Yeni bir kullanıcı bir SaaS uygulamasına kaydoluyor. Bir yandan UX ekipleri, kullanıcının uygulamaya mümkün olduğunca çabuk girmesini istiyor. Öte yandan güvenlik ekipleri, kullanıcının hassas bilgileri girmeden önce kimliğini güçlü bir şekilde doğrulamasını ve ayarları doğru şekilde yapılandırmasını istiyor. Tel çerçeve inceleme sürecinde iki dünya çarpışıyor. Ama bu şekilde olmak zorunda değil.
Bu, her uygulama için verilen klasik bir savaştır: UX tasarımcıları güvenlik önlemlerinden nefret eder çünkü bu önlemlerin karmaşıklığa yol açtığını ve kullanıcıların istediklerini elde etmesini zorlaştırdığını düşünürler. Güvenlik ekipleri, daha iyi güvenlik pahasına, kolaylaştırılmış iş akışları ve tanıdık süreçler için tasarım yapan UX ekipleri gibi hissediyorlar.
Pek çok SaaS şirketinin bu ikisi arasında bir denge bulması gerektiğini düşünmesi şaşırtıcı değil. Ama onlar yapmıyor. Güvenlik ve UX arasındaki seçim tamamen yanlış bir seçimdir: Güvenlik ve UX tamamlayıcıdır ve kendi kendini güçlendirir. İşte bunu yapmanın üç temel yolu.
Biyometride varsayılan kimlik doğrulama
Biyometrinin iPhone’larda çok popüler olmasının bir nedeni var. Kullanımı kolaydır; 2FA kimlik doğrulama uygulamasından ve hatta sihirli bir bağlantıdan çok daha kolaydır. Kullanımı SMS kodlarından bile daha kolaydır.
Neyse ki biyometri son derece güvenlidir ve hacklenmesi SMS ve hatta 2FA’dan çok daha zordur. Bu nedenle biyometriyi uygulamanız için varsayılan seçenek yapın. Kullanıcıların geri dönüş seçeneklerini seçmesine izin verin (gerekirse SMS bile), ancak UX tasarımınızda varsayılan olarak en iyi güvenlik ve kullanılabilirlik kombinasyonunu kullanın. Şu anda bu biyometri.
Geçiş anahtarları güçlü bir şekilde geliyor ancak prime time için hala hazır değil ve uygulamalar ve işletim sistemleri arasında UX sunumunda hala çok tutarsız, bu da talihsiz bir kafa karışıklığına neden oluyor. Bu nedenle, kimlik doğrulama için geçiş anahtarları fikrini sevsek ve bunları teşvik etsek de, deneyimlerimize göre, güvenlik avantajlarından uygun şekilde yararlanabilmek için UX’in iyileştirilmesi gerekiyor. Bu nedenle parmak izleri ve yüzler şimdilik en iyi seçenekler.
Bot filtrelemeyi tamamen görünmez hale getirin
Artık kötü aktörlere yönelik bir hizmet olarak bulmacaları çözecek çok ucuz CAPTCHA çiftlikleri mevcut olduğundan, görsel CAPTCHA öldü. Araştırmacılar aynı zamanda yüksek lisans eğitimlerinin en yaygın CAPTCHA’ları çözebildiğini de gösterdi.
Kullanıcılar görsel CAPTCHA’lardan uzun süredir nefret ediyor çünkü dikkatli insanlar için bile çözülmesi zor olabiliyor (“Bu dalgalı çizgi 5 rakamı mı yoksa S harfi mi? 4 numaralı kutudaki bir otobüs mü yoksa kamyon mu?”). Kullanıcılardan matematik problemlerini çözmelerini veya oklarla eşleşmesi için maymunu saat yönünde eğmelerini isteyen daha yeni sürümler daha iyidir, ancak yine de rahatsız edici ve iğrençtir. Ancak bu korkunç görsel CAPTCHA’lar, UX çöp kutusu yangınına eşdeğer olmasına rağmen birçok güvenlik ekibi tarafından tercih edilmeye devam ediyor.
Görsel CAPTCHA’yı bırakın ve Google’ın reCAPTCHA3 gibi görünmez sürümünü tercih edin. Bu görünmez sistemler de aynı derecede güvenlidir ve kullanıcının herhangi bir şey yapmasını gerektirmez. Aslında bunlar muhtemelen daha güvenlidir çünkü CAPTCHA’yı çözemeyen bir kullanıcı, engeli aşmak için güvensiz davranışlarda bulunabilir veya ayrılıp kişisel bir e-posta yoluyla bir SaaS aracına erişmeye çalışabilir (başka bir deyişle, aynı aracı kullanıyor ancak artık gölge BT oluyor). Buradaki temel prensip aynıdır: Riski analiz edebilen, güvenliği artırabilen, şeffaf, iş akışlarını ve kullanıcı etkileşimlerini kesintiye uğratmayan sistemler kullanmak.
Yalnızca gerektiğinde güvenlik artırımları
Güvenlik yükseltmesi yalnızca aşağıdakiler gibi daha yüksek risk senaryoları için kullanılmalıdır: anormal davranış veya ürün satın alma, şifreleri veya hesap bilgilerini değiştirme veya mali ayrıntıları bir forma girme gibi hassas eylemler.
Ortalama bir B2B SaaS uygulamasının kullanıcısı aylar boyunca herhangi bir güvenlik yükseltmesiyle karşılaşmamalıdır. Anlamlı olduklarını anlayın ve anlamsız olanlardan kurtulun. Daha az adım daha güvenlidir çünkü kullanıcılar duruma karşı duyarsızlaşmayacaktır. Buna karşılık, seyrek kullanılan adımlar, daha riskli bir ortamın veya daha fazla dikkat gerektiren bir eylemin göstergesi olarak algılanacaktır.
Bir adım atmayı gerektirmeyecek kadar güçlü bilgiye sahip olduğunuzda da akıllı olun. Örneğin, bir kullanıcı bir güvenlik belirteci gibi güçlü 2FA ile oturum açarsa ve hemen hassas bir sürece girerse, oturumun kısa olması ve kimlik doğrulamanın yeni olması nedeniyle bir yükseltme garanti edilmeyebilir.
Bir adımı nasıl attığınız da çok önemlidir. Öncelikle kullanıcıya neden ek bilgi istediğinizi söyleyin. İkinci olarak, adım adım ilerlemede ne olacağını tam olarak açıklayarak ve kırıntı gibi görsel ipuçları sağlayarak süreci takip etmelerini kolaylaştırın. Üçüncüsü, kullanıcıların işini kolaylaştırmak için SMS, 2FA kimlik doğrulayıcı, sihirli bağlantı veya biyometrik gibi farklı seçenekler sunun. Son olarak, onlara bir sonraki sefere hazır olabilmeleri için bu yükseltmenin neden gerçekleştiğini güçlendiren net bir başarı mesajı verin (beklentileri yönetmek neredeyse net bir kullanıcı deneyimi kadar önemlidir).
“Güvenlik ve UX” tartışmasının senaryosunu tersine çevirelim
Ya ya da ikisi algısı zehirlidir: UX ve güvenlik ekipleri arkadaş olabilir ve kullanılabilirliği ve güvenliği artırmak için birlikte çalışabilir. Çoğunlukla bu, iyi bilinen kullanıcı tercihleri ve davranışlarıyla yakından eşleşen temel ilkeleri ve buluşsal yöntemleri takip etmek anlamına gelir.
Akıllı SaaS uygulama ürün ve güvenlik ekipleri bunu zaten fark ediyor ve bu yönde ilerliyor çünkü kullanıcılar ve kuruluşlar ayakları ve cüzdanlarıyla oy kullanacak.