0
0
Minha mãe tem 67 anos. Ela é uma mulher brilhante, educada e sem medo de tecnologia. No entanto, quando tentei fazer com que ela instalasse o Google Authenticator e usasse a autenticação multifator ( MFA ) para fazer login nos aplicativos, ela se deparou com dificuldades. Desde a digitalização do código QRaté a inserção do código inicial e a adição de novos aplicativos, era muito em que pensar. Ela disse: “Aviad, prefiro apenas dar a eles meu número de celular e eles me enviarem o código. O que há de errado com isso?
Como pesquisador e desenvolvedor de segurança de longa data, sei exatamente o que há de errado com o SMS como um segundo fator. Expliquei a ela que, em uma empresa de software de segurança cibernética onde trabalhei anteriormente, invadimos telefones celulares e sequestramos códigos SMS o tempo todo. Ainda me lembro de olhar para ela e dizer: “Isso não é seguro, mãe!”
Mas, percebi, talvez seja mais seguro do que tentar fazer com que ela use algo quase inutilizável. Claro, esta é a mesma conversa que temos com os usuários o tempo todo sobre segurança de senha. Muitos aplicativos tentam forçar os usuários a criar senhas das quais provavelmente não se lembrarão, exigindo números, símbolos, letras maiúsculas e minúsculas e forçando rotações constantes. Se o governo (para citar um exemplo) nos obrigasse a mudar de nome todos os meses, teríamos dificuldade em lembrar disso também.
Como resultado, ainda hoje, os usuários escrevem senhas em pedaços de papel e os carregam ou colam em suas mesas. Mesmo os gerenciadores de senhas, que deveriam facilitar a vida, complicam as coisas criando experiências ruins para o usuário.
Engenheiros e tecnólogos geralmente culpam o comportamento inseguro do usuário por ignorância, preguiça e outras falhas humanas. A realidade é que a experiência do usuário (UX) de segurança do usuário é péssima e não está melhorando. Mesmo para sistemas biométricos em sistemas de consumo, como a Apple, você precisa gravar seu rosto no telefone e sua impressão digital no computador, repetindo o processo sem nenhum motivo real.
Acreditamos que a experiência do usuário para segurança deve ser tão importante e fácil quanto para qualquer coisa que fazemos. Veja como você pode implementar uma segurança adequada a qualquer pessoa em sua vida, incluindo sua mãe mais velha.
Mapeie e entenda as interrupções que você cria
Como a segurança foi priorizada em relação à UX por tanto tempo, muitas vezes ela foi adicionada sem contabilizar adequadamente o impacto das medidas de segurança na UX. Você não pode consertar o que não pode medir, ver e experimentar.
Como linha de base para criar uma UX de segurança melhor, execute estudos de UX com personas apropriadas para o impacto de cada medida de segurança e fluxo de trabalho aplicado por verificações ou interrupções de segurança. Depois de ter uma visão completa desse impacto coletivo em seus usuários, você pode começar a criar estratégias para minimizar o impacto sem prejudicar sua segurança geral.
Autenticação de design e segurança básica com os usuários menos técnicos em mente
Definir a barra baixa em termos de perspicácia técnica necessária. Permita que a parte menos técnica do seu público acesse a segurança de nível básico sem forçá-los a sair de sua zona de conforto.
Se você estiver desenvolvendo um aplicativo bancário, o MFA com um aplicativo autenticador ou token de cartão inteligente é mais seguro, mas se você tiver um cliente de 70 anos acostumado a SMS (como minha mãe) e ficaria confuso com esses outros métodos, permita que eles se atenham ao que é simples – porque alguma segurança é melhor do que nenhuma segurança ou um usuário que não usará seu aplicativo. A ressalva? Crie sistemas de segundo plano que possam continuar verificando esses usuários que passaram pela segurança de nível inferior. Ao monitorar o comportamento e outros sinais indicadores, você pode manter o login simples, mas ainda assim manter um nível mais alto de segurança.
Projete para o maior número possível de opções de segurança
Deve haver golpes de segurança diferentes para pessoas diferentes. Algumas pessoas gostam de usar o Google Authenticator para obter o segundo fator de autenticação. Outros podem preferir usar o FaceID ou outro sistema biométrico, ou receber um link mágico enviado para um e-mail verificado. Alguns bancos implementaram uma autenticação baseada em voz fácil de usar.
Dar opções às pessoas é o que as deixa felizes e aumenta a probabilidade de que se sintam confortáveis em usar um ou mais dos métodos. Isso levará a uma melhor experiência de aplicativo, mais uso e crescimento mais rápido dos negócios.
Remova ou minimize qualquer coisa que possa confundir os clientes
Qualquer recurso de segurança que redirecione, mova, mude ou altere páginas provavelmente deve ser removido. Idealmente, a segurança deve ser independente. Isso torna mais fácil de seguir e menos confuso para os usuários. Redirecionamentos para páginas de redefinição de senha são uma implicância minha. Isso significa que um usuário tem duas guias abertas em seu aplicativo e pode fechar a errada por engano ou pode até tentar fazer login na página existente. Sim, em teoria deveria funcionar, mas há muitas maneiras de dar errado. O CAPTCHA geralmente faz um trabalho melhor em desencorajar os usuários do que lutar contra os bots.
Outra medida de segurança “dolorosa” é fornecer aos usuários chaves de recuperação de conta longas e dizer-lhes para salvá-las ou imprimi-las. A entrada desses fluxos longos é um desafio para muitos usuários em dispositivos móveis. E pedir a qualquer um que se lembre de chaves longas e complicadas ou que as salve em outro lugar é um verdadeiro problema, mesmo para infraestruturas de missão crítica. Links mágicos de e-mail são melhores do que redefinições de senha por e-mail, assim como o login OneClick do Google.
Mova a segurança do visível para o invisível
Os invasores terão como alvo qualquer medida de segurança visível. Uma opção muito melhor para aumentar a segurança ao longo do tempo é implementar medidas que sejam invisíveis para os usuários e não afetem seus fluxos de trabalho. A única vez que você deve trazer medidas de segurança adicionais, após o login e a autenticação, é quando há um comportamento anômalo ou um usuário está pedindo para executar uma ação de alto valor.
Pedir aos usuários que insiram um código que é enviado por e-mail ou para o telefone antes de permitir que eles façam uma compra acima de um determinado valor, por exemplo, é uma maneira cuidadosa de verificar com o mínimo de interrupção. Para ser claro: qualquer interrupção afetará os usuários, mas às vezes é necessário encontrar o equilíbrio certo entre usabilidade (“user-friendly”) e a necessidade de autenticação mais forte.
Melhor segurança UX = melhor segurança
A melhor segurança é aquela que é fácil de usar. A segurança muito difícil de usar gera comportamentos inseguros que criam muito mais riscos. Por alguma razão, a maior parte do setor de segurança da informação esqueceu essa verdade básica.
Chaves de acesso e tecnologia sem senha que estão se tornando mais amplamente utilizadas são um grande passo na direção certa. Qualquer pessoa que se acostumou com os quase mágicos FaceID e scanners de impressão digital da Apple – que funcionam praticamente sem falhas – luta para aceitar soluções menos elegantes.
A necessidade de simplicidade de segurança nunca foi tão grande. Estamos manipulando cada vez mais aplicativos, senhas, tokens, contas e tudo mais. Hora de voltar aos fundamentos da UX para aumentar nossa segurança. Isso não apenas deixará os usuários mais felizes, mas também aumentará nossos resultados.
FONTE: HELPNET SECURITY