當(dāng)我們談?wù)?ldquo;安全設(shè)計(jì)”(Security by Design)的時(shí)候，我們通常指的是“頂層設(shè)計(jì)”、“架構(gòu)設(shè)計(jì)”和“流程設(shè)計(jì)”等高大上的問題，當(dāng)然，這對(duì)于從根本上提升企業(yè)的安全能力至關(guān)重要。但我們今天要談?wù)摰囊环N“安全設(shè)計(jì)”僅與“膚淺”的用戶交互界面有關(guān)，通俗地講是UX設(shè)計(jì)。是的，APP和網(wǎng)頁(yè)“醉人”，也是一種罪，或者說容易讓人“犯錯(cuò)”。

[[324809]]

根據(jù)《用戶界面工程》作者Jared Spool的說法：“(用戶界面)如果不可用，那就不安全。”也就是說，如果您在網(wǎng)站和應(yīng)用程序上設(shè)置了安全保護(hù)措施，但對(duì)用戶并不直觀(例如用戶需要記憶隨機(jī)生成的密碼)，就是形同虛設(shè)，將極大拉低產(chǎn)品的安全底線。

我們已經(jīng)看到智能手機(jī)從密碼(PIN碼)轉(zhuǎn)換為觸摸ID和面部識(shí)別，改善用戶體驗(yàn)的同時(shí)也顯著提高了安全性。UX與安全性貌似已經(jīng)走上了琴瑟和諧的健康道路。但是，對(duì)于新冠疫情期間的iPhoneX用戶來說，佩戴口罩時(shí)解鎖手機(jī)成為一件痛苦的事情，你需要反復(fù)嘗試才會(huì)彈出密碼窗口(蘋果最近更新固件解決了密碼窗口彈出困難的問題)，這導(dǎo)致很多用戶焦躁之余選擇設(shè)置安全性較差的密碼(萬(wàn)幸的是蘋果已經(jīng)開始通過界面交互提醒用戶避開類似000000這樣的無效密碼)。這個(gè)生動(dòng)的案例告訴我們UX設(shè)計(jì)完全可以左右用戶的密碼強(qiáng)度，而當(dāng)環(huán)境發(fā)生變化時(shí)，這種影響力會(huì)發(fā)生正負(fù)轉(zhuǎn)換。

但更重要的是，出色的UX設(shè)計(jì)更加不容易被釣魚攻擊所利用。原理很簡(jiǎn)單，如果你日常約會(huì)的是迪麗熱巴，那么就比較容易辨認(rèn)出冒充迪麗熱巴的微整版鳳姐。

舉一個(gè)搞笑的例子，筆者曾幫一位腿腳不便的朋友翻墻登錄馬里蘭州政府網(wǎng)站更新簽證信息，驚詫地發(fā)現(xiàn)這個(gè)網(wǎng)站居然沒有啟用https，處于明文裸奔的狀態(tài)，筆者的第一反應(yīng)是“會(huì)不會(huì)是個(gè)釣魚網(wǎng)站?”。而更加諷刺的是，根據(jù)PhishLabs的統(tǒng)計(jì)，有六成的惡意網(wǎng)站和釣魚網(wǎng)站已經(jīng)啟用了https(例如下面這個(gè)Paypal釣魚站點(diǎn))。

下面我們從幾個(gè)方面來探討UX與安全性的關(guān)系，以及UX如何影響產(chǎn)品的安全性：

UX與安全性“脫臼”

安全性與品牌營(yíng)銷有緊密關(guān)系嗎?目前看來不但有，而且可能會(huì)是決定性的。如果你是UX設(shè)計(jì)師或者產(chǎn)品經(jīng)理，如果現(xiàn)在還沒有意識(shí)到這一點(diǎn)，那就離“前浪”不遠(yuǎn)了。舉一個(gè)大家耳熟能詳?shù)睦樱曨l會(huì)議應(yīng)用Zoom的UX無疑是出色的，一改過去企業(yè)級(jí)應(yīng)用的猙獰面孔，直觀簡(jiǎn)潔易用，這為Zoom在血腥的視頻會(huì)議市場(chǎng)“木秀于林”加分不少。但是，在安全漏洞被熱炒后，Zoom顯然意識(shí)到了UX與安全脫節(jié)的問題，UX的交互邏輯隱匿或者“疏忽”了很多可能會(huì)影響隱私和安全性的“底層問題”(體驗(yàn)優(yōu)先的代價(jià))，當(dāng)這些底層問題被安全專家們扒出來后，反而對(duì)品牌和產(chǎn)品造成了巨大的傷害。類似的還有福布斯雜志最近曝光小米瀏覽器的隱私違規(guī)問題，都告訴我們，拋開安全設(shè)計(jì)談“體驗(yàn)優(yōu)先”，獲取的用戶忠誠(chéng)度就好比聚沙成塔，一陣風(fēng)就能刮倒。

UX設(shè)計(jì)師和產(chǎn)品經(jīng)理在追求無摩擦用戶體驗(yàn)的時(shí)候，需要時(shí)刻保持清醒，一流的UX，未必具備一流的安全性，舉一個(gè)最顯著的例子，蘋果Apple ID登錄網(wǎng)頁(yè)版更改密碼的時(shí)候會(huì)要求你輸入安全問題，但是“安全問題”在NIST最新的密碼框架中，被認(rèn)為是糟糕的安全實(shí)踐，甚至還會(huì)侵犯用戶隱私。產(chǎn)品設(shè)計(jì)的標(biāo)桿企業(yè)蘋果都無法避免此類問題，說明UX與安全性“脫臼”已經(jīng)是業(yè)界一個(gè)相當(dāng)普遍的問題。

參考閱讀：如何逃離弱密碼黑洞?

糟糕的UX設(shè)計(jì)易于復(fù)制

什么樣的網(wǎng)站和APP更容易被釣魚網(wǎng)站的“五毛”特效冒充?全屏矢量自適應(yīng)還是12306?答案是顯而易見的。

一個(gè)用戶交互體驗(yàn)糟糕、樣式平庸和功能殘破的站點(diǎn)與釣魚網(wǎng)站的相似度往往更高。

網(wǎng)上誘騙或通過虛假消息獲取令人垂涎的數(shù)據(jù)的嘗試通常類似于那些看起來像是敢于拼湊而成的網(wǎng)站。

網(wǎng)絡(luò)詐騙、釣魚或者虛假消息站點(diǎn)更加樂于模仿界面粗糙毫無設(shè)計(jì)感的站點(diǎn)，擺脫怪圈的一個(gè)先決條件就是UX的設(shè)計(jì)應(yīng)當(dāng)喚起合法性和安全性。一個(gè)大型的2C站點(diǎn)或者產(chǎn)品缺乏足夠的UX識(shí)別度是一件非常危險(xiǎn)的事情，而高質(zhì)量的UX站點(diǎn)將同時(shí)為消費(fèi)者和企業(yè)帶來更好的安全性。

高質(zhì)量UX不僅僅是炫酷的設(shè)計(jì)，還包括很多細(xì)節(jié)問題，例如釣魚和詐騙網(wǎng)站往往會(huì)有很多明顯的拼寫錯(cuò)誤。正確的語(yǔ)法、合理的按鈕位置(樣式)以及統(tǒng)一的字體字號(hào)對(duì)于提升信任感至關(guān)重要。

花時(shí)間檢查您的網(wǎng)站是否有拼寫和內(nèi)容錯(cuò)誤(不僅僅是合法性)，總是值得的。

帶有品牌內(nèi)容的響應(yīng)式站點(diǎn)很難模仿

產(chǎn)品UX中的品牌元素就是你的“數(shù)字簽名”。

高質(zhì)量UX往往能使用戶可以輕松識(shí)別廉價(jià)的模仿或惡意欺騙，例如響應(yīng)式站點(diǎn)更難以被釣魚網(wǎng)站復(fù)制，山寨版本的手機(jī)端樣式往往會(huì)破綻百出。

在考慮用戶體驗(yàn)的同時(shí)，除了響應(yīng)式站點(diǎn)外，網(wǎng)站的品牌也同樣重要。

網(wǎng)站的用戶界面將直接反映該品牌。對(duì)于UX來說，情況也是如此，用戶應(yīng)該能夠通過瀏覽站點(diǎn)來直觀了解你的品牌使命。

那些缺乏品牌印記的網(wǎng)站更容易被模仿，用戶也更容易被欺騙。在整個(gè)站點(diǎn)的界面和UX中不斷強(qiáng)化品牌元素，不但能夠提高用戶品牌認(rèn)知度，還能將UX中的品牌元素變成一種視覺上的“數(shù)字簽名”，增強(qiáng)產(chǎn)品的安全性。

將安全前置是糟糕的設(shè)計(jì)

很多網(wǎng)站和APP把冷冰冰的注冊(cè)和登錄密碼窗口推到最前端，用戶要么立刻上報(bào)/驗(yàn)證密碼信息，要么滾蛋。有人認(rèn)為這是最安全的策略，但事實(shí)是這反而會(huì)帶來不必要的風(fēng)險(xiǎn)。

這種安全“懶政”使用戶更容易遭受身份盜用。首先這種登錄窗口“首頁(yè)”更容易被仿制，例如本文開頭的paypal釣魚網(wǎng)站以及Facebook等登錄界面。

此外，想象一下，當(dāng)您在網(wǎng)上商店瀏覽產(chǎn)品時(shí)，立即被要求提供憑據(jù)，圍觀者或者釣魚者可以更輕松地竊取該信息。

事實(shí)上，出色的無摩擦UX設(shè)計(jì)會(huì)在用戶心意已決，準(zhǔn)備結(jié)賬清空購(gòu)物車時(shí)才會(huì)要求驗(yàn)證或者保存用戶的敏感信息。更好的隱私驅(qū)動(dòng)設(shè)計(jì)和更少的操作負(fù)擔(dān)帶來了便利的同時(shí)也提高了安全性。

結(jié)論

用戶體驗(yàn)與安全性并非矛盾體，最好的UX設(shè)計(jì)可以讓二者相輔相成而不是互相打架。安全性植入產(chǎn)品設(shè)計(jì)其實(shí)并沒有太多玄學(xué)，例如安全驗(yàn)證環(huán)節(jié)清晰明確的選項(xiàng)和導(dǎo)航、剔除不必要的信息和錯(cuò)誤、除非必要用戶不必強(qiáng)制登錄等等。思路清晰簡(jiǎn)潔，總之，就是一切以用戶為中心的產(chǎn)品思維，才能打造出無摩擦的安全UX設(shè)計(jì)。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文