Embora os UX designers normalmente busquem tornar os produtos mais fáceis de usar, há casos em que a inclusão de atritos aprimora a segurança do produto. Por exemplo, a autenticação de dois fatores deixa o processo de login mais demorado, porém pode reduzir as chances de roubo de identidade. Além disso, existem situações em que adicionar atritos simplesmente leva os usuários a sentirem segurança: apesar de barras de progresso animadas não protegerem os dados pessoais, podem suprir as expectativas dos usuários quanto à necessidade de maior poder de processamento em um ambiente seguro.
Os designers de produtos rotineiramente procuram maneiras de harmonizar a usabilidade com a segurança do usuário. Por vezes, isso implica implementar recursos que os usuários julgam seguros. Por exemplo, ainda que a maioria dos produtos digitais possa computar instantaneamente dados complexos, pesquisas mostram que tempos de carregamento artificiais proporcionam aos usuários a sensação de que um sistema avançado está operando diligentemente em seu benefício. No entanto, se os designers se apoiam excessivamente em funcionalidades que apenas dão a ilusão de reforçar a segurança (conhecido como teatro de segurança), podem fazer os usuários acreditarem que suas informações estão mais seguras do que realmente estão.
Recursos que aprimoram a segurança na Experiência do Usuário (UX)
A verificação de identidade é um fator vital da segurança em UX. Infelizmente, nomes de usuário e senhas não são medidas de autenticação confiáveis: em 2021, 85% dos ataques de phishing miraram as credenciais dos usuários. Phishing é um tipo de fraude na qual um invasor mal-intencionado tenta coletar informações confidenciais de uma vítima se passando por uma pessoa, departamento ou organização legítima. Para combater esse problema, os designers estão introduzindo recursos de segurança que estendem o tempo necessário para os usuários criarem e acessarem uma conta. Um exemplo é a autenticação multifator (MFA), que exige vários meios de identificação na criação da conta ou no login. Em grande parte dos produtos que adotam MFA, os usuários precisam fornecer duas das três credenciais:
- Uma forma de identificação, como passaporte ou carteira de motorista, ou uma forma de pagamento, como cartão de crédito
- Informações exclusivas, como senha ou PIN
- Dados biométricos, como escaneamento facial, de impressão digital ou de retina
Um modo de agilizar a MFA e, ao mesmo tempo, manter os usuários seguros é requisitar uma selfie com documento, ou seja, o usuário deve tirar uma foto ou gravar um vídeo segurando um documento oficial próximo ao rosto. Após o envio da selfie, as empresas contam com um funcionário verificando a correspondência entre o rosto e o documento do usuário ou utilizam algoritmos computacionais para checar a autenticidade.
O reconhecimento facial está se popularizando cada vez mais como recurso de segurança no momento do login e também em outras situações. Por exemplo, alguns aplicativos de banco empregam esse método para averiguar a identidade do usuário quando ele deseja acessar detalhes da conta, assinar documentos eletrônicos ou transferir fundos.
Uma forma fácil de confirmar a identidade de um usuário é encerrando automaticamente sua sessão em intervalos predeterminados que variam de trinta minutos a alguns dias. Esse procedimento pode ser considerado irritante para alguns, mas pode proteger usuários que deixam um laptop sem monitoramento, perdem um smartphone ou esquecem de deslogar de um computador público.
Também haverá ocasiões em que os usuários precisarão comprovar que são os verdadeiros proprietários de documentos digitais, como ingressos para eventos e prescrições médicas. A Freja, uma empresa de segurança digital contratada pelo governo sueco, desenvolveu um produto que vinculava com segurança a identidade digital de um usuário (verificada no seu aplicativo) ao passaporte da vacina Covid-19. Esta iniciativa tornou o passaporte muito mais difícil de ser falsificado do que sua versão em papel ou a versão digital disponível em muitos países. Na Suécia e na Dinamarca, por exemplo, os passaportes digitais de vacinação não estão conectados a outros meios de identificação e geralmente são acessados através de um código QR (“QR Code”).
Mesmo com os avanços na verificação digital, algumas empresas, incluindo bancos, ainda exigem que os usuários compareçam pessoalmente para validar suas identidades, principalmente ao solicitar um empréstimo. Nessas circunstâncias, os funcionários examinam minuciosamente a aparência do usuário para se certificarem de que ela corresponde às fotos em seus documentos de identificação. Alguns consideram essa prática um teatro de segurança, alegando que um funcionário poderia realizar essa tarefa sem a presença do usuário. No entanto, as visitas pessoais podem elevar a segurança, pois protegem contra falsificações de fotos e vídeos (as “deepfakes“), que a cada dia se tornam mais difíceis de serem distinguidas de imagens legítimas. Ademais, uma pesquisa do AARP Research apontou que 83% dos adultos com 50 anos ou mais não confiam que suas atividades e informações online sejam privadas. Oferecer a esses usuários a opção de ter seus documentos conferidos pessoalmente pode instituir confiança e fidelidade duradouras ao produto.
Diversos produtos digitais também armazenam informações dos usuários, como endereços, dados de contato, métodos de pagamento e até históricos médicos. Diante desse cenário, embora aumentar as medidas de segurança possa parecer a solução óbvia para garantir um produto mais seguro, essa abordagem pode facilmente resultar em uma frustrante experiência do usuário. O contexto deve ser levado em consideração. Por exemplo, ao projetar um aplicativo de negociação de criptomoedas, o designer poderia permitir que os usuários visualizassem preços e tendências de tokens sem precisar logar, dada a facilidade de encontrar essas informações pelo Google. Entretanto, quando eles decidissem comprar ou vender tokens, seria necessário que fizessem login usando autenticação multifator. Cada ação demanda um nível de segurança diferente.
Há uma relação simbiótica entre Experiência do Usuário e Atrito
A segurança em UX é diversificada, e os usuários têm expectativas específicas em relação a ela: enviar uma mensagem numa rede social deve ser rápido e fácil; enquanto transferir R$5.000,00 para a conta bancária de outra pessoa não deve ser tão simples assim.
No design de interação, muitas vezes o designer prioriza o fluxo para auxiliar os usuários a alcançarem seus objetivos rapidamente. Todavia, não deve ignorar a importância do atrito bem implementado, que eleva a confiança e protege as valiosas informações dos usuários.
Artigo originalmente publicado em https://www.toptal.com/designers/ux/ux-security-using-friction-to-design-safer-products
