设计安全:用户体验安全概述

已发表: 2022-03-11

该睡觉了,但首先,一些日常任务:

  • 穿上睡衣。
  • 刷牙。
  • 打开窗户。
  • 解锁门。
  • 将钱包、个人文件和银行信息放在厨房柜台上方便的一堆。

甜蜜的梦。

如果这种情况令人不安,请考虑将相同敏感信息输入我们的数字设备的频率。 如果没有适当的安全协议,我们的资产和身份很容易成为猎物。 更糟糕的是,作为数字界面的设计者,对安全性的漠视会使用户面临财务、职业、人际关系和情感方面的风险。

安全性不是一种趋势或促销策略,它是用户体验和界面设计的重要方面。

用户体验安全
当数字产品没有得到适当保护时,所有错误的字符都可以访问用户的信息。 (亚伦负担)

理想的界面操作简单,并且可以防止试图窃取用户的私人信息。 交付这样的设计通常被认为是可用性和安全性之间的权衡:

  • 如果界面易于使用,则安全性较低。
  • 如果它是安全的,它会更难使用。

这种权衡是一个神话。 我们可以设计简单安全的界面,而不会影响两者的质量。 在这里,用户体验设计师通过确保满足技术需求和用户需求来发挥关键作用。

在许多方面,用户体验设计师都是解释者。 他们破译技术要求并让用户理解它们。 他们还通过决定何时关注简单性或何时涉及复杂的安全措施来锻炼态势感知。 平衡是关键,但它只能通过从设计的最初阶段就包括所有利益相关者来实现。

尽早让利益相关者参与到用户体验安全中

为了设计一个安全和成功的数字产品,必须咨询多方。 例如,设计团队必须确保他们的产品符合相关法规,例如医疗保健行业的 HIPAA 和银行和金融服务的 PCI DSS。 此外,设计团队实施的安全功能必须符合数字产品背后的技术团队设定的标准。

安全设计
设计师应该了解适用于他们工作的数字产品的各种安全法规。

在安全性方面,忽略用户输入的情况并不少见。 但要真正满足用户的安全需求,设计师必须把握他们的动机、行为和期望。 通常,用户对数字安全知之甚少,因此设计师应该学会预测用户在浏览各种屏幕和功能时将面临的风险水平。 在设计过程中越早识别风险越好。

忽略利益相关者或在设计过程后期纳入他们的意见会使风险加倍。 它可能会在产品中打开本来可以被阻止的安全漏洞,或者可能导致产品非常安全以至于几乎无法使用。

产品安全的设计方法

加密

加密是一种将敏感信息转换为看似随机的代码的方法。 在具有通信功能的数字产品中,这是一个重要的设计考虑因素。 在经常交换电话、文本、视频、图像和文档的应用程序中(想想 WhatsApp),端到端加密确保只有参与对话的用户才能看到正在交换的数据。

这意味着任何人,无论是应用程序背后的公司,还是数据犯罪分子,甚至是政府,都无法看到消息的内容。 当用户知道他们的信息受到这些措施的保护时,他们更愿意扩大信任。

验证

必须验证只有帐户所有者才能登录 - 并且所有入侵者都被锁定。 身份验证是保护数字产品免受未经授权访问的最有效方法。 应该在设计过程的早期识别和测试用户名和密码要求等功能。

为了提高安全性,可以添加双重身份验证 (2FA)。 使用 2FA,输入用户名和密码,然后将登录代码发送到手机或电子邮件地址。

安全用户体验
要接收访问代码,Intuit 的 2FA 流程允许用户在多个交付选项之间进行选择。

数据隐私

归根结底,数据隐私是设计师和企业的道德考虑。 当用户交易他们的个人数据以换取对数字产品的访问时,他们选择相信监督该产品的公司将诚信地处理他们的信息。 他们还相信设计人员和开发人员实现的功能能够抵御数据攻击。

增强用户隐私和数据隐私

值得重申的是,数字产品是为用户制造的,而不是相反。 用户与产品的交互绝不应带来数据泄露或被盗的风险。 可悲的是,情况并非总是如此。

大多数网络犯罪都是为了获取用户的个人数据而进行的,但用户体验设计师可以提供帮助。 为何如此? 通过实施鼓励用户选择更强密码并避免在网上放置过多个人信息的功能。

例如,产品的身份验证界面可能会使用友好的消息来告知用户为什么拥有更强的密码很重要。 该消息不会强制用户创建包含 12 个字符、大小写字母、数字和符号的密码,而是可以简单地说:“您需要一个更强的密码。 这就是为什么它很重要。” 通过这种方式,用户可以更好地了解保护其数据和隐私的必要性。

消除不必要的安全障碍

如果产品安全取决于整合所有利益相关者,那么设计人员需要花时间咨询开发人员和网络安全专业人员。 开发人员通常会受到影响设计的约束,他们可能能够就设计人员实施的 UX 安全功能的有效性提供见解。 网络安全专业人员可以向设计人员介绍最新的安全策略、工具和合规性法规。

提醒一句:咨询安全专家固然好,但过度的安全措施会使数字产品变得笨重,并鼓励用户将目光投向别处。 诸如“您的互联网连接不安全”之类的模糊信息会导致用户绕过旨在保护他们的安全功能。

最终,当合法用户由于过于复杂的数字安全性而无法完成任务或发现自己被锁定在帐户之外时,它对企业的影响很差。

安全用户体验设计
过度使用数字安全功能并让用户感到沮丧是可能的。 (凯莉·西克玛)

抵御社会工程学

在发生的所有数字安全攻击中,一种方案比其他方案更常见。 它占全球泄露事件的近 90%,并且更多地依赖于欺骗的艺术而不是复杂的技术能力。 这是什么邪恶的战术?

网络钓鱼。

与过去的骗子一样,网络钓鱼(最常出现在电子邮件中)严重依赖社会工程策略来恐吓、施压和迷惑用户交出敏感信息和来之不易的现金。 为了防止网络钓鱼攻击,设计人员可以创建安全论坛,允许用户报告垃圾邮件并向其他用户发布警告。 他们还可以在其应用程序中使用弹出窗口或消息来提醒用户已知的网络钓鱼尝试。

应用安全设计
网络钓鱼通过诱骗人们分享他们的敏感信息来武器化书面交流。 (塔斯金·阿希克)

设计师也需要数字安全

对于安全方面的所有努力,一个被忽视的漏洞可能会严重损害数字产品的完整性。 它与技术无关——它是设计师本身。

对于创建的每个产品,都会生成数百(甚至数千)个设计工件。 使用了数十个通信渠道。 战略文件的链接被发送给多方。 而且,分布式团队越来越依赖基于云的设计工具。

如果设计师不采取预防措施来保护他们的工作和通信,攻击者就会想方设法渗透组织的弱点。 这可能意味着建立 VPN、接受网络安全培训以及制定资产管理和通信指南以防止出现松散的结局。

安全设计

安全和可用的界面不是偶然发生的。 它们是设计师花时间识别数据漏洞点并在创意过程的早期让利益相关者参与的结果。 安全性与任何其他关键功能没有什么不同——不能忽视最终用户的需求。

当设计师找到有用的方法来传达安全的价值并确保安全功能有效运行时,用户将用他们的信任和持续的参与来奖励监督数字产品的公司。

• • •

进一步阅读 Toptal 设计博客:

  • 更高的地方——设计伦理指南
  • 美丽之前的年龄——老年人界面设计指南
  • Web 表单的终结
  • 电子商务网站设计终极指南
  • 家庭智能物联网家庭:物联网的驯化