Annem 67 yaşında. Zeki bir kadın, eğitimli ve teknolojiden hiç korkmuyor. Yine de, Google Authenticator’ı yüklemesini ve uygulamalara giriş yapmak için çok faktörlü kimlik doğrulamayı (MFA) kullanmasını sağlamaya çalıştığımda, kendini mücadele ederken buldu. QR kodunu taramaktan ilk kodu girmeye ve ardından yeni uygulamalar eklemeye kadar, düşünmek için çok fazla şey vardı. “Aviad, onlara cep telefonu numaramı vermeyi tercih ederim ve onlar da bana kodu gönderir. Bunun derdi ne?”
Uzun süredir güvenlik araştırmacısı ve geliştiricisi olarak, ikinci bir faktör olarak SMS ile ilgili neyin yanlış olduğunu tam olarak biliyorum. Ona daha önce çalıştığım bir siber güvenlik yazılım şirketinde her zaman cep telefonlarını hacklediğimizi ve SMS kodlarını ele geçirdiğimizi anlattım. Hala ona baktığımı ve “Bu hiç güvenli değil anne!” dediğimi hatırlıyorum.
Ama, fark ettim ki, onu kullanılamaz hale gelen bir şeyi kullanmaya zorlamaktan daha güvenli olabilir. Tabii ki, bu, şifre güvenliği hakkında kullanıcılarla her zaman yaptığımız konuşmanın aynısıdır. Birçok uygulama, sayıları, sembolleri, büyük ve küçük harfleri zorunlu kılarak ve sürekli dönüşleri zorlayarak kullanıcıları hatırlama olasılıklarının düşük olduğu parolalar oluşturmaya zorlamaya çalışır. Hükümet (bir örnek vermek gerekirse) hepimizi her ay isimlerimizi değiştirmeye zorlasaydı, bunu da hatırlamakta zorlanırdık.
Sonuç olarak, bugün bile kullanıcılar parolalarını kağıt parçalarına yazıp masalarının yanında taşıyor veya bantlıyorlar. Hayatı kolaylaştırması gereken parola yöneticileri bile kötü kullanıcı deneyimleri yaratarak işleri karmaşıklaştırıyor.
Mühendisler ve teknoloji uzmanları genellikle güvensiz kullanıcı davranışını cehalet, tembellik ve diğer insani başarısızlıklardan sorumlu tutar. Gerçek şu ki, kullanıcı güvenliğinin kullanıcı deneyimi (UX) berbat ve daha iyiye gitmiyor. Apple gibi tüketici sistemlerindeki biyometrik sistemler için bile, gerçek bir sebep olmadan işlemi tekrarlayarak, yüzünüzü telefonunuza ve parmak izinizi bilgisayarınıza kaydetmeniz gerekir.
Güvenlik için kullanıcı deneyiminin yaptığımız her şey kadar önemli ve kolay olması gerektiğini düşünüyoruz. Yaşlı anneniz de dahil olmak üzere hayatınızdaki herkese uygun güvenliği nasıl uygulayabileceğiniz aşağıda açıklanmıştır.
Yarattığınız kesintileri haritalayın ve anlayın
Uzun süredir güvenlik UX’e göre önceliklendirildiğinden, genellikle güvenlik önlemlerinin UX üzerindeki etkisi doğru bir şekilde hesaba katılmadan eklenmiştir. Ölçemediğin, göremediğin ve deneyimleyemediğin şeyi düzeltemezsin.
Daha iyi güvenlik UX oluşturmak için bir temel olarak, güvenlik doğrulamaları veya kesintileri tarafından zorunlu kılınan her bir güvenlik önleminin ve iş akışının etkisi için uygun kişilerle UX çalışmaları yapın. Kullanıcılarınız üzerindeki bu toplu etkinin tam bir resmine sahip olduğunuzda, genel güvenliğinize zarar vermeden etkiyi nasıl en aza indireceğiniz konusunda strateji oluşturmaya başlayabilirsiniz.
En az teknik kullanıcıları göz önünde bulundurarak kimlik doğrulama ve temel güvenlik tasarlayın
Gerekli teknik zeka açısından çıtayı düşük tutun. Kitlenizin en az teknolojiye sahip bölümünün, onları konfor alanlarının dışına zorlamadan temel düzey güvenliğe erişmesini sağlayın.
Bir bankacılık uygulaması geliştiriyorsanız, kimlik doğrulama uygulaması veya akıllı kart belirteci ile MFA daha güvenlidir, ancak 70 yaşında SMS’e alışkın (annem gibi) ve bu diğer yöntemlerle kafası karışacak bir müşteriniz varsa, basit olana bağlı kalmalarına izin verin – çünkü biraz güvenlik, hiç güvenlik olmamasından veya bir kullanıcının uygulamanızı kullanmayacak olmasından daha iyidir. uyarı? Alt düzey güvenlikten geçen bu kullanıcıları kontrol etmeye devam edebilecek arka plan sistemleri oluşturun. Davranışı ve diğer uyarıcı işaretleri izleyerek oturum açmayı basit tutabilir, ancak yine de daha yüksek bir güvenlik düzeyi sağlayabilirsiniz.
Mümkün olduğu kadar çok güvenlik seçeneği için tasarlayın
Farklı kişiler için farklı güvenlik vuruşları olmalıdır. Bazı insanlar, ikinci kimlik doğrulama faktörünü almak için Google Authenticator kullanmayı sever. Diğerleri, FaceID veya başka bir biyometrik sistem kullanmayı veya doğrulanmış bir e-postaya gönderilen sihirli bir bağlantı almayı tercih edebilir. Bazı bankalar, kullanımı kolay ses tabanlı kimlik doğrulamayı uygulamaya koydu.
İnsanlara seçenekler sunmak, onları mutlu eden şeydir ve bir veya daha fazla yöntemi kullanmakta rahat olma ihtimallerini artırır. Bu, daha iyi bir uygulama deneyimine, daha fazla kullanıma ve daha hızlı iş büyümesine yol açacaktır.
Müşterilerin kafasını karıştırabilecek her şeyi kaldırın veya en aza indirin
Sayfaları yeniden yönlendiren, taşıyan, kaydıran veya değiştiren herhangi bir güvenlik özelliği muhtemelen kaldırılmalıdır. İdeal olarak, güvenlik bağımsız olmalıdır. Bu, takip etmeyi kolaylaştırır ve kullanıcılar için daha az kafa karıştırıcı hale getirir. Parola sıfırlama sayfalarına yönlendirmeler benim için evcil hayvanımdır. Bu, bir kullanıcının uygulamanızda açık iki sekmesi olduğu ve yanlışlıkla yanlış olanı kapatabileceği veya hatta mevcut sayfada oturum açmaya çalışabileceği anlamına gelir. Evet, teoride işe yaramalı ama bunun ters gitmesinin birçok yolu var. CAPTCHA, kullanıcıların cesaretini kırmak için genellikle botlarla savaşmaktan daha iyi bir iş çıkarır.
Başka bir “zorlu” güvenlik önlemi, kullanıcılara uzun hesap kurtarma anahtarları sağlamak ve bunları kaydetmelerini veya yazdırmalarını istemektir. Bu uzun akışları girmek, mobil cihazlarda birçok kullanıcı için zorlu bir iştir. Ve herhangi birinden karmaşık ve uzun anahtarları hatırlamasını veya başka bir yere kaydetmesini istemek, görev açısından kritik altyapı için bile gerçek bir belaya davetiye çıkarır. E-posta sihirli bağlantıları, Google’ın OneClick girişi gibi, e-postayla gönderilen şifre sıfırlamalarından daha iyidir.
Güvenliği görünürden görünmeze taşıyın
Saldırganlar görünür herhangi bir güvenlik önlemini hedef alacaktır. Zaman içinde güvenlik oluşturmak için çok daha iyi bir seçenek, kullanıcılar tarafından görülemeyen ve onların iş akışlarını etkilemeyen önlemler almaktır. Oturum açma ve kimlik doğrulama işleminden sonra ek güvenlik önlemleri almanız gereken tek zaman, anormal bir davranış olduğu veya bir kullanıcının yüksek değerli bir eylem gerçekleştirmesini istediği zamandır.
Örneğin, kullanıcılardan belirli bir miktarın üzerinde bir satın alma işlemi yapmalarına izin vermeden önce kendilerine e-postayla gönderilen veya telefonlarına gönderilen bir kodu girmelerini istemek, minimum kesinti ile doğrulama yapmanın akıllıca bir yoludur. Açık olmak gerekirse: herhangi bir kesinti kullanıcıları etkileyecektir, ancak bazen kullanılabilirlik (“kullanıcı dostu olma”) ile daha güçlü kimlik doğrulama ihtiyacı arasında doğru dengeyi kurmak gerekir.
Daha iyi güvenlik UX = daha iyi güvenlik
En iyi güvenlik, kullanımı kolay olandır. Kullanımı çok zor olan güvenlik, çok daha fazla risk oluşturan güvensiz davranışlar üretir. Nedense bilgi güvenliği endüstrisinin çoğu bu temel gerçeği unutmuş durumda.
Giderek yaygınlaşan geçiş anahtarları ve parolasız teknoloji, doğru yönde atılmış büyük bir adımdır. Apple’ın neredeyse kusursuz bir şekilde çalışan neredeyse büyülü FaceID ve parmak izi tarayıcılarına alışmış olan herkes, daha az zarif çözümleri kabul etmekte zorlanır.
Güvenlik basitliği için zorunluluk hiç bu kadar büyük olmamıştı. Gittikçe daha fazla uygulama, şifre, jeton, hesap ve diğer her şeyle uğraşıyoruz. Güvenliğimizi artırmak için UX temellerine geri dönme zamanı. Bu sadece kullanıcıları daha mutlu etmekle kalmayacak, aynı zamanda kârlılığımızı da artıracaktır.