ปลอดภัยโดยการออกแบบ: ภาพรวมของการรักษาความปลอดภัย UX

เผยแพร่แล้ว: 2022-03-11

ถึงเวลาเข้านอนแล้ว แต่ก่อนอื่น สิ่งที่ต้องทำประจำสองสามอย่าง:

  • ใส่ชุดนอน.
  • แปรงฟัน.
  • เปิดหน้าต่าง
  • ปลดล็อคประตู
  • วางกระเป๋าเงิน เอกสารส่วนตัว และข้อมูลธนาคารไว้ในกองที่สะดวกบนเคาน์เตอร์ครัว

ฝันดี.

หากสถานการณ์นั้นไม่สงบ ให้พิจารณาว่าข้อมูลที่ละเอียดอ่อนแบบเดียวกันนั้นถูกป้อนลงในอุปกรณ์ดิจิทัลของเราบ่อยเพียงใด หากไม่มีโปรโตคอลความปลอดภัยที่เหมาะสม ทรัพย์สินและตัวตนของเราก็ตกเป็นเหยื่อได้ง่าย ที่แย่กว่านั้น ในฐานะนักออกแบบอินเทอร์เฟซดิจิทัล การละเลยความปลอดภัยทำให้ผู้ใช้ตกอยู่ในความเสี่ยง ทั้งในด้านการเงิน ด้านอาชีพ ด้านความสัมพันธ์ และด้านอารมณ์

การรักษาความปลอดภัยไม่ใช่เทรนด์หรือกลวิธีในการส่งเสริมการขาย แต่เป็นส่วนสำคัญของประสบการณ์ผู้ใช้และการออกแบบอินเทอร์เฟซ

ความปลอดภัยของ UX
เมื่อผลิตภัณฑ์ดิจิทัลไม่ได้รับการรักษาความปลอดภัยอย่างเหมาะสม อักขระที่ไม่ถูกต้องทั้งหมดจะสามารถเข้าถึงข้อมูลของผู้ใช้ได้ (แอรอน ภาระ)

อินเทอร์เฟซในอุดมคตินั้นใช้งานง่ายและได้รับการปกป้องจากการพยายามขโมยข้อมูลส่วนตัวของผู้ใช้ โดยทั่วไป การนำเสนอการออกแบบดังกล่าวจะมีกรอบเป็นการแลกเปลี่ยนระหว่างการใช้งานและความปลอดภัย:

  • หากอินเทอร์เฟซใช้งานง่าย แสดงว่ามีความปลอดภัยน้อยกว่า
  • ถ้าปลอดภัยก็ใช้งานยากกว่า

การแลกเปลี่ยนนี้เป็นตำนาน เราสามารถออกแบบอินเทอร์เฟซที่ เรียบง่าย และ ปลอดภัย โดยไม่กระทบต่อคุณภาพของทั้งสองอย่าง ที่นี่ นักออกแบบ UX มีบทบาทสำคัญโดยทำให้แน่ใจว่าจะตอบสนองความต้องการด้านเทคนิคและความต้องการของผู้ใช้

นักออกแบบ UX เป็นล่ามในหลาย ๆ ด้าน พวกเขาถอดรหัสข้อกำหนดทางเทคนิคและทำให้ผู้ใช้เข้าใจได้ พวกเขายังใช้การรับรู้สถานการณ์โดยตัดสินใจว่าเมื่อใดควรเน้นที่ความเรียบง่ายหรือเมื่อต้องใช้มาตรการรักษาความปลอดภัยที่ซับซ้อน ความสมดุลเป็นสิ่งสำคัญ แต่สามารถทำได้โดยการรวมผู้มีส่วนได้ส่วนเสียทั้งหมดจากขั้นตอนแรกของการออกแบบเท่านั้น

รับผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับความปลอดภัย UX ก่อน

มีหลายฝ่ายที่ต้องปรึกษากันเพื่อออกแบบผลิตภัณฑ์ดิจิทัลที่ปลอดภัยและประสบความสำเร็จ ตัวอย่างเช่น ทีมออกแบบต้องตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ของตนสอดคล้องกับระเบียบข้อบังคับที่เกี่ยวข้อง เช่น HIPAA สำหรับอุตสาหกรรมการดูแลสุขภาพ และ PCI DSS สำหรับบริการด้านการธนาคารและการเงิน นอกจากนี้ คุณลักษณะด้านความปลอดภัยที่ทีมออกแบบต้องปฏิบัติตามมาตรฐานที่กำหนดโดยทีมเทคนิคที่อยู่เบื้องหลังผลิตภัณฑ์ดิจิทัล

ออกแบบเพื่อความปลอดภัย
นักออกแบบควรตระหนักถึงกฎระเบียบด้านความปลอดภัยต่างๆ ที่ใช้กับผลิตภัณฑ์ดิจิทัลที่พวกเขาทำงาน

เมื่อพูดถึงเรื่องความปลอดภัย ไม่ใช่เรื่องแปลกที่ผู้ใช้จะถูกละเลย แต่เพื่อให้เป็นไปตามความต้องการด้านความปลอดภัยของผู้ใช้อย่างแท้จริง นักออกแบบต้องเข้าใจแรงจูงใจ พฤติกรรม และความคาดหวังของตน บ่อยครั้ง ผู้ใช้มีความรู้เพียงเล็กน้อยเกี่ยวกับความปลอดภัยทางดิจิทัล ดังนั้นนักออกแบบควรเรียนรู้ที่จะคาดการณ์ระดับความเสี่ยงที่ผู้ใช้ต้องเผชิญขณะนำทางผ่านหน้าจอและคุณสมบัติต่างๆ ความเสี่ยงก่อนหน้านี้สามารถระบุได้ในกระบวนการออกแบบ ยิ่งดี

การเพิกเฉยผู้มีส่วนได้ส่วนเสียหรือการรวมข้อมูลของพวกเขาในช่วงท้ายของกระบวนการออกแบบจะเพิ่มความเสี่ยงเป็นสองเท่า มันสามารถเปิดช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ที่สามารถป้องกันได้หรืออาจนำไปสู่ผลิตภัณฑ์ที่ปลอดภัยจนแทบจะใช้งานไม่ได้

วิธีการออกแบบเพื่อความปลอดภัยของผลิตภัณฑ์

การเข้ารหัส

การเข้ารหัสเป็นวิธีการแปลงข้อมูลที่ละเอียดอ่อนเป็นรหัสที่ดูเหมือนสุ่ม การพิจารณาการออกแบบที่สำคัญในผลิตภัณฑ์ดิจิทัลพร้อมคุณสมบัติการสื่อสาร ในแอปที่มีการแลกเปลี่ยนการโทร ข้อความ วิดีโอ รูปภาพ และเอกสารบ่อยครั้ง (เช่น WhatsApp) การเข้ารหัสแบบ end-to-end ช่วยให้มั่นใจได้ว่าเฉพาะผู้ใช้ที่เกี่ยวข้องในการสนทนาเท่านั้นที่สามารถเห็นการแลกเปลี่ยนข้อมูลได้

ซึ่งหมายความว่าไม่มีใคร ซึ่งไม่ใช่บริษัทที่อยู่เบื้องหลังแอป อาชญากรข้อมูล แม้แต่รัฐบาล ก็ไม่สามารถเห็นเนื้อหาของข้อความได้ เมื่อผู้ใช้ทราบว่าข้อมูลของตนได้รับการปกป้องโดยมาตรการดังกล่าว พวกเขาก็เต็มใจที่จะให้ความไว้วางใจมากขึ้น

การตรวจสอบสิทธิ์

จำเป็นต้องตรวจสอบว่ามีเพียงเจ้าของบัญชีเท่านั้นที่สามารถเข้าสู่ระบบได้ และผู้บุกรุกทั้งหมดจะถูกล็อค การรับรองความถูกต้องเป็นวิธีที่มีประสิทธิภาพมากที่สุดในการรักษาความปลอดภัยผลิตภัณฑ์ดิจิทัลจากการเข้าถึงโดยไม่ได้รับอนุญาต คุณลักษณะต่างๆ เช่น ข้อกำหนดชื่อผู้ใช้และรหัสผ่านควรได้รับการระบุและทดสอบตั้งแต่เนิ่นๆ ในกระบวนการออกแบบ

สำหรับการรักษาความปลอดภัยเพิ่มเติม สามารถเพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ได้ ด้วย 2FA จะมีการป้อนชื่อผู้ใช้และรหัสผ่าน และรหัสสำหรับเข้าสู่ระบบจะถูกส่งไปยังโทรศัพท์มือถือหรือที่อยู่อีเมล

ประสบการณ์ผู้ใช้ความปลอดภัย
ในการรับรหัสการเข้าถึง กระบวนการ 2FA ของ Intuit อนุญาตให้ผู้ใช้เลือกระหว่างตัวเลือกการจัดส่งที่หลากหลาย

ความเป็นส่วนตัวของข้อมูล

ท้ายที่สุด ความเป็นส่วนตัวของข้อมูลถือเป็นข้อพิจารณาด้านจริยธรรมสำหรับนักออกแบบและธุรกิจ เมื่อผู้ใช้แลกเปลี่ยนข้อมูลส่วนบุคคลของตนเพื่อแลกกับการเข้าถึงผลิตภัณฑ์ดิจิทัล พวกเขากำลังเลือกที่จะเชื่อว่าบริษัทที่ดูแลผลิตภัณฑ์จะจัดการข้อมูลของตนด้วยความซื่อสัตย์สุจริต พวกเขายังเชื่อมั่นว่าคุณลักษณะที่นักออกแบบและนักพัฒนานำมาใช้จะสามารถทนต่อการโจมตีข้อมูลได้

ปรับปรุงความเป็นส่วนตัวของผู้ใช้และความเป็นส่วนตัวของข้อมูล

เป็นเรื่องที่ควรค่าแก่การกล่าวซ้ำ ผลิตภัณฑ์ดิจิทัลสร้างขึ้นเพื่อผู้ใช้ ไม่ใช่ในทางกลับกัน การโต้ตอบของผู้ใช้กับผลิตภัณฑ์ไม่ควรมาพร้อมกับความเสี่ยงที่ข้อมูลของพวกเขาจะรั่วไหลหรือถูกขโมย น่าเศร้าที่นี่ไม่ใช่กรณีเสมอไป

อาชญากรรมทางอินเทอร์เน็ตส่วนใหญ่เกิดขึ้นโดยมีเจตนาเพื่อให้ได้ข้อมูลส่วนบุคคลของผู้ใช้ แต่นักออกแบบ UX สามารถช่วยได้ ได้อย่างไร? โดยใช้คุณลักษณะที่สนับสนุนให้ผู้ใช้เลือกรหัสผ่านที่รัดกุมกว่าและหลีกเลี่ยงการวางรายละเอียดส่วนบุคคลมากเกินไปทางออนไลน์

ตัวอย่างเช่น อินเทอร์เฟซการตรวจสอบสิทธิ์ของผลิตภัณฑ์อาจใช้ข้อความที่เป็นมิตรเพื่อแจ้งให้ผู้ใช้ทราบว่าเหตุใดจึงสำคัญที่จะต้องมีรหัสผ่านที่รัดกุมกว่า แทนที่จะบังคับให้ผู้ใช้สร้างรหัสผ่านที่มีอักขระ 12 ตัว ตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ ตัวเลข และสัญลักษณ์ ข้อความสามารถพูดได้ง่ายๆ ว่า “คุณต้องการรหัสผ่านที่รัดกุมกว่า นี่คือเหตุผลที่มันสำคัญ” ด้วยวิธีนี้ ผู้ใช้จะเข้าใจถึงความจำเป็นในการรักษาความปลอดภัยข้อมูลและความเป็นส่วนตัวของตนได้ดีขึ้น

ลบอุปสรรคด้านความปลอดภัยที่ไม่จำเป็น

หากความปลอดภัยของผลิตภัณฑ์ขึ้นอยู่กับการรวมผู้มีส่วนได้ส่วนเสียทั้งหมด นักออกแบบจำเป็นต้องใช้เวลาในการปรึกษากับนักพัฒนาและผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ นักพัฒนามักมีข้อจำกัดที่ส่งผลต่อการออกแบบ และพวกเขาอาจสามารถให้ข้อมูลเชิงลึกเกี่ยวกับประสิทธิภาพของคุณลักษณะการรักษาความปลอดภัย UX ที่นักออกแบบนำไปใช้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์สามารถให้ความรู้แก่นักออกแบบเกี่ยวกับกลยุทธ์ เครื่องมือ และข้อบังคับด้านการรักษาความปลอดภัยที่ทันสมัยที่สุด

คำเตือน: การให้คำปรึกษาผู้เชี่ยวชาญด้านความปลอดภัยเป็นสิ่งที่ดี แต่การใช้มาตรการรักษาความปลอดภัยที่มากเกินไปจะทำให้ผลิตภัณฑ์ดิจิทัลยุ่งยากและกระตุ้นให้ผู้ใช้มองหาที่อื่น ข้อความที่คลุมเครือ เช่น "การเชื่อมต่ออินเทอร์เน็ตของคุณไม่ปลอดภัย" จะทำให้ผู้ใช้หลีกเลี่ยงคุณลักษณะด้านความปลอดภัยที่มีไว้เพื่อปกป้อง

ในท้ายที่สุด มันสะท้อนถึงธุรกิจที่ไม่ดีเมื่อผู้ใช้ที่ถูกกฎหมายไม่สามารถทำงานให้สำเร็จหรือพบว่าตัวเองถูกล็อกออกจากบัญชีเนื่องจากการรักษาความปลอดภัยทางดิจิทัลที่ซับซ้อนเกินไป

การออกแบบ UX ด้านความปลอดภัย
เป็นไปได้ที่จะหักโหมคุณลักษณะความปลอดภัยดิจิทัลและทำให้ผู้ใช้หงุดหงิด (เคลลี่ สิกขิมา)

ปลอดภัยจากวิศวกรรมสังคม

จากการโจมตีความปลอดภัยทางดิจิทัลทั้งหมดที่เกิดขึ้น รูปแบบหนึ่งเป็นเรื่องปกติธรรมดามากกว่ารูปแบบอื่น คิดเป็นเกือบ 90% ของการละเมิดทั่วโลกและอาศัยศิลปะแห่งการหลอกลวงมากกว่าความสามารถทางเทคนิคที่ซับซ้อน กลยุทธ์ที่ชั่วร้ายนี้คืออะไร?

ฟิชชิ่ง

เช่นเดียวกับนักต้มตุ๋นในสมัยก่อน ฟิชชิ่ง (ซึ่งเกิดขึ้นบ่อยที่สุดในอีเมล) อาศัยกลยุทธ์ทางวิศวกรรมสังคมอย่างมากในการสร้างความหวาดกลัว กดดัน และทำให้ผู้ใช้สับสนในการมอบข้อมูลที่ละเอียดอ่อนและเงินสดที่หามาได้ยาก เพื่อป้องกันการโจมตีแบบฟิชชิ่ง นักออกแบบสามารถสร้างฟอรัมความปลอดภัยที่อนุญาตให้ผู้ใช้รายงานสแปมและโพสต์คำเตือนไปยังผู้ใช้รายอื่น พวกเขายังสามารถใช้ป๊อปอัปหรือข้อความภายในแอพเพื่อเตือนผู้ใช้ถึงความพยายามฟิชชิงที่ทราบ

การออกแบบความปลอดภัยของแอพพลิเคชั่น
ฟิชชิ่งเป็นอาวุธในการสื่อสารที่เป็นลายลักษณ์อักษรโดยหลอกให้ผู้อื่นแชร์ข้อมูลที่ละเอียดอ่อนของตน (ทาสกิน อาชิค)

นักออกแบบก็ต้องการความปลอดภัยทางดิจิทัลเช่นกัน

สำหรับความพยายามทั้งหมดในการรักษาความปลอดภัย ช่องโหว่ที่มองข้ามไปหนึ่งจุดสามารถประนีประนอมความสมบูรณ์ของผลิตภัณฑ์ดิจิทัลอย่างจริงจัง เทคโนโลยีแทบไม่เกี่ยวเนื่องกัน เพราะเป็นนักออกแบบเอง

สำหรับทุกผลิตภัณฑ์ที่สร้างขึ้น มีสิ่งประดิษฐ์การออกแบบนับร้อย (แม้กระทั่งหลายพัน) ที่สร้างขึ้น ใช้ช่องทางการสื่อสารมากมาย ลิงก์ไปยังเอกสารเชิงกลยุทธ์จะถูกส่งไปยังหลายฝ่าย และทีมแบบกระจายพึ่งพาเครื่องมือการออกแบบบนคลาวด์มากขึ้น

หากนักออกแบบไม่ระมัดระวังในการปกป้องงานและการสื่อสาร ผู้โจมตีจะหาวิธีแทรกซึมจุดอ่อนขององค์กร ซึ่งอาจหมายถึงการจัดตั้ง VPN อยู่ระหว่างการฝึกอบรมด้านความปลอดภัยทางไซเบอร์ และการใช้แนวทางการจัดการสินทรัพย์และการสื่อสารเพื่อป้องกันจุดจบที่หลวม

การออกแบบเพื่อความปลอดภัย

อินเทอร์เฟซที่ปลอดภัยและใช้งานได้ไม่ได้เกิดขึ้นโดยบังเอิญ สิ่งเหล่านี้เป็นผลมาจากนักออกแบบที่ใช้เวลาในการระบุจุดอ่อนของข้อมูลและเกี่ยวข้องกับผู้มีส่วนได้ส่วนเสียตั้งแต่ต้นกระบวนการสร้างสรรค์ ความปลอดภัยไม่แตกต่างจากคุณลักษณะที่สำคัญอื่นๆ ความต้องการของผู้ใช้ปลายทางต้องไม่ถูกละเลย

เมื่อนักออกแบบพบวิธีที่เป็นประโยชน์ในการสื่อสารถึงคุณค่าของการรักษาความปลอดภัยและรับรองว่าคุณลักษณะด้านความปลอดภัยทำงานอย่างมีประสิทธิภาพ ผู้ใช้จะให้รางวัลแก่บริษัทที่ดูแลผลิตภัณฑ์ดิจิทัลด้วยความไว้วางใจและการมีส่วนร่วมอย่างต่อเนื่อง

• • •

อ่านเพิ่มเติมเกี่ยวกับบล็อก Toptal Design:

  • The Higher Ground – คู่มือจรรยาบรรณการออกแบบ
  • Age Before Beauty – คู่มือการออกแบบส่วนต่อประสานสำหรับผู้สูงอายุ
  • จุดสิ้นสุดของเว็บฟอร์ม
  • สุดยอดคู่มือการออกแบบเว็บไซต์อีคอมเมิร์ซ
  • หน้าแรก Smart IoT Home: การสร้างอินเทอร์เน็ตของสิ่งต่าง ๆ