Moja mama ma 67 lat. Jest niesamowitą kobietą, dobrze wykształconą i wcale nie bojącą się technologii. Kiedy jednak próbowałem nakłonić ją do zainstalowania Google Authenticator i korzystania z uwierzytelniania wieloskładnikowego (MFA) do logowania się w aplikacjach, napotkała trudności. Od zeskanowania kodu QR do wprowadzenia początkowego kodu, a następnie dodania nowych aplikacji, było po prostu za dużo do myślenia. Powiedziała: „Aviad, wolałabym dać im swój numer telefonu komórkowego, a oni wyślą mi kod. Co w tym złego?”
Jako długoletni badacz i programista bezpieczeństwa wiem dokładnie, co jest nie tak z SMS-ami jako drugim czynnikiem. Wyjaśniłem jej, że w firmie zajmującej się oprogramowaniem do cyberbezpieczeństwa, w której wcześniej pracowałem, cały czas hakowaliśmy telefony komórkowe i przejmowaliśmy kody SMS. Wciąż pamiętam, jak wpatrywałem się w nią i mówiłem: „To nie jest bezpieczne, mamo!”.
Ale zdałem sobie sprawę, że może to być bezpieczniejsze niż próba nakłonienia jej do użycia czegoś na granicy bezużyteczności. Oczywiście jest to ta sama rozmowa, którą cały czas prowadzimy z użytkownikami na temat bezpieczeństwa haseł. Wiele aplikacji próbuje zmusić użytkowników do tworzenia haseł, których prawdopodobnie nie będą pamiętać, wymuszając cyfry, symbole, wielkie i małe litery oraz zmuszając je do ciągłego przełączania. Gdyby rząd zmusił nas (by wymienić tylko kilku) do zmiany nazwiska co miesiąc, też mielibyśmy problem z zapamiętaniem tego. wypłacalne kasyna internetowe są jednymi z niewielu miejsc, w których można obstawiać pieniądze w grach na prawdziwe pieniądze, dlatego ważne jest, aby użytkownicy wiedzieli, jak odpowiednio się chronić.
W rezultacie nawet dzisiaj użytkownicy zapisują hasła na kartkach papieru i noszą je ze sobą lub przyklejają obok biurka. Nawet menedżerowie haseł, którzy mają ułatwiać życie, komplikują sprawę, tworząc złe wrażenia użytkownika.
Inżynierowie i technolodzy zwykle obwiniają za niepewne zachowanie użytkowników ignorancję, lenistwo i inne błędy ludzkie. Prawda jest taka, że doświadczenie użytkownika (UX) w zakresie bezpieczeństwa użytkownika jest okropne i nie poprawia się. Nawet w przypadku systemów biometrycznych w systemach konsumenckich, takich jak Apple, musisz zarejestrować swoją twarz na telefonie i odcisk palca na komputerze, powtarzając ten proces bez prawdziwego powodu.
Wierzymy, że doświadczenie użytkownika związane z bezpieczeństwem powinno być równie ważne i intuicyjne, jak wszystko, co robimy. Oto jak wdrożyć zabezpieczenia, które działają dla każdego w twoim życiu, w tym dla twojej starszej mamy.
Ustaw i zrozum przerwy, które tworzysz
Ponieważ bezpieczeństwo było przez długi czas traktowane priorytetowo w stosunku do UX, często było dodawane bez odpowiedniego obliczenia wpływu środków bezpieczeństwa na UX. Nie możesz naprawić tego, czego nie możesz zmierzyć, zobaczyć i doświadczyć.
Jako podstawę do budowania lepszego bezpieczeństwa użytkownika, przeprowadź badania UX z odpowiednimi osobowościami na temat wpływu każdego środka bezpieczeństwa i przepływu pracy wymuszonego przez kontrole bezpieczeństwa lub awarie. Kiedy już uzyskasz pełny obraz tego zbiorowego wpływu na użytkowników, możesz zacząć opracowywać strategię, w jaki sposób możesz zmniejszyć ten wpływ bez uszczerbku dla ogólnego bezpieczeństwa.
Zaprojektuj uwierzytelnianie i leżące u jego podstaw zabezpieczenia z myślą o najmniej technicznym użytkowniku
Ustaw minimalne wymagane umiejętności techniczne. Zapewnij mniej technicznej części odbiorców dostęp do podstawowych zabezpieczeń bez wypychania ich ze strefy komfortu.
Jeśli tworzysz aplikację bankową, MFA z aplikacją uwierzytelniającą lub tokenem karty inteligentnej jest bezpieczniejsze, ale jeśli masz 70-letniego klienta, który kiedyś wysyłał SMS-y (jak moja matka) i pomyli się z tymi innymi metodami, pozwól im trzymać się prostego – ponieważ pewne zabezpieczenia są lepsze niż brak zabezpieczeń lub użytkownik, który nie będzie korzystał z Twojej aplikacji. ostrzeżenie? Twórz systemy zaplecza, które mogą nadal sprawdzać użytkowników, którzy przeszli przez niski poziom bezpieczeństwa. Monitorując zachowanie i inne znaki ostrzegawcze, możesz zachować proste logowanie przy jednoczesnym zachowaniu wyższego poziomu bezpieczeństwa.
Zaprojektuj tak wiele opcji bezpieczeństwa, jak to możliwe
Powinny istnieć różne limity bezpieczeństwa dla różnych osób. Niektórzy lubią używać Autentyk Google Aby uzyskać drugi czynnik uwierzytelniania. Inni mogą woleć korzystać z FaceID lub innego systemu biometrycznego lub otrzymać magiczny link wysłany na zweryfikowany e-mail. Niektóre banki ułatwiły korzystanie z uwierzytelniania głosowego.
Dawanie ludziom możliwości wyboru jest tym, co sprawia, że są szczęśliwi i zwiększa prawdopodobieństwo, że będą czuć się komfortowo przy użyciu jednej lub więcej metod. Doprowadzi to do lepszego korzystania z aplikacji, większego wykorzystania i szybszego rozwoju firmy.
Usuń lub ogranicz wszystko, co może dezorientować klientów
Każda funkcja bezpieczeństwa, która przekierowuje, przenosi, przenosi lub zmienia strony, powinna zostać prawdopodobnie usunięta. W idealnym przypadku zabezpieczenia powinny być samowystarczalne. Ułatwia to śledzenie i zmniejsza zamieszanie dla użytkowników. Przekierowania do stron resetowania hasła są dla mnie uciążliwe. Oznacza to, że użytkownik ma otwarte dwie karty dla Twojej aplikacji i może przez pomyłkę zamknąć niewłaściwą kartę lub może nawet spróbować zalogować się na bieżącej stronie. Tak, teoretycznie powinno działać, ale istnieje wiele sposobów, w jakie ten błąd może wystąpić. CAPTCHA często lepiej zniechęca użytkowników niż walka z botami.
Innym „bolesnym” środkiem bezpieczeństwa jest udostępnianie użytkownikom długich kluczy odzyskiwania konta i nakazywanie im ich zapisania lub wydrukowania. Wchodzenie w te długie strumienie jest wyzwaniem dla wielu użytkowników urządzeń mobilnych. Wymaganie od kogokolwiek zapamiętywania lub zapisywania skomplikowanych i długich kluczy w innym miejscu stwarza prawdziwy problem — nawet w przypadku infrastruktury o znaczeniu krytycznym. Magiczne linki e-mail są lepsze niż resetowanie hasła za pośrednictwem poczty e-mail, podobnie jak logowanie Google OneClick.
Przenoszenie bezpieczeństwa z widzialnego do niewidzialnego
Atakujący będą atakować każdy widoczny środek bezpieczeństwa. Znacznie lepszą opcją budowania bezpieczeństwa w czasie jest tworzenie akcji, które są niewidoczne dla użytkowników i nie wpływają na ich przepływ pracy. Jedynym przypadkiem, w którym należy podjąć dodatkowe środki bezpieczeństwa, po zalogowaniu i uwierzytelnieniu, jest nienormalne zachowanie lub gdy użytkownik żąda wykonania działania o dużej wartości.
Na przykład wymaganie od użytkowników wprowadzenia kodu przesłanego im e-mailem lub na telefon przed umożliwieniem im dokonania zakupu powyżej określonej kwoty to przemyślany sposób na odprawę przy minimalnych zakłóceniach. Żeby było jasne: każda przerwa wpłynie na użytkowników, ale czasami konieczne jest znalezienie właściwej równowagi między użytecznością („łatwością użytkowania”) a potrzebą silniejszego uwierzytelniania.
UX Lepsze bezpieczeństwo = lepsze bezpieczeństwo
Najlepsze zabezpieczenie jest łatwe w użyciu. Bezpieczeństwo, które jest trudne w użyciu, generuje niebezpieczne zachowania, które stwarzają znacznie większe ryzyko. Z jakiegoś powodu większość branży bezpieczeństwa informacji zapomniała o tym podstawowym fakcie.
Klucze dostępu i szeroko stosowana technologia bezhasłowa to wielki krok we właściwym kierunku. Każdy, kto jest przyzwyczajony do niemal magicznych skanerów twarzy i linii papilarnych Apple – które działają praktycznie bezbłędnie – miałby problem z zaakceptowaniem mniej eleganckich rozwiązań.
Imperatyw prostoty zabezpieczeń nigdy nie był większy. Mamy do czynienia z coraz większą liczbą aplikacji, haseł, tokenów, kont i wszystkiego innego. Czas wrócić do podstaw user experience, aby wzmocnić nasze bezpieczeństwo. To nie tylko sprawi, że nasi użytkownicy będą szczęśliwsi, ale także zwiększy nasze zyski.
„Lekarz gier. Fanatyk zombie. Studio muzyczne. Kawiarni ninja. Miłośnik telewizji. Miły fanatyk alkoholik.