abril 21, 2016

Seguridad y usabilidad, ¿enemigos íntimos?

Blog

La seguridad no es una característica binaria, las frases “mi app es 100% segura” o “mi plataforma digital es inviolable” son siempre falsas. La seguridad es un proceso constante cuyo objetivo es minimizar riesgo. Y en este proceso, en la mayoría de las ocasiones, golpeamos de forma sensible la usabilidad y experiencia del usuario.

Cada nueva credencial, cada barrera que ponemos al usuario entorpece su experiencia de uso.

A todos nos ha sucedido: para ingresar a mi banco en la web debo ingresar los caracteres 3, 4 y 7 de mi clave utilizando un teclado en pantalla con las letras y números mezcladas en una sopa. O quizás para realizar una transferencia debo raspar una tarjeta y buscar un código o contestar en qué año me mude por última vez o el nombre de mi primera mascota.

La pregunta entonces es: ¿podemos mejorar la seguridad sin entorpecer al usuario? Yo creo que sí y una forma de hacerlo es mediante la seguridad pro-activa.

¿Qué es la seguridad pro-activa?

Uno de los principales problemas que caen dentro del dominio de la seguridad, en relación a los canales digitales (apps móviles, web, redes sociales, etc.) de empresas u otras organizaciones, es la autenticación de los usuarios; o sea cómo determinamos que una persona es realmente quien dice ser.

El acercamiento convencional es utilizar “factores de autenticación”, como una contraseña, PIN, preguntas y respuestas, claves one-time-password, certificados digitales, huellas digitales, reconocimiento facial, etc.

Pero estos factores no son garantía del individuo del otro lado y cada uno tiene sus fortalezas y defectos, como mitigación a este problema el paradigma más aceptado hoy día es que para tener una plataforma “robusta” debo considerar un esquema de triple factor, algo que el usuario sabe (ej. una contraseña), algo que el usuario tiene (ej. un dispositivo one-time-password) y algo que el usuario “es” (ej. una huella dactilar). Pero aceptemos que si cada vez que quiero ingresar a la app de mi banco o hacer un pago de un servicio tengo que pasar por todo esto no voy a ser un usuario feliz, sobre todo cuando lo comparo con usar Facebook o Twitter o incluso Amazon, donde hago compras con un solo click y lo único que tuve que hacer fue abrir el app correspondiente.

La seguridad pro-activa, aplicada a este problema, puede definirse como el buscar elementos que permitan aumentar el nivel de certeza sobre la identidad del usuario sin requerir nada explícito de el.

Algunos ejemplos

Hay muchas cosas que podemos hacer para recorrer este camino y no son “rocket science”. Y dado que su impacto en la usabilidad es mínimo o incluso positivo, les recomiendo que analicen los ejemplos que yo les doy a continuación.

Re-captcha de Google

El tagline de la plataforma re-captcha de Google es “Tough on bots, easy on humans”, dejando bien claro cual es el espíritu con el que están desarrollando.

Este sistema utiliza algoritmos especializados para determinar si su interlocutor es más probable que sea un humano o un programa, y si sospecha que es un programa, recién ahí le pide un desafío para validar dicha suposición. En un amplio porcentaje de los casos, el usuario solo debe marcar un checkbox para poder avanzar, lo cual ha significado un aumento de usabilidad muy sensible para los usuarios cuando se lo compara con los históricos captcha que presentan imágenes difíciles de leer o puzles visuales.

Pueden encontrar ejemplos y más información en https://www.google.com/recaptcha/intro/index.html

Uso de geolocalización

Si yo siempre accedo desde mi oficina en Manentia, ¿no sería buena idea solo pedirme un segundo factor de autenticación cuando no estoy en la oficina?

Uso del dispositivo

Al igual que en el caso anterior, si mis accesos al sistema siempre han sido utilizando mi smartphone y mi notebook, quizás el sistema debería pedirme un segundo factor únicamente cuando acceda desde un nuevo dispositivo.

Otra alternativa o complemento es notificar al usuario cuando alguno de estos patrones se rompe, para que pueda tomar una acción en caso de que no haya sido él el responsable.

Gestión inteligente de límites

En el caso de la banca digital, utilizar límites de dinero como factores de determinación del tipo de autenticación que voy a exigir al usuario. Por ejemplo, no requerir el ingreso de una clave one-time-password para ingresar a consultar los saldos, pero si antes de hacer una transferencia por más de U$S 1.000.

Entendiendo el contexto de nuestros usuarios

¿Qué hacen los usuarios? ¿Donde? ¿Utilizando qué dispositivos? ¿Qué mecanismo de seguridad es el más y menos vulnerable en el contexto de mis usuarios específicos?

Por ejemplo, una tarjeta de coordenadas puede parecer una buena idea y muy barata para agregar un segundo factor a una plataforma de banca digital móvil o web. Pero mi usuario la va a dejar en su billetera o, peor aún, en el cajón de su escritorio, sin prestarle atención hasta el momento en que la necesite.

Por lo que si alguien se la roba, o le saca una foto, tiene acceso a su credencial sin que el usuario se dé siquiera cuenta.

Que tal si en lugar de esto cada vez que el usuario va a hacer una transaccion le enviamos un mensaje de texto (SMS) informando de dicha transaccion y dando la opción que responda “NO” si no está de acuerdo en ejecutarla en los siguientes 15 minutos.

En este contexto estamos usando el celular como credencial, dispositivo que todos nuestros usuarios en LatAm poseen y que de perderlo van a identificar de forma inmediata porque es parte integral de su vida cotidiana.

  • long-exposure-lights¿Para qué performance? La primera experiencia que se percibe de un producto es esencial para su relación con el  usuario. En la web ocurre lo mismo y esto habitualmente determina si la persona vuelve al sitio o […]
  • herramientas para maderaDiseñando para la performance web En mi rol como generador de interfaces de usuario busco interactuar de la mejor manera con los distintos actores en una empresa de software. Por tal motivo resumí en esta guía práctica, […]

Publicar comentario

Un comentario sobre “Seguridad y usabilidad, ¿enemigos íntimos?”

  • Nacho

    abril 21, 2016

    La pregunta del millón es si los usuarios están lo suficientemente confiados en utilizar ese tipo de credenciales, que son directas y dependen solo de donde estás o que dispositivo tenes junto a vos. Una cosa que siempre hablamos es que nos parece mala idea los campos de password que no te permiten hacer PASTE, que traen como consecuencia poner contraseñas fáciles de escribir, lo cual son fáciles de recordar, las cuales son fáciles por definición.