We wpisie 6 mitów związanych z badaniami użyteczności można przeczytać, że już w badaniach z udziałem 5 użytkowników można zidentyfikować większość problemów z użytecznością aplikacji. Zapewne w większości przypadków jest to prawda, ale mimo wszystko mam problem z tematem badania user experience mechanizmów bezpieczeństwa. Wiadomo, że końcowe rozwiązanie to zawsze kompromis między bezpieczeństwem a wygodą użytkowania. Co ma zrobić osoba techniczna, odpowiedzialna za projektowanie mechanizmów bezpieczeństwa? Jak może poznać zdanie zwykłego użytkownika i dostosować tworzone mechanizmy do tych, którzy będą z nich korzystali?
Jak badać wygodę mechanizmów bezpieczeństwa?
Na początek pewna historia. Kilka lat temu trafiły do mnie wynik ankiet dotyczących problemów jakie klienci widzą korzystając z pewnej aplikacji. Z ogólnym przesłaniem wyników badania nie sposób było się nie zgodzić, korzystanie z aplikacji było za trudne. Nie mogłem się również zgodzić z wnioskami wyciągniętymi na podstawie tych ankiet, głównie częścią dotyczącą procentowego rozkładu odpowiedzi. Nie mogłem się przykładowo zgodzić ze stwierdzeniem, że 87% użytkowników aplikacji uważa, że (...). Dlaczego?
W moim odczuciu ankieta, którą tu przywołuję, miała kilka istotnych wad:
- liczba odpowiedzi była niewielka,
- ankieta miała charakter negatywny, w sensie - pokaż co ci się nie podoba, z czym masz problem,
- pytania w ankiecie sugerowały odpowiedź, zwykle zgodną z oczekiwaniami przygotowującego ankietę,
Szczerze mówiąc, gdybym ja na podstawie wyników tak przygotowanej ankiety miał podjąć decyzję o wprowadzeniu zmian, miałbym problem. Nie wiedziałbym, czy problem, do którego rozwiązania potrzebuję określonego czasu i pieniędzy dotyczy 0.5%, 3%, 10% czy może 80% użytkowników. Bo jeśli to rzeczywiście byłoby 0.5%, to sprawę mógłbym z czystym sumieniem zignorować... W przypadku, o którym mówię wprowadzono zmiany. Wprowadzono je jednak poniekąd przy okazji, razem ze zwiększeniem funkcjonalności aplikacji, ogólnym dostosowaniem do aktualnych standardów i oczekiwań klientów.
Od dłuższego czasu zastanawiałem się, czy były przeprowadzane badania dotyczące wygody różnych metod uwierzytelnienia. Jak do tej pory nie znalazłem takich informacji. No, może poza tymi interesującymi, choć dotyczącymi nieco innego tematu, rozważaniami: The Problem with Password Masking.
Gdy zadałem wczoraj pytanie na blipie:
Jak radzicie sobie z podawaniem hasła maskowanego (proste hasło, liczenie na palcach, zapisanie hasła i liczenie)?
odpowiedzi, mówiąc oględnie, nie były zbyt przyjazne dla hasła maskowanego. Zresztą ja sam ich nie znoszę, o czym pisałem: Hasła maskowane są ZŁE!, dlatego interesuje mnie sposób ich postrzegania przez innych użytkowników. Nie odezwał się nikt, kto z hasłem maskowanym nie miałby problemu. Pojawiły się natomiast głosy ludzi, którzy z uwagi na hasło maskowane zmienili bank! Co by się stało, gdyby w jakiś sposób właśnie z takiej grupy osób wybrać osoby, z pomocą których oceniana byłaby wygoda użytkowania aplikacji, która stosuje hasło maskowane? Wyniki są chyba łatwe do przewidzenia...
W tej chwili do głosu powinna dojść milcząca większość. Zapytałem kilku osób związanych z komputerami czysto "użytkowo" o ich zdanie na temat haseł maskowanych. Okazało się, że odpowiedź na pytanie czy masz problem z wypełnieniem hasła maskowanego brzmiała - nie. Znamienne jest też jedno z pytań, które usłyszałem: a jak miałoby być inaczej? Dopiero po dłuższych rozmowach okazało się, że pytane osoby nie miały problemu z wypełnieniem hasła maskowanego, bo ich hasło było proste i krótkie... Nie sposób się nie zgodzić, że w takim przypadku hasło maskowane rzeczywiście nie jest problemem.
Dla osoby dbającej o bezpieczeństwo słowa krótkie i proste występujące w pobliżu słowa hasło powinny uruchomić wszystkie dostępne dzwonki alarmowe. Zastanawiam się jednak, czy ci sami użytkownicy nie korzystaliby z równie prostych i krótkich haseł, gdyby hasło nie było maskowane. Obawiam się, że odpowiedź będzie twierdząca. Muszę przyznać, że coraz bardziej zajmują mnie psychologiczne aspekty bezpieczeństwa. Właściwie wszyscy, którzy zajmują się bezpieczeństwem po tej jasnej strony mocy muszą zrozumieć, że rozwiązania przez nich tworzone powinny być tworzone dla ludzi, trzeba tych ludzi zrozumieć.
Jakie jest Wasze zdanie na ten temat? Jak w Waszym przypadku wygląda balans między wygodą a bezpieczeństwem? Gdybyście mogli wybrać metodę uwierzytelnienia w bankowości internetowej, to jaką byście wybrali? Załóżmy, że do wyboru jest:
- hasło "normalne",
- hasło maskowane,
- hasło "normalne" lub hasło maskowane z hasłem jednorazowym (SMS, token GSM, token "tradycyjny"),
- podpis elektroniczny,
Czy możecie swój wybór uzasadnić? Jaką rolę w nim odegrała wygoda, a jaki bezpieczeństwo danej metody? Jeśli będzie to hasło maskowane, to ponowię pytanie - jak sobie z nim radzicie?
Uważam, że minimalne zabezpieczenia stosowane w bankach (normalne haslo + sms lub z karty) jest akceptowalnym rozwiązaniem. Jest szybkie proste i przyjemne .
Można je rozszerzyć o konieczność hasla jednorazowego do logowania, ale w grę wchodzi jedynie sms (na kartach szybko by się zużyły).
Preferuję hasła 'normalne' - sam potrafię zadbać, by były odpowiednio skomplikowane, nie widzę potrzeby dorzucania do nich tokenów, zdrapek itp
Kto jeszcze, poza Brii, problemów z hasłem maskowanym nie ma? Nawet gdy korzysta ze skomplikowanych haseł?
Tak, świadomie prowokuję
W nowym banku logowanie jest tylko z hasłem. Ale już do wykonywania wielu operacji wymagane jest hasło jednorazowe (z papierka albo z SMSa). Ja korzystam z haseł SMSowych, bo moim zdaniem są bardzo wygodne, a chyba najbezpieczniejsze (pomijając jakieś wyimaginowane włamania do operatora tel., które pewnie byłyby wychwycone dosyć szybko).
A swoją drogą, pamiętacie jeszcze: http://wampir.mroczna-zaloga.org/archives/573-25000-bank-robbing-mobile-phones.html