Punti chiave
Negli anni ’90, quandosi parlava di sicurezza informatica a chiunque, uno sguardo vitreo appariva sulla faccia. La sicurezza, come disciplina dell’IT, era un po’ noiosa e difficile da capire.
Poi è entrata in campo Internet e tutti siamo stati cooptati nel campo informatico in un modo o nell’altro. Le truffe sono però aumentate e sono ora così onnipresenti che molti paesi hanno attivato i propri servizi governativi nel tentativo di educare i cittadini. Negli Stati Uniti, ad esempio, la Federal Trade Commission (FTC) ha un sito Scam Alert dedicato a portare le ultime truffe nel forum pubblico. Un altro esempio è l’Australia, con il suo sito Scamwatch.
Anche così, l'”utente” in genere non vuole pensare alla sicurezza. Internet può essere ovunque, ma la sicurezza è ancora noiosa. Fino a quando succede qualcosa di antipatico, allora la gente si siede e ricerca la sicurezza.
Tuttavia, come azienda, dobbiamo avere il nostro personale e altri collaboratori a guardia delle minacce informatiche. Dobbiamo assicurarci che la sicurezza esca dall’ombra e sia presente in modo da ridurre le possibilità che la nostra azienda sia vittima di un attacco informatico. In questo, come in molte aree tecnologiche, unisce l’interazione utente con la sicurezza.
Elementi di UX negli strumenti di sicurezza informatica
Per fare un’analogia con un’altra area tecnologica: se si progettasse un sito Web commerciale nel modo in cui sono progettati molti strumenti o processi di sicurezza, si perderebbero i clienti. Gli strumenti di cibersicurezza, anche quelli pensati per i consumatori, possono spesso essere complicati da comprendere e configurare. Alcuni casi d’uso ci danno un’idea di come UX può influire sulle scelte di sicurezza.
Le credenziali di accesso e autenticazione
È ormai noto che l’utilizzo di un secondo fattore (2FA) come un codice di autenticazione insieme a un nome utente e una password è più sicuro. Tuttavia, l’utilizzo da parte dei consumatori di 2FA non è ottimale. Google, ad esempio, ha un tasso di assorbimento di 2FA solo nel 10% circa degli utenti.
Tuttavia, un sondaggio ha scoperto che la consapevolezza di 2FA sta migliorando e il codice di testo SMS è il metodo più popolare. Negli Stati Uniti, oltre la metà degli utenti utilizza 2FA per alcuni account. La protezione di account più sensibili o di valore ha il maggior numero di utenti 2FA, ad esempio per l’accesso sicuro al conto bancario.
Uno dei problemi con 2FA per i consumatori è che si tratta di un passaggio in più, un ostacolo. Aggiunge tempo a un’interazione e clic extra. Il problema è che se qualcosa è difficile da fare, spesso non verrà fatta dagli utenti.
L’uso di un’app mobile, come Google Authenticator, potrebbe avere una sicurezza migliore rispetto a un messaggio SMS (che potrebbe essere intercettato) ma ha un utilizzo inferiore. Questo perché la UX di un’app comporta clic aggiuntivi per aprire l’app, scorrere fino al codice e così via.
Uno dei migliori approcci di UX nell’uso dei codici di testo SMS per 2FA è usarli in un percorso utente interamente mobile. Fai clic per accedere a un account su un dispositivo mobile, il codice SMS viene inviato, l’interfaccia ti consente di fare clic sul codice, che viene inserito automaticamente nel campo di accesso all’account, e sei dentro. La UX è semplice, senza soluzione di continuità e riduce l’attrito; è un ottimo UX, quindi è un UX sicuro.
Quando una buona sicurezza peggiora la UX
Un esempio di quando la buona sicurezza va a male a causa della scarsa UX è nel prodotto Pretty Good Privacy (PGP). PGP fornisce la crittografia end-to-end delle comunicazioni e-mail. Viene utilizzato in un client di posta elettronica, ProtonMail.
PGP è stato originariamente sviluppato come prodotto autonomo, ma non è mai decollato al di fuori della comunità tecnologica. Molti si sono chiesti perché un prodotto di sicurezza così efficace non sia mai diventato mainstream. Una delle teorie più popolari è che l’interfaccia utente era mal progettata, essendo un’interfaccia utente altamente tecnica e che richiedeva una comprensione della “gestione delle chiavi”: dovevi sapere come condividere, gestire e mantenere le chiavi di crittografia.
In altre parole, la UX di PGP era tale da aggiungere ostacoli al suo utilizzo. Lo usavano solo quelli che erano pronti a saltare quegli ostacoli.
Il caso dei gestori di password
Anche i gestori password sono usati male. Risolvono il problema del ricordarsi tante password diverse e aggiungono un livello di sicurezza agli account che dispongono solo di un’autenticazione a fattore singolo (alcuni offrono maggiore sicurezza rispetto ad altri). Tuttavia, un rapporto Pew Research ha rilevato che solo circa il 12% degli utenti utilizza un gestore di password.
Uno dei problemi con i gestori di password è che possono essere difficili da installare e gestire per l’utente medio. È più facile scrivere una password.
Carnegie Mellon Cylab ha esaminato il motivo per cui i gestori di password non sono stati utilizzati. Le risposte includevano:
- Il riutilizzo delle password ha reso più semplice il solo ricordare le password
- Annotarli / salvarli in un telefono è stato più facile
- Dare il controllo delle loro password al software era di per sé una preoccupazione
In tutti gli esempi precedenti, la scarsa UX ha portato a pratiche di sicurezza scadenti. UX è fondamentale per una buona esperienza utente di sicurezza e per far funzionare la sicurezza.
Una buona UX garantisce una buona sicurezza nei processi
Una grande esperienza utente è l’obiettivo. Per creare una UX eccezionale, è necessario iniziare con alcune considerazioni di progettazione:
- Un team diversificato: disporre di un team che includa persone diverse può aiutare a progettare un’ottima UX. Ad esempio, hai pensato agli utenti disabili nel tuo prodotto o processo?
- Progetta per i tuoi utenti, non per te stesso: quando progetti un prodotto o un processo di sicurezza, pensa al tuo pubblico. Quali sono probabilmente i dati demografici? La lingua è adatta all’utente? L’interfaccia è accessibile?
- Provalo nel mondo reale: prova con utenti reali che rappresentano il gruppo demografico usando il tuo processo o prodotto. Esegui test A / B per ottenere la migliore UX che puoi
- Preparati a cambiare : continua i test, continua a perfezionare
- Utilizzabile e sicuro: l’equilibrio tra usabilità e sicurezza è una costante del settore, ma è necessario trovare un mezzo felice. Se aggiungi ostacoli UX, la sicurezza sarà inficiata. Si finisce con una situazione in cui si potrebbe anche peggiorare la sicurezza – l’esempio in cui l’utente sceglie di riutilizzare le password per ricordarle, piuttosto che un gestore di password, è un caso emblematico