設計安全:用戶體驗安全概述

已發表: 2022-03-11

該睡覺了,但首先,一些日常任務:

  • 穿上睡衣。
  • 刷牙。
  • 打開窗戶。
  • 解鎖門。
  • 將錢包、個人文件和銀行信息放在廚房櫃檯上方便的一堆。

甜蜜的夢。

如果這種情況令人不安,請考慮將相同敏感信息輸入我們的數字設備的頻率。 如果沒有適當的安全協議,我們的資產和身份很容易成為獵物。 更糟糕的是,作為數字界面的設計者,對安全性的漠視會使用戶面臨財務、職業、人際關係和情感方面的風險。

安全性不是一種趨勢或促銷策略,它是用戶體驗和界面設計的重要方面。

用戶體驗安全
當數字產品沒有得到適當保護時,所有錯誤的字符都可以訪問用戶的信息。 (亞倫負擔)

理想的界面操作簡單,並且可以防止試圖竊取用戶的私人信息。 交付這樣的設計通常被認為是可用性和安全性之間的權衡:

  • 如果界面易於使用,則安全性較低。
  • 如果它是安全的,它會更難使用。

這種權衡是一個神話。 我們可以設計簡單安全的界面,而不會影響兩者的質量。 在這裡,用戶體驗設計師通過確保滿足技術需求和用戶需求來發揮關鍵作用。

在許多方面,用戶體驗設計師都是解釋者。 他們破譯技術要求並讓用戶理解它們。 他們還通過決定何時關注簡單性或何時涉及復雜的安全措施來鍛煉態勢感知。 平衡是關鍵,但它只能通過從設計的最初階段就包括所有利益相關者來實現。

儘早讓利益相關者參與到用戶體驗安全中

為了設計一個安全和成功的數字產品,必須諮詢多方。 例如,設計團隊必須確保他們的產品符合相關法規,例如醫療保健行業的 HIPAA 和銀行和金融服務的 PCI DSS。 此外,設計團隊實施的安全功能必須符合數字產品背後的技術團隊設定的標準。

安全設計
設計師應該了解適用於他們工作的數字產品的各種安全法規。

在安全性方面,忽略用戶輸入的情況並不少見。 但要真正滿足用戶的安全需求,設計師必須把握他們的動機、行為和期望。 通常,用戶對數字安全知之甚少,因此設計師應該學會預測用戶在瀏覽各種屏幕和功能時將面臨的風險水平。 在設計過程中越早識別風險越好。

忽略利益相關者或在設計過程後期納入他們的意見會使風險加倍。 它可能會在產品中打開本來可以被阻止的安全漏洞,或者可能導致產品非常安全以至於幾乎無法使用。

產品安全的設計方法

加密

加密是一種將敏感信息轉換為看似隨機的代碼的方法。 在具有通信功能的數字產品中,這是一個重要的設計考慮因素。 在經常交換電話、文本、視頻、圖像和文檔的應用程序中(想想 WhatsApp),端到端加密確保只有參與對話的用戶才能看到正在交換的數據。

這意味著任何人,無論是應用程序背後的公司,還是數據犯罪分子,甚至是政府,都無法看到消息的內容。 當用戶知道他們的信息受到這些措施的保護時,他們更願意擴大信任。

驗證

必須驗證只有帳戶所有者才能登錄 - 並且所有入侵者都被鎖定。 身份驗證是保護數字產品免受未經授權訪問的最有效方法。 應該在設計過程的早期識別和測試用戶名和密碼要求等功能。

為了提高安全性,可以添加雙重身份驗證 (2FA)。 使用 2FA,輸入用戶名和密碼,然後將登錄代碼發送到手機或電子郵件地址。

安全用戶體驗
要接收訪問代碼,Intuit 的 2FA 流程允許用戶在多個交付選項之間進行選擇。

數據隱私

歸根結底,數據隱私是設計師和企業的道德考慮。 當用戶交易他們的個人數據以換取對數字產品的訪問時,他們選擇相信監督該產品的公司將誠信地處理他們的信息。 他們還相信設計人員和開發人員實現的功能能夠抵禦數據攻擊。

增強用戶隱私和數據隱私

值得重申的是,數字產品是為用戶製造的,而不是相反。 用戶與產品的交互絕不應帶來數據洩露或被盜的風險。 可悲的是,情況並非總是如此。

大多數網絡犯罪都是為了獲取用戶的個人數據而進行的,但用戶體驗設計師可以提供幫助。 為何如此? 通過實施鼓勵用戶選擇更強密碼並避免在網上放置過多個人信息的功能。

例如,產品的身份驗證界面可能會使用友好的消息來告知用戶為什麼擁有更強的密碼很重要。 該消息不會強制用戶創建包含 12 個字符、大小寫字母、數字和符號的密碼,而是可以簡單地說:“您需要一個更強的密碼。 這就是為什麼它很重要。” 通過這種方式,用戶可以更好地了解保護其數據和隱私的必要性。

消除不必要的安全障礙

如果產品安全取決於整合所有利益相關者,那麼設計人員需要花時間諮詢開發人員和網絡安全專業人員。 開發人員通常會受到影響設計的約束,他們可能能夠就設計人員實施的 UX 安全功能的有效性提供見解。 網絡安全專業人員可以向設計人員介紹最新的安全策略、工具和合規性法規。

提醒一句:諮詢安全專家固然好,但過度的安全措施會使數字產品變得笨重,並鼓勵用戶將目光投向別處。 諸如“您的互聯網連接不安全”之類的模糊信息會導致用戶繞過旨在保護他們的安全功能。

最終,當合法用戶由於過於復雜的數字安全性而無法完成任務或發現自己被鎖定在帳戶之外時,它對企業的影響很差。

安全用戶體驗設計
過度使用數字安全功能並讓用戶感到沮喪是可能的。 (凱莉·西克瑪)

抵禦社會工程學

在發生的所有數字安全攻擊中,一種方案比其他方案更常見。 它佔全球洩露事件的近 90%,並且更多地依賴於欺騙的藝術而不是複雜的技術能力。 這是什麼邪惡的戰術?

網絡釣魚。

與過去的騙子一樣,網絡釣魚(最常出現在電子郵件中)嚴重依賴社會工程策略來恐嚇、施壓和迷惑用戶交出敏感信息和來之不易的現金。 為了防止網絡釣魚攻擊,設計人員可以創建安全論壇,允許用戶報告垃圾郵件並向其他用戶發布警告。 他們還可以在其應用程序中使用彈出窗口或消息來提醒用戶已知的網絡釣魚嘗試。

應用安全設計
網絡釣魚通過誘騙人們分享他們的敏感信息來武器化書面交流。 (塔斯金·阿希克)

設計師也需要數字安全

對於安全方面的所有努力,一個被忽視的漏洞可能會嚴重損害數字產品的完整性。 它與技術無關——它是設計師本身。

對於創建的每個產品,都會生成數百(甚至數千)個設計工件。 使用了數十個通信渠道。 戰略文件的鏈接被發送給多方。 而且,分佈式團隊越來越依賴基於雲的設計工具。

如果設計師不採取預防措施來保護他們的工作和通信,攻擊者就會想方設法滲透組織的弱點。 這可能意味著建立 VPN、接受網絡安全培訓以及製定資產管理和通信指南以防止出現鬆散的結局。

安全設計

安全和可用的界面不是偶然發生的。 它們是設計師花時間識別數據漏洞點並在創意過程的早期讓利益相關者參與的結果。 安全性與任何其他關鍵功能沒有什麼不同——不能忽視最終用戶的需求。

當設計師找到有用的方法來傳達安全的價值並確保安全功能有效運行時,用戶將用他們的信任和持續的參與來獎勵監督數字產品的公司。

• • •

進一步閱讀 Toptal 設計博客:

  • 更高的地方——設計倫理指南
  • 美麗之前的年齡——老年人界面設計指南
  • Web 表單的終結
  • 電子商務網站設計終極指南
  • 家庭智能物聯網家庭:物聯網的馴化