 的一項調查發現,50 歲及以上的成年人中有 83% 的人不相信他們的在線活動和信息是私密的。 為這些用戶提供親自審查其文檔的選項可以建立持久的產品信任和忠誠度。

許多數字產品還存儲用戶的地址、聯繫信息、支付方式,甚至病歷。 考慮到風險,您可能會認為實施更多安全措施會帶來更安全的產品,但這很容易造成令人沮喪的用戶體驗。 上下文至關重要。 例如,如果您正在設計一個加密交易應用程序,您可能允許用戶在不登錄的情況下查看代幣價格和趨勢,因為這些信息很容易在 Google 上找到。 但是當用戶決定購買或出售代幣時,你會要求他們使用 MFA 登錄。 不同的操作需要不同的安全級別。

讓用戶感到安全的安全劇院

在某些情況下,設計師依靠安全劇院來增加摩擦,讓用戶更加安心。 這種做法可能是有益的——有時甚至是必要的——只要它不能替代真正保護用戶的 UX 功能。

一些公司在程序上增加了不必要的時間,以使他們感到安全。 當用戶報稅時,TurboTax 會減慢個人和財務信息的處理速度。 動畫進度條與屏幕文本相結合,向用戶保證該程序正在查看每個細節,以確保應用所有可能的稅收減免。 但 TurboTax 已經在每一步都在驗證這些數據。

研究 TurboTax 網站源代碼的研究人員發現進度指示器是預設的。 一旦動畫開始播放,它們就會停止與站點服務器的通信。 此外,所有用戶的進度指示器都是相同的,並且始終持續相同的時間。 延遲、圖形和消息是戲劇性的方法,旨在提高用戶對他們獲得最大納稅申報表的信心——這是可以接受的,因為 TurboTax 還採用了數據加密和多因素身份驗證。

其他公司在一系列互動中添加了類似的延遲。 富國銀行在其應用程序上放慢了視網膜掃描儀的速度,因為用戶在全速運行時不確定他們是否在工作。 Facebook 的帳戶安全檢查實際上需要幾毫秒的時間來處理,但它們會強制用戶等待長達 10 秒。 貸款人支持的抵押貸款應用程序,包括由 Google Ventures 設計的應用程序,減慢了他們的貸款審批流程,並為信用檢查添加了虛假的進度條,因為用戶不相信即時批准。

借助 Freja eID 應用程序,我們要求用戶將手機靠近支持芯片的護照三秒鐘,以通過近場通信 (NFC) 上傳信息。 事實上,上傳時間不到一秒鐘,但要求用戶長時間保持手機穩定會讓他們覺得這個過程是安全的。 我們還在文檔自拍中引入了摩擦:我們只需要一張靜態圖片,但用戶不相信這是安全的,所以我們添加了讓他們左右轉動頭部的步驟。

包括 Freja 在內的所有這些公司都發現,以實際安全為後盾的安全劇院提高了用戶的信任度。 當您為客戶處理 UX 安全項目時,請記住,許多用戶的心智模型還沒有跟上現代技術的快節奏。 放慢速度可以幫助用戶確信產品是安全的。

一張圖表顯示了 TuboTax 的虛假進度條的屏幕截圖,上面寫著:“仔細檢查每一個可能的稅收減免……我們通過確保我們不會錯過任何事情,為您提供您應得的每一美元。”顯示扣除、信用和分析的狀態欄。該圖像還具有收錢的手的圖標。
TurboTax 的虛假進度條和狀態消息的圖示渲染,對於所有用戶來說都是相同的,並且總是出現相同的時間長度。 延時、圖文、文案都是安全劇場的例子,可以增加用戶對產品安全性的信任。

用戶體驗和摩擦:一種共生關係

UX 安全是一個範圍,用戶對安全應該是什麼樣子有特定的期望:發送社交媒體消息應該快速而簡單。 不應將 10,000 美元轉入他人的銀行賬戶。

在交互設計中,流程通常被優先考慮,目的是幫助用戶盡快完成他們的目標——但不要忽視深思熟慮的摩擦的重要性,它可以增加信任並保護用戶的有價值信息。

Toptal 博客的進一步閱讀:

  • 設計安全:用戶體驗安全概述
  • 如何設計以獲得最大的產品信任
  • 卡片分類:通過與用戶的心理模型保持一致,更好的信息架構