Safe by Design: UX 보안 개요

게시 됨: 2022-03-11

취침 시간이지만 먼저 몇 가지 일상적인 작업을 수행합니다.

  • 잠옷을 입으십시오.
  • 양치질.
  • 창문을 엽니다.
  • 문을 잠금 해제합니다.
  • 주방 카운터의 편리한 더미에 지갑, 개인 문서 및 은행 정보를 넣으십시오.

좋은 꿈 꿔.

그 시나리오가 불안하다면 동일한 민감한 정보가 디지털 장치에 입력되는 빈도를 고려하십시오. 적절한 보안 프로토콜이 없으면 자산과 신원이 쉽게 먹힙니다. 설상가상으로 디지털 인터페이스 설계자로서 보안을 무시하면 사용자가 재정적, 직업적, 관계적, 감정적으로 위험에 처하게 됩니다.

보안은 트렌드나 홍보 전략이 아니라 사용자 경험과 인터페이스 디자인의 중요한 측면입니다.

UX 보안
디지털 제품이 제대로 보호되지 않으면 잘못된 문자가 모두 사용자 정보에 액세스할 수 있습니다. (아론 버든)

이상적인 인터페이스는 작동이 간편하고 사용자의 개인 정보를 훔치려는 시도로부터 보호됩니다. 이러한 디자인을 제공하는 것은 일반적으로 사용성과 보안 사이의 절충안으로 구성됩니다.

  • 인터페이스가 사용하기 쉬우면 덜 안전합니다.
  • 안전하면 사용하기가 더 어렵습니다.

이 절충안은 신화입니다. 우리는 어느 쪽의 품질도 손상시키지 않으면서 간단 하고 안전한 인터페이스를 설계할 수 있습니다. 여기에서 UX 디자이너는 기술 요구 사항과 사용자 요구 사항이 모두 충족되도록 하여 중요한 역할을 합니다.

여러 면에서 UX 디자이너는 통역사입니다. 기술 요구 사항을 해독하고 사용자가 이해할 수 있도록 합니다. 그들은 또한 언제 단순성에 중점을 둘지 또는 언제 정교한 보안 조치를 포함할지 결정함으로써 상황 인식을 행사합니다. 균형이 중요하지만 설계 초기 단계부터 모든 이해 관계자를 포함해야만 균형을 이룰 수 있습니다.

이해 관계자를 UX 보안에 조기에 참여시키십시오.

안전하고 성공적인 디지털 제품을 설계하려면 여러 당사자와 협의해야 합니다. 예를 들어, 설계 팀은 제품이 의료 산업에 대한 HIPAA 및 은행 및 금융 서비스에 대한 PCI DSS와 같은 관련 규정을 준수하는지 확인해야 합니다. 또한 디자인 팀에서 구현한 보안 기능은 디지털 제품 뒤에 있는 기술 팀에서 설정한 표준을 충족해야 합니다.

보안을 위한 디자인
디자이너는 작업하는 디지털 제품에 적용되는 다양한 보안 규정을 알고 있어야 합니다.

보안과 관련하여 사용자 입력이 무시되는 것은 드문 일이 아닙니다. 그러나 사용자의 보안 요구를 진정으로 충족시키려면 디자이너가 사용자의 동기, 행동 및 기대치를 파악해야 합니다. 종종 사용자는 디지털 보안에 대해 거의 알지 못하므로 설계자는 사용자가 다양한 화면과 기능을 탐색할 때 직면하게 될 위험 수준을 예측하는 방법을 배워야 합니다. 설계 프로세스 내에서 위험을 조기에 식별할 수 있을수록 좋습니다.

이해 관계자를 무시하거나 설계 프로세스 후반에 그들의 의견을 통합하면 위험이 두 배가 됩니다. 그렇지 않으면 예방할 수 있었던 제품의 보안 허점을 열거나 거의 사용할 수 없을 정도로 안전한 제품으로 이어질 수 있습니다.

제품 보안을 위한 설계 방법

암호화

암호화는 민감한 정보를 무작위로 보이는 코드로 변환하는 방법입니다. 통신 기능이 있는 디지털 제품에서 중요한 설계 고려 사항입니다. 통화, 문자, 비디오, 이미지 및 문서가 자주 교환되는 앱(WhatsApp 생각)에서 종단 간 암호화는 대화에 관련된 사용자만 교환되는 데이터를 볼 수 있도록 합니다.

즉, 앱 뒤에 있는 회사, 데이터 범죄자, 심지어 정부도 그 누구도 메시지 내용을 볼 수 없습니다. 사용자가 자신의 정보가 이러한 수단으로 보호된다는 사실을 알게 되면 신뢰를 확대하려는 의지가 훨씬 높아집니다.

입증

계정 소유자만 로그인할 수 있고 모든 침입자가 잠겨 있는지 확인하는 것이 중요합니다. 인증은 무단 액세스로부터 디지털 제품을 보호하는 가장 효과적인 방법입니다. 사용자 이름 및 암호 요구 사항과 같은 기능은 설계 프로세스 초기에 식별하고 테스트해야 합니다.

추가적인 보안을 위해 2단계 인증(2FA)을 추가할 수 있습니다. 2FA를 사용하면 사용자 이름과 비밀번호를 입력하면 로그인 코드가 휴대폰이나 이메일 주소로 전송됩니다.

보안 사용자 경험
액세스 코드를 받기 위해 Intuit의 2FA 프로세스를 통해 사용자는 여러 배송 옵션 중에서 선택할 수 있습니다.

데이터 프라이버시

궁극적으로 데이터 프라이버시는 디자이너와 비즈니스를 위한 윤리적 고려 사항입니다. 사용자가 디지털 제품에 대한 액세스의 대가로 개인 데이터를 거래할 때 제품을 감독하는 회사가 자신의 정보를 정직하게 처리할 것이라고 믿게 됩니다. 그들은 또한 디자이너와 개발자가 구현한 기능이 데이터 공격을 견딜 수 있다고 믿고 있습니다.

사용자 개인 정보 보호 및 데이터 개인 정보 보호 강화

반복할 가치가 있습니다. 디지털 제품은 사용자를 위해 만들어지는 것이지 그 반대가 아닙니다. 제품과의 사용자 상호 작용은 데이터가 누출되거나 도난당할 위험이 있어서는 안 됩니다. 슬프게도 항상 그런 것은 아닙니다.

대부분의 사이버 범죄는 사용자의 개인 데이터를 획득할 목적으로 수행되지만 UX 디자이너가 도움을 줄 수 있습니다. 어때요? 사용자가 더 강력한 암호를 선택하고 과도한 개인 정보를 온라인에 게시하지 않도록 권장하는 기능을 구현합니다.

예를 들어, 제품의 인증 인터페이스는 사용자에게 친숙한 메시지를 사용하여 더 강력한 암호를 갖는 것이 중요한 이유를 알릴 수 있습니다. 사용자에게 12자, 소문자, 대문자, 숫자, 기호로 비밀번호를 만들도록 강요하는 대신 "더 강력한 비밀번호가 필요합니다. 이것이 중요한 이유입니다.” 이러한 방식으로 사용자는 데이터 및 개인 정보 보호의 필요성을 더 잘 이해할 수 있습니다.

불필요한 보안 장애물 제거

제품 보안이 모든 이해 관계자를 통합하는 데 의존하는 경우 설계자는 시간을 내어 개발자 및 사이버 보안 전문가와 상의해야 합니다. 개발자는 일반적으로 디자인에 영향을 미치는 제약 조건이 있으며 디자이너가 구현한 UX 보안 기능의 효율성에 대한 통찰력을 제공할 수 있습니다. 사이버 보안 전문가는 디자이너에게 최신 보안 전략, 도구 및 규정 준수 규정에 대해 교육할 수 있습니다.

주의 사항: 보안 전문가와 상담하는 것은 좋지만 과도한 보안 조치는 디지털 제품을 번거롭게 만들고 사용자가 다른 곳을 찾도록 부추깁니다. "인터넷 연결이 안전하지 않습니다"와 같은 모호한 메시지는 사용자를 보호하기 위한 보안 기능을 우회하도록 합니다.

궁극적으로 합법적인 사용자가 작업을 수행할 수 없거나 지나치게 복잡한 디지털 보안으로 인해 계정이 잠긴 경우 비즈니스에 제대로 반영되지 않습니다.

보안 UX 디자인
디지털 보안 기능을 과도하게 사용하여 사용자를 좌절시킬 수 있습니다. (켈리 시키마)

사회 공학에 대한 보안

발생하는 모든 디지털 보안 공격 중에서 한 가지 방식이 다른 방식보다 훨씬 더 일반적입니다. 이는 전 세계 침해의 거의 90%를 차지하며 정교한 기술 능력보다 속임수의 기술에 더 의존합니다. 이 사악한 전술은 무엇입니까?

피싱.

고대 사기꾼과 마찬가지로 피싱(이메일에서 가장 자주 발생)은 사회 공학 전략에 크게 의존하여 사용자에게 겁을 주고 압력을 가하고 혼란스럽게 하여 민감한 정보와 힘들게 번 현금을 넘겨줍니다. 피싱 공격으로부터 보호하기 위해 디자이너는 사용자가 스팸을 보고하고 다른 사용자에게 경고를 게시할 수 있는 보안 포럼을 만들 수 있습니다. 또한 앱에 팝업이나 메시지를 사용하여 알려진 피싱 시도를 사용자에게 알릴 수 있습니다.

애플리케이션 보안 설계
피싱은 사람들이 민감한 정보를 공유하도록 속여서 서면 커뮤니케이션을 무기화합니다. (태스킨 아시크)

설계자에게도 디지털 보안이 필요합니다

보안에 대한 모든 노력에도 불구하고 간과된 취약점 하나가 디지털 제품의 무결성을 심각하게 손상시킬 수 있습니다. 그것은 기술과 거의 관련이 없으며 디자이너 자신입니다.

생성된 모든 제품에는 수백(심지어 수천)의 디자인 아티팩트가 생성됩니다. 수십 개의 통신 채널이 활용됩니다. 전략 문서에 대한 링크가 여러 당사자에게 전송됩니다. 그리고 분산된 팀은 클라우드 기반 설계 도구에 점점 더 의존하고 있습니다.

설계자가 작업과 통신을 보호하기 위해 예방 조치를 취하지 않으면 공격자가 조직의 약점에 침투할 방법을 찾을 수 있습니다. 이는 VPN을 설정하고, 사이버 보안 교육을 받고, 자산 관리 및 통신 지침을 제정하여 느슨한 끝을 방지하는 것을 의미할 수 있습니다.

보안을 위한 디자인

안전하고 사용 가능한 인터페이스는 우연히 발생하지 않습니다. 이는 시간을 내어 데이터 취약성 지점을 식별하고 이해 관계자를 크리에이티브 프로세스 초기에 참여시킨 디자이너의 결과입니다. 보안은 다른 중요한 기능과 다르지 않습니다. 최종 사용자의 요구 사항을 무시해서는 안 됩니다.

설계자가 보안의 가치를 전달하고 안전 기능이 효율적으로 작동하도록 하는 유용한 방법을 찾을 때 사용자는 디지털 제품을 감독하는 회사에 대한 신뢰와 지속적인 참여로 보답할 것입니다.

• • •

Toptal Design 블로그에 대한 추가 정보:

  • 더 높은 기준 – 설계 윤리 지침서
  • Age Before Beauty – 노인을 위한 인터페이스 디자인 가이드
  • 웹 양식의 끝
  • 전자 상거래 웹 사이트 디자인에 대한 궁극적인 가이드
  • 홈 스마트 IoT 홈: 사물 인터넷의 국내화