Noodzakelijke wrijving: de theatrale aspecten van UX-beveiliging

UX-ontwerpers streven er over het algemeen naar om producten gebruiksvriendelijker te maken, maar er zijn omstandigheden waarin het toevoegen van wrijving verbetert de productbeveiliging. Twee-factor-authenticatie maakt inloggen bijvoorbeeld langzamer, maar kan identiteitsdiefstal verminderen. Er zijn ook gelegenheden waarbij het implementeren van wrijving gebruikers eenvoudig maakt voelen veilig: geanimeerde voortgangsbalken beschermen persoonlijke gegevens niet, maar kunnen voldoen aan de verwachtingen van een gebruiker over de hogere mate van verwerkingskracht die vereist is in een beveiligde omgeving.

Als Product Design Manager voor Freja, een bedrijf voor digitale beveiliging dat een contract heeft met de Zweedse overheid, zoek ik regelmatig naar manieren om bruikbaarheid te harmoniseren met gebruikersveiligheid. Soms betekent dat het opnemen van functies die gebruikers als veilig ervaren. De meeste digitale producten kunnen bijvoorbeeld onmiddellijk complexe gegevens berekenen, maar Onderzoek laat zien dat kunstmatige laadtijden gebruikers het gevoel geven dat een geavanceerd systeem hard aan het werk is voor hen. Aan de andere kant, als ontwerpers te afhankelijk zijn van functies die alleen de beveiliging lijken te versterken (bekend als beveiligingstheater), kunnen ze gebruikers doen geloven dat hun informatie veiliger is dan het is.

Functies die de UX-beveiliging verbeteren

Identiteitsverificatie is een cruciaal aspect van UX-beveiliging. Helaas zijn gebruikersnamen en wachtwoorden geen betrouwbare authenticatiemaatregelen: in 2021 85% van de phishing-aanvallen gerichte gebruikersreferenties. Om dit tegen te gaan, ontwerpers implementeren beveiligingsfuncties die de tijd die gebruikers nodig hebben om een ​​account aan te maken en in te loggen, verlengen. Multifactor-authenticatie (MFA) vereist bijvoorbeeld meerdere vormen van identificatie bij het maken of inloggen van een account. De meeste producten die gebruikmaken van MFA, vereisen dat gebruikers twee van de drie inloggegevens opgeven:

  • Een identiteitsbewijs, zoals een paspoort of rijbewijs, of een betaalmethode, zoals een creditcard
  • Unieke informatie, zoals een wachtwoord of pincode
  • Biometrische gegevens, zoals een gezicht, vingerafdruk of netvliesscan

Een manier om MFA te stroomlijnen en gebruikers veilig te houden, is door een document-selfie te eisen waarin een gebruiker een foto of video maakt terwijl hij een officieel identiteitsbewijs naast zijn gezicht houdt. Zodra de selfie is geüpload, laten bedrijven een medewerker het gezicht en de ID van de gebruiker onderzoeken op een overeenkomst of gebruiken ze computeralgoritmen om de authenticiteit te bepalen.

Gezichtsherkenning wordt snel een populaire beveiligingsfunctie bij inloggen en daarna. Sommige bank-apps gebruiken bijvoorbeeld gezichtsherkenning om de identiteit van een gebruiker te verifiëren wanneer deze toegang wil krijgen tot accountgegevens, e-documenten wil ondertekenen of geld wil overboeken. En hoewel veel mensen alleen gezichtsherkenning gebruiken om hun smartphones snel te ontgrendelen, raad ik aan om de technologie te implementeren als onderdeel van een MFA-strategie voor een betere beveiliging.

Een afbeelding toont het inlogscherm van een app op een smartphone.  De tekst luidt:
Beveiligingsmaatregelen die gebruikmaken van biometrische gegevens, zoals gezichtsherkenning, beschermen de identiteit, informatie en geld van gebruikers beter tegen diefstal.

Een gemakkelijke manier om de identiteit van een gebruiker te verifiëren, is door deze automatisch uit te loggen met vooraf bepaalde tussenpozen, variërend van een half uur tot een paar dagen. Hoewel sommigen deze methode misschien vervelend vinden, kan het gebruikers beschermen die een laptop onbeheerd achterlaten, een smartphone kwijtraken of vergeten uit te loggen op een openbare computer.

Er zullen ook momenten zijn waarop gebruikers moeten verifiëren dat ze de rechtmatige eigenaar zijn van digitale documenten, zoals tickets voor evenementen en recepten. Ik hielp Freja bij het ontwerpen van een product dat de digitale identiteit van een gebruiker (geverifieerd in onze app) veilig koppelde aan hun COVID-19-vaccinpaspoort. Dit maakte het paspoort veel moeilijker te vervalsen dan de papieren versie of de reeds bestaande digitale versie die in veel landen beschikbaar is. In Zweden en Denemarken zijn digitale vaccinpaspoorten bijvoorbeeld niet gekoppeld aan andere vormen van identificatie en zijn ze meestal toegankelijk via een QR-code.

Ondanks vorderingen op het gebied van digitale verificatie, vereisen sommige bedrijven, waaronder bepaalde banken, nog steeds dat gebruikers een fysieke plaats bezoeken om hun identiteit te bewijzen, vooral wanneer lening aanvragen. In dergelijke gevallen bekijken medewerkers zorgvuldig het uiterlijk van de gebruiker en zorgen ze ervoor dat deze overeenkomt met de foto’s op hun identificatiedocumenten. Sommigen beschouwen dit beveiligingstheater en beweren dat een medewerker deze taak zou kunnen voltooien zonder dat de gebruiker aanwezig is. Maar persoonlijke bezoeken kunnen een veiligheidsverbetering zijn, omdat ze beschermen tegen vervalsingen van foto’s en video’s, ook wel bekend als: deepfakes, die steeds moeilijker te onderscheiden zijn van authentieke beelden. Bovendien, een AARP Onderzoeksenquête ontdekte dat 83% van de volwassenen van 50 jaar en ouder er niet zeker van zijn dat hun online activiteiten en informatie privé zijn. Door deze gebruikers de mogelijkheid te bieden om hun documenten persoonlijk te laten beoordelen, kan een blijvend productvertrouwen en loyaliteit ontstaan.

Veel digitale producten slaan ook de adressen, contactgegevens, betaalmethoden en zelfs medische geschiedenis van gebruikers op. Gezien de inzet, zou je kunnen denken dat het implementeren van meer beveiligingsmaatregelen zal leiden tot een veiliger product, maar dat kan gemakkelijk een frustrerende gebruikerservaring opleveren. Context is cruciaal. Als u bijvoorbeeld een app voor cryptohandel aan het ontwerpen was, zou u gebruikers kunnen toestaan ​​tokenprijzen en trends te bekijken zonder in te loggen, aangezien die informatie gemakkelijk te vinden is op Google. Maar wanneer gebruikers besluiten tokens te kopen of te verkopen, moet u zich aanmelden met MFA. Verschillende acties vereisen verschillende niveaus van beveiliging.

Beveiligingstheater dat gebruikers een veilig gevoel geeft

In sommige gevallen vertrouwen ontwerpers op beveiligingstheater om wrijving toe te voegen en gebruikers meer gemoedsrust te geven. Deze praktijk kan nuttig zijn – soms zelfs noodzakelijk – zolang het geen vervanging is voor UX-functies die gebruikers echt beschermen.

Sommige bedrijven voegen onnodige tijd toe aan procedures om hen een veilig gevoel te geven. TurboTax vertraagt ​​de verwerking van persoonlijke en financiële informatie wanneer een gebruiker zijn belastingaangifte doet. Geanimeerde voortgangsbalken in combinatie met tekst op het scherm verzekeren gebruikers dat het programma elk detail in de gaten houdt om ervoor te zorgen dat alle mogelijke belastingvoordelen worden toegepast. Maar TurboTax heeft die gegevens al bij elke stap geverifieerd.

Onderzoekers die de broncode van de TurboTax-website bestudeerden, ontdekten dat de voortgangsindicatoren vooraf zijn ingesteld. Zodra de animaties beginnen te spelen, stoppen ze met communiceren met de servers van de site. Bovendien zijn de voortgangsindicatoren voor alle gebruikers hetzelfde en gaan ze altijd even lang mee. De vertraging, afbeeldingen en berichten zijn theatrale methoden die bedoeld zijn om het vertrouwen van gebruikers te vergroten dat ze de grootst mogelijke belastingaangifte krijgen – wat acceptabel is omdat TurboTax ook gegevenscodering en multifactor-authenticatie gebruikt.

Andere bedrijven voegen soortgelijke vertragingen toe aan een reeks interacties. Wells Fargo vertraagde de retinale scanners op zijn app omdat gebruikers niet zeker wisten of ze aan het werk waren toen ze op volle snelheid renden. Facebook’s accountbeveiligingscontroles duren eigenlijk milliseconden om te verwerken, maar ze dwingen gebruikers om tot 10 seconden te wachten. Door kredietverstrekkers ondersteunde hypotheek-apps, waaronder een die is ontworpen door Google Ventures, vertraagden hun goedkeuringsprocessen voor leningen en voegden valse voortgangsbalken toe voor kredietcontroles omdat gebruikers de onmiddellijke goedkeuring niet vertrouwden.

Met de Freja eID-app vereisen we dat gebruikers hun telefoon gedurende drie seconden bij hun chip-enabled paspoort houden om de informatie te uploaden via Near Field Communication (NFC). In feite duurt het uploaden minder dan een seconde, maar door gebruikers te vragen hun telefoons langer stil te houden, krijgen ze het gevoel dat het proces veilig is. We introduceerden ook wrijving in de document-selfie: een statische foto was alles wat we nodig hadden, maar gebruikers waren er niet van overtuigd dat dit veilig was, dus voegden we de stap toe om ze hun hoofd naar links en rechts te laten draaien.

Al deze bedrijven, waaronder Freja, hebben ontdekt dat beveiligingstheater – ondersteund door daadwerkelijke beveiliging – het vertrouwen van gebruikers heeft vergroot. Terwijl u aan UX-beveiligingsprojecten voor uw klanten werkt, moet u er rekening mee houden dat de mentale modellen van veel gebruikers het snelle tempo van moderne technologie nog niet hebben ingehaald. Door dingen te vertragen, kunnen gebruikers er zeker van zijn dat een product veilig is.

Een afbeelding toont een screenshot van de valse voortgangsbalk van TuboTax, die luidt: "Dubbele controle voor elk mogelijk belastingvoordeel... We zorgen ervoor dat u elke dollar krijgt die u verdient door ervoor te zorgen dat we niets missen." Statusbalken voor inhoudingen, kredieten en analyse worden weergegeven.  De afbeelding bevat ook een pictogram van een hand die geld ontvangt.
Een geïllustreerde weergave van de valse voortgangsbalk en het statusbericht van TurboTax, die identiek is voor alle gebruikers en altijd voor dezelfde tijdsduur verschijnt. De tijdvertraging, afbeelding en tekst zijn voorbeelden van beveiligingstheater, dat het vertrouwen van gebruikers in de veiligheid van een product kan vergroten.

UX en wrijving: een symbiotische relatie

UX-beveiliging is een spectrum en gebruikers hebben specifieke verwachtingen van hoe beveiliging eruit moet zien: het verzenden van een bericht op sociale media moet snel en eenvoudig zijn. Het overschrijven van $ 10.000 naar de bankrekening van iemand anders mag niet.

Bij interactieontwerp stromen krijgt vaak prioriteit met de bedoeling gebruikers te helpen hun doelen zo snel mogelijk te bereiken, maar vergeet niet het belang van doordachte wrijving die het vertrouwen vergroot en de waardevolle informatie van gebruikers beschermt.

Verder lezen op de Toptal-blog:

creatSource link

Kloudy102.nl
Logo
Vergelijk items
  • Totaal (0)
Vergelijken
0
Shopping cart