Tasarım Yoluyla Güvenli: UX Güvenliğine Genel Bir Bakış

Yayınlanan: 2022-03-11

Yatma zamanı, ama önce birkaç rutin görev:

  • Pijama giy.
  • Diş fırçalamak.
  • Açık pencereler.
  • Kapıların kilidini açın.
  • Cüzdanı, kişisel belgeleri ve banka bilgilerini mutfak tezgahının üzerine uygun bir yığın halinde yerleştirin.

Tatlı Rüyalar.

Bu senaryo rahatsız ediciyse, aynı hassas bilgilerin dijital cihazlarımıza ne sıklıkta girildiğini düşünün. Uygun güvenlik protokolleri olmadan, varlıklarımız ve kimliklerimiz kolay av olur. Daha da kötüsü, dijital arayüz tasarımcıları olarak, güvenliğin göz ardı edilmesi kullanıcıları finansal, profesyonel, ilişkisel ve duygusal olarak riske sokar.

Güvenlik bir trend veya promosyon taktiği değildir, kullanıcı deneyimi ve arayüz tasarımının çok önemli bir yönüdür.

kullanıcı deneyimi güvenliği
Dijital ürünler uygun şekilde güvenceye alınmadığında, tüm yanlış karakterler kullanıcıların bilgilerine erişim sağlar. (Harun Yükü)

İdeal arayüzün kullanımı kolaydır ve kullanıcıların özel bilgilerini çalma girişimlerine karşı korunur. Böyle bir tasarımın sunulması, tipik olarak, kullanılabilirlik ve güvenlik arasında bir ödünleşim olarak çerçevelenir:

  • Arayüzün kullanımı kolaysa, daha az güvenlidir.
  • Güvenliyse, kullanımı daha zordur.

Bu takas bir efsanedir. Her ikisinin de kalitesinden ödün vermeden basit ve güvenli arayüzler tasarlayabiliriz. Burada UX tasarımcıları hem teknik taleplerin hem de kullanıcı ihtiyaçlarının karşılanmasını sağlayarak kritik bir rol oynamaktadır.

UX tasarımcıları birçok yönden tercümandır. Teknik gereksinimleri deşifre eder ve kullanıcılar için anlaşılır hale getirirler. Ayrıca, ne zaman basitliğe odaklanılacağına veya ne zaman karmaşık güvenlik önlemlerinin dahil edileceğine karar vererek durumsal farkındalık uygularlar. Denge anahtardır, ancak ancak tasarımın ilk aşamalarından itibaren tüm paydaşları dahil ederek sağlanabilir.

Paydaşları UX Güvenliğine Erkenden Dahil Edin

Güvenli ve başarılı bir dijital ürün tasarlamak için danışılması gereken birden fazla taraf vardır. Örneğin, tasarım ekipleri, ürünlerinin sağlık sektörü için HIPAA ve bankacılık ve finansal hizmetler için PCI DSS gibi ilgili düzenlemelere uygun olmasını sağlamalıdır. Ayrıca tasarım ekipleri tarafından uygulanan güvenlik özellikleri, dijital ürünlerin arkasındaki teknik ekipler tarafından belirlenen standartları karşılamalıdır.

Güvenlik için tasarım
Tasarımcılar, üzerinde çalıştıkları dijital ürünler için geçerli olan çeşitli güvenlik düzenlemelerinin farkında olmalıdır.

Güvenlik söz konusu olduğunda, kullanıcı girdilerinin göz ardı edilmesi alışılmadık bir durum değildir. Ancak, kullanıcıların güvenlik ihtiyaçlarını gerçekten karşılamak için tasarımcıların motivasyonlarını, davranışlarını ve beklentilerini kavraması gerekir. Kullanıcılar genellikle dijital güvenlik hakkında çok az şey bilirler, bu nedenle tasarımcılar, kullanıcıların çeşitli ekranlar ve özellikler arasında gezinirken karşılaşacakları risk düzeylerini tahmin etmeyi öğrenmelidir. Tasarım sürecinde riskler ne kadar erken tespit edilebilirse o kadar iyidir.

Paydaşları görmezden gelmek veya onların girdilerini tasarım sürecine geç dahil etmek, riski ikiye katlar. Ürünlerde aksi takdirde önlenebilecek güvenlik açıkları açabilir veya zar zor kullanılamayacak kadar güvenli ürünlere yol açabilir.

Ürün Güvenliği için Tasarım Yöntemleri

şifreleme

Şifreleme, hassas bilgileri rastgele görünen bir koda dönüştürme yöntemidir. İletişim özelliklerine sahip dijital ürünlerde önemli bir tasarım unsurudur. Çağrıların, metinlerin, videoların, resimlerin ve belgelerin sıklıkla değiştirildiği uygulamalarda (WhatsApp'ı düşünün), uçtan uca şifreleme, yalnızca sohbete katılan kullanıcıların değiş tokuş edilen verileri görebilmesini sağlar.

Bu, hiç kimsenin, uygulamanın arkasındaki şirketin, veri suçlularının, hatta hükümetin bile mesajların içeriğini göremediği anlamına gelir. Kullanıcılar bilgilerinin bu tür önlemlerle korunduğunu bildiklerinde, güveni artırmaya çok daha istekli olurlar.

kimlik doğrulama

Yalnızca bir hesabın sahibinin oturum açabileceğini ve tüm davetsiz misafirlerin kilitli olduğunu doğrulamak önemlidir. Kimlik doğrulama, dijital ürünleri yetkisiz erişime karşı korumanın en etkili yoludur. Kullanıcı adları ve parola gereksinimleri gibi özellikler, tasarım sürecinin başlarında tanımlanmalı ve test edilmelidir.

Ek güvenlik için iki faktörlü kimlik doğrulama (2FA) eklenebilir. 2FA ile bir kullanıcı adı ve şifre girilir ve bir cep telefonuna veya e-posta adresine bir giriş kodu gönderilir.

Güvenlik kullanıcı deneyimi
Bir erişim kodu almak için Intuit'in 2FA süreci, kullanıcıların birden fazla teslimat seçeneği arasından seçim yapmasına olanak tanır.

Veri gizliliği

Sonuç olarak, veri gizliliği tasarımcılar ve işletmeler için etik bir husustur. Kullanıcılar dijital bir ürüne erişim karşılığında kişisel verilerini takas ettiğinde, ürünü denetleyen şirketin bilgilerini bütünlük içinde ele alacağına inanmayı seçiyorlar. Ayrıca tasarımcılar ve geliştiriciler tarafından uygulanan özelliklerin veri saldırılarına dayanabileceğine de güveniyorlar.

Kullanıcı Gizliliğini ve Veri Gizliliğini Geliştirin

Tekrar etmekte fayda var, dijital ürünler kullanıcılar için üretiliyor, tersi değil. Kullanıcıların ürünlerle etkileşimleri hiçbir zaman verilerinin sızdırılması veya çalınması riskini taşımamalıdır. Ne yazık ki, bu her zaman böyle değildir.

Çoğu siber suç, kullanıcıların kişisel verilerini elde etme amacıyla işlenir, ancak UX tasarımcıları yardımcı olabilir. Nasıl yani? Kullanıcıları daha güçlü parolalar seçmeye ve aşırı kişisel bilgileri çevrimiçi ortamda yerleştirmekten kaçınmaya teşvik eden özellikler uygulayarak.

Örneğin, bir ürünün kimlik doğrulama arayüzü, kullanıcıları daha güçlü parolalara sahip olmanın neden önemli olduğu konusunda bilgilendirmek için samimi bir mesaj kullanabilir. Kullanıcıları 12 karakter, küçük ve büyük harfler, bir sayı ve bir sembolden oluşan bir şifre oluşturmaya zorlamak yerine, mesaj basitçe “Daha güçlü bir şifreye ihtiyacınız var. İşte bu yüzden önemli.” Bu şekilde, kullanıcılar verilerini ve mahremiyetlerini güvence altına almanın gerekliliğini daha iyi anlarlar.

Gereksiz Güvenlik Engellerini Kaldırın

Ürün güvenliği tüm paydaşların dahil edilmesine bağlıysa, tasarımcıların geliştiricilere ve siber güvenlik uzmanlarına danışmak için zaman ayırması gerekir. Geliştiricilerin genellikle tasarımı etkileyen kısıtlamaları vardır ve tasarımcılar tarafından uygulanan UX güvenlik özelliklerinin etkinliği hakkında fikir verebilirler. Siber güvenlik uzmanları, tasarımcıları en güncel güvenlik stratejileri, araçları ve uyumluluk düzenlemeleri hakkında eğitebilir.

Bir uyarı: Güvenlik uzmanlarına danışmak iyidir, ancak aşırı güvenlik önlemleri almak dijital ürünleri hantal hale getirir ve kullanıcıları başka yerlere bakmaya teşvik eder. “İnternet bağlantınız güvenli değil” gibi belirsiz mesajlar, kullanıcıları koruma amaçlı güvenlik özelliklerini atlatmaya yönlendirir.

Sonuç olarak, meşru kullanıcılar görevleri yerine getiremediğinde veya aşırı karmaşık dijital güvenlik nedeniyle kendilerini hesaplarından kilitli bulduklarında, bu durum işletmelere kötü bir şekilde yansır.

Güvenlik UX tasarımı
Dijital güvenlik özelliklerini abartmak ve kullanıcıları hayal kırıklığına uğratmak mümkündür. (Kelly Sikkema)

Sosyal Mühendislik Karşıtı Güvenli

Gerçekleşen tüm dijital güvenlik saldırılarından biri, diğerlerinden çok daha yaygın. Dünya çapındaki ihlallerin yaklaşık %90'ından sorumludur ve karmaşık teknik yeteneklerden çok aldatma sanatına dayanır. Nedir bu hain taktik?

E-dolandırıcılık.

Eski dolandırıcılar gibi, kimlik avı (en sık e-postalarda meydana gelir), kullanıcıları korkutmak, baskı yapmak ve kafalarını karıştırmak için hassas bilgileri ve zor kazanılmış nakitleri teslim etme konusunda büyük ölçüde sosyal mühendislik stratejilerine dayanır. Kimlik avı saldırılarına karşı korunmak için tasarımcılar, kullanıcıların istenmeyen postaları bildirmelerine ve diğer kullanıcılara uyarı göndermelerine olanak tanıyan güvenlik forumları oluşturabilir. Ayrıca, kullanıcıları bilinen kimlik avı girişimleri konusunda uyarmak için uygulamalarında açılır pencereler veya mesajlar kullanabilirler.

Uygulama güvenliği tasarımı
Kimlik avı, insanları hassas bilgilerini paylaşmaları için kandırarak yazılı iletişimi silah haline getirir. (Taşkın Aşık)

Tasarımcıların da Dijital Güvenliğe İhtiyacı Var

Güvenliğe harcanan tüm çabalara rağmen, gözden kaçan bir güvenlik açığı, dijital ürünlerin bütünlüğünü ciddi şekilde tehlikeye atabilir. Teknolojiyle çok az ilgisi var - tasarımcıların kendileri.

Oluşturulan her ürün için yüzlerce (hatta binlerce) tasarım eseri üretilir. Onlarca iletişim kanalı kullanılıyor. Stratejik belgelere bağlantılar birden çok tarafa gönderilir. Ve dağıtılmış ekipler, bulut tabanlı tasarım araçlarına giderek daha fazla bağımlı hale geliyor.

Tasarımcılar işlerini ve iletişimlerini korumak için önlem almazlarsa, saldırganlar kurumsal zayıf noktalara sızmanın yollarını bulacaktır. Bu, VPN'ler kurmak, siber güvenlik eğitiminden geçmek ve gevşek uçları önlemek için varlık yönetimi ve iletişim yönergelerini yürürlüğe koymak anlamına gelebilir.

Güvenlik için Tasarım

Güvenli ve kullanılabilir arayüzler tesadüfen oluşmaz. Bunlar, veri güvenlik açığı noktalarını belirlemek için zaman ayıran ve paydaşları yaratıcı sürece erken dahil eden tasarımcıların sonucudur. Güvenlik, diğer herhangi bir kritik özellikten farklı değildir; son kullanıcıların ihtiyaçları göz ardı edilmemelidir.

Tasarımcılar, güvenliğin değerini iletmenin ve güvenlik özelliklerinin verimli bir şekilde çalışmasını sağlamanın yararlı yollarını bulduğunda, kullanıcılar dijital ürünleri denetleyen şirketleri güvenleri ve sürekli katılımlarıyla ödüllendireceklerdir.

• • •

Toptal Tasarım Blogunda daha fazla okuma:

  • The Higher Ground – Tasarım Etiği Rehberi
  • Güzellikten Önce Yaş - Yaşlı Yetişkinler için Arayüz Tasarımı Rehberi
  • Web Formlarının Sonu
  • E-Ticaret Web Sitesi Tasarımı İçin En İyi Kılavuz
  • Akıllı IoT Home: Nesnelerin İnternetini Evcilleştirmek