Herhangi bir güvenlik girişimi için başlangıç noktası, uygunsuz bir gerçeği kabul etmektir: Hiçbir araç veya çözüm mükemmel değildir ve en zayıf halka genellikle insan unsurudur. İnsanlar kötü niyetli bağlantılara tıklar, kontrolleri atlatır ve en iyi güvenlik sistemlerini ve teknolojisini bile baltalamak için sayısız başka yol bulur.
Web içerik platformu Pantheon’un CTO’su ve kurucu ortağı David Strauss, “Birçok güvenlik sorunu kullanıcı arayüzüne bağlanabilir. Çoğu durumda, insanlar güvenlik kararlarını anında verecek donanıma sahip değiller” diyor.
Kuruluşların çok sık olarak siteler, uygulamalar ve içerikleri anında tüketim için tasarladığını ve güvenliği çok az önemsediğini veya hiç dikkate almadığını söylüyor. “Bu sadece güvenlik tiyatrosu” diyor. “Şirketin yaptığının güvenlik üzerinde gerçek bir etkisi olduğuna dair çok az kanıt var.”
Bu sorunlar arasında geçersiz site sertifikaları insanların güvenlik uyarılarını kapatmak veya yükleme işlemi sırasında ya hep ya hiç bir izin listesiyle karşılaşmak için tıklamaları yeterlidir. Şirketler genellikle bir seçimin ne anlama geldiğini ve site veya uygulama performansının yanı sıra güvenliği nasıl potansiyel olarak etkilediğini açıklamazlar.
Bu sorunların birikimi, bir şirkete ve genel olarak çevrimiçi dünyaya olan inancı zayıflatabilir. Sözde güvenilen iş tarafından büyütülür karanlık desenleresasen bir kişiyi kandıran veya güçlü bir şekilde silahlandıran ve bir tepki vermeye zorlayan.
Dijital tasarım firması Robots & Pencils’ın yönetici deneyim direktörü Tyler Klein, “Birçok açıdan UX ve güvenlik düşmandır” diyor.
UX’e Odaklanma
Kuruluşlar tasarım güvenliğindeki katmanları geriye doğru atarken, kullanıcı arayüzünün genel UX bulmacasının yalnızca bir parçası olduğu hızla ortaya çıkıyor. Tüm katmanları ele almak çok önemlidir.
“Şu soruyla başlamalısınız: Teknoloji ve genel olarak yazılımla elde etmeye çalıştığınız şey nedir?” Resilient Software Security kurucu ortağı Damilare Fagbemi diyor.
Bu, kimin ve neyin koruma gerektirdiğine ve ayrıca bir işletmenin ne tür bir deneyim yaratmayı umduğuna ilişkin soruları içerir. İş, BT, güvenlik ve tasarım ekipleri tüm sorunları çözerken ve güvenli bir tasarım stratejisi, kimlik doğrulama yöntemleri, güvenlik ayarları ve kullanıcıları nasıl eğitecekleriyle ilgili yanıtlar üzerinde işbirliği yaparken balonu yüzeye çıkarır.
Fagbemi, “Bu, bir kuruluşun önemli gördüğü güvenlik düzeyini destekleyen bir kullanıcı arabirimi tasarlamayı mümkün kılıyor” diyor. Ayrıca güvenliği zorlaştıran gereksiz adımları ortadan kaldıran siteler, uygulamalar ve içerik geliştirmeye de yardımcı olur.
“Doğru katmanları ve güvenlik katmanlarını oluşturmak ve sunmak mümkün” diye ekliyor.
Örneğin, güvenli UI ve UX öğelerinin birleşimi, müşterileri çok faktörlü kimlik doğrulamayı benimsemeye teşvik edebilir veya caydırabilir. İyi bir arayüz, kaydolmayı kolaylaştırır ve aşağıdakiler gibi uygun araçlara bağlıdır: Google Kimlik Doğrulayıcı veya Microsoft Kimlik Doğrulayıcıson derece güvenli yuvarlanan kodlar sunar.
Güvensizliklerle Yüzleşmek
UX ve UI güvenliğini bu kadar zorlaştıran şey, çok sayıda iş süreci ve öğesiyle kesişmesidir. Ancak bu aynı zamanda UI ve UX’i daha etkin kullanma fırsatları da sunar. Örneğin, kişisel bilgileri ve kredi kartı verilerini manuel olarak girme ihtiyacını ortadan kaldırarak daha iyi ve daha güvenli bir satın alma deneyimi yaratmak mümkündür. Apple Pay, Amazon Pay, Google Pay ve diğer hizmetler, güven uyandıran ve son derece güvenli bir tıkla ve satın al modeli sunan tek bir düğme ve tek tıklamayla satın alma süreci uygular.
Bununla birlikte, iş süreçlerinin temellerine ve bunların UI ve UX ile nasıl kesiştiğine yakından bakmak da önemlidir. Buna, ağ ve veritabanı katmanları dahil olmak üzere, daha ayrıntılı izinler ve kontroller yoluyla insanların görebileceklerini ve yapabileceklerini sınırlamak dahildir. Bu yaklaşım, süreçleri basitleştirebilir ve birinin bir sistemi yanlış kullanma veya yanlış kullanma olasılığını azaltabilir. Ancak aynı zamanda, bir bilgisayar korsanının veya hırsızın varlıkları görüntüleyebilmesi ve bir ağa girmesi riskini de azaltabilir.
Diğer önemli UX faktörleri arasında güvenlik arayüzünün cihaz ve form faktörüyle eşleşecek şekilde uyarlanması, son teslim tarihi yaklaştıkça geri sayım sayaçlarıyla otomatik oturum kapatma sürelerinin ayarlanması, güvenli HTML5 içeriğine sahip siteler oluşturulması, HTTPS’nin her yere dağıtılması ve diğer şifreleme biçimlerinin kullanılması ve en aza indirilmesi ve izlenmesi yer alır. web sitelerinde ve uygulamalarda reklam alanları. (Reklam öğeleri sıklıkla harici HTML içerdiğinden, siteyi veya uygulamayı kullanan hem şirket hem de müşteriler için risk oluştururlar.)
Cisco’da Duo Security tasarım başkanı Amber Lindholm, kuruluşların UI ve UX güvenlik faktörlerini sıralarken dikkate alınması gereken çok sayıda faktör olduğunu söylüyor. Bu, önceliklerin belirlenmesini ve ardından siteleri, uygulamaları ve içeriği uygun şekilde tasarlamayı içerir. Örneğin, bir sosyal medya sitesi veya müşteri inceleme sayfası, kullanımı ve katılımı artırmak için “varsayılan olarak açık” bir zihniyeti benimseyebileceğini belirtiyor. Öte yandan, ticaret yapan ve kişisel verileri tutan siteler, “varsayılan olarak güvenli” bir yaklaşım gerektirir.
Koruma Planları
Sonunda, UI ve UX’te tasarımın gücünü tanımak önemlidir.
Lindholm, “İşletmeler, varsayılan veya önerilen eylemleri veya politikaları vurgulamaya yardımcı olmak için öğeleri kullanabilir, seçenekleri açıklamak için açık ve basit bir dil kullanabilir ve farklı eylemlerden ne beklenebileceğinin önizlemelerini gösterebilir,” diye açıklıyor.
Ayrıca, gerçek kişilerle kullanıcı deneyimi testi yapmak ve neyin işe yaradığını, neyin işe yaramadığını ve nasıl iyileştirileceğini belirlemek çok önemlidir.
Lindholm, “Her zaman için planlamadığınız veya beklemediğiniz beklenmedik davranışlar veya düşünme yolları bulacaksınız” diyor. “Güvenlik, çoğu şey gibi, teknik bir sorundan çok insani bir sorundur.”