当我们谈论“SecuritybyDesign”时,通常指的是“顶层设计”、“架构设计”和“流程设计”等高层问题。提升企业的安全能力至关重要。但是我们今天要谈的那种“安全设计”只与“表面”的用户界面有关,通俗地说就是UX设计。是的,APP和网页“醉人”,这也是一种犯罪,或者很容易让人“犯错”。根据《用户界面工程》的作者JaredSpool的说法:“如果(用户界面)不可用,它就不安全。”也就是说,如果你的网站和应用程序有安全保护措施,但对用户来说不是直观的(例如,用户需要记住随机生成的密码),这是没有用的,而且会大大降低产品安全的底线。我们已经看到智能手机从密码(PIN码)切换到TouchID和面部识别,改善了用户体验并显着提高了安全性。UX和安全似乎已经走上了和谐和谐的健康之路。不过,对于新冠疫情期间的iPhoneX用户来说,戴着口罩解锁手机已经成为一件痛苦的事情,需要在弹出密码窗口前反复尝试(苹果最近更新了固件,解决了解锁困难的问题)弹出密码窗口),导致很多用户一着急就选择设置安全性较差的密码(幸好苹果已经开始通过界面交互提醒用户避免000000这样的无效密码)。这个生动的案例告诉我们,UX设计完全可以影响用户的密码强度,而当环境发生变化时,这种影响会发生正负转换。但更重要的是,出色的UX设计不太可能被网络钓鱼攻击所利用。原理很简单,如果你的日常约会对象是迪丽热巴,那么微满版凤姐假扮迪丽热巴就更容易识别了。举个搞笑的例子,笔者曾帮助一位腿有残疾的朋友翻墙登录马里兰州政府网站更新签证信息。他惊讶地发现,该网站没有启用https,处于明文裸奔状态。作者的第一反应是“是的,难道是钓鱼网站?”。更讽刺的是,根据PhishLabs的统计,60%的恶意网站和钓鱼网站都启用了https(比如下面的Paypal钓鱼网站)。下面我们从几个方面来探讨UX与安全的关系,以及UX如何影响产品安全:UX与安全“错位”安全与品牌营销之间是否存在密切关系?似乎不仅有,而且可能是决定性的。如果你是一名UX设计师或产品经理,如果你现在还没有意识到这一点,那么你离“前浪”已经不远了。举一个众所周知的例子,视频会议应用Zoom的UX无疑是优秀的。它一改以往企业级应用的丑陋面目,直观、简单、易用。这为Zoom在血腥的视频会议市场加分。不是很多。然而,在安全漏洞被炒作之后,Zoom清楚地意识到了UX和安全之间的脱节。UX的交互逻辑隐藏或“忽略”了许多可能影响隐私和安全的“底层问题”(体验优先的代价),但当这些低级问题被安全专家发现后,却对品牌和品牌造成了巨大的损害产品。同样,《福布斯》杂志最近曝光了小米浏览器侵犯隐私的事件,告诉我们抛开安全设计,谈“体验至上”,获得的用户忠诚度犹如一座沙塔,一阵风就能吹倒。风。当UX设计师和产品经理追求无摩擦的用户体验时,他们需要时刻保持清醒。一流的用户体验不一定具有一流的安全性。举一个最显着的例子,当AppleID登录网页版修改密码时,会要求你输入安全问题,但“安全问题”被认为是糟糕的安全措施,甚至是侵犯用户隐私的行为。NIST的最新密码框架。即便是苹果这样的产品设计标杆企业,也无法避免此类问题,可见UX与安全的“错位”已经是业界相当普遍的问题。参考阅读:如何逃出弱密码的黑洞?糟糕的用户体验设计很容易被复制。什么样的网站和APP更容易被钓鱼网站的“50毛钱”特效上当?全屏矢量自适应还是12306?答案很明显。用户交互不佳、样式平庸且功能损坏的站点更有可能是网络钓鱼站点。试图通过网络钓鱼或虚假信息获取令人垂涎的数据通常类似于敢于拼凑的网站。互联网欺诈、钓鱼或假新闻网站更愿意模仿界面粗糙、没有设计感的网站。摆脱恶性循环的先决条件是用户体验设计应该唤起合法性和安全性。一个大型的2C站点或产品缺乏足够的UX认可度是一件非常危险的事情,而一个高质量的UX站点同时会给消费者和商家带来更好的安全保障。高质量的用户体验不仅是炫酷的设计,还有很多细节,比如钓鱼网站和诈骗网站往往有很多明显的拼写错误。正确的语法、合理的按钮放置(样式)和统一的字体大小对于促进信任至关重要。花时间检查您的网站是否存在拼写和内容错误(不仅仅是合法性)总是值得的。具有品牌内容的响应式网站很难模仿产品用户体验中的品牌元素是您的“数字签名”。高质量的用户体验通常可以让用户轻松识别廉价的仿制品或恶意欺骗。例如,响应式网站更难被钓鱼网站复制,山寨版手机款式往往漏洞百出。在考虑用户体验的同时,除了响应式网站,网站的品牌也同样重要。网站的用户界面将直接反映品牌。UX也是如此,用户只要浏览网站就应该能够直观地了解你的品牌使命。缺乏品牌印记的网站更容易被模仿,用户更容易上当受骗。在整个站点的界面和UX中不断强化品牌元素,不仅可以提高用户的品牌认知度,还可以将UX中的品牌元素转化为视觉上的“数字签名”,增强产品安全性。将安全放在首位是一个糟糕的设计。许多网站和应用程序将冷注册和登录密码窗口推到前面。用户要么立即报告/验证密码信息,要么滚蛋。有些人认为这是最安全的策略,但事实是它会产生不必要的风险。这种安全“懒惰”使用户更容易被身份盗用。首先,这种登录窗口“主页”更容易被模仿,比如本文开头的paypal钓鱼网站和Facebook的登录界面。此外,想象一下,当您在网上商店浏览产品时,系统会立即要求您提供凭据,这样旁观者或网络钓鱼者就更容易窃取该信息。事实上,一个好的无摩擦用户体验设计只会在用户决定结账并清空购物车时要求身份验证或保存用户的敏感信息。更好的隐私驱动设计和更少的操作负担带来便利,同时提高安全性。结论用户体验和安全性并不矛盾。最好的UX设计可以让两者相得益彰,而不是互相对抗。其实安全植入的产品设计并没有太多玄学,比如安全验证环节中清晰明了的选项和导航,剔除不必要的信息和错误,用户非必要不用登录等。思路清晰简洁。简而言之,只有以用户为中心的产品思维才能创造出无摩擦且安全的用户体验设计。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
