Brugere ignorerer forkert designede sikkerhedsadvarsler

google chrome ny ssl advarsel
Opinionated design, der gør det svært at træffe det forkerte valg, giver de bedste resultater, når man skal designe en sikkerhedsadvarsel.

Phishing, ransomware og APT-angreb har ofte én forudsætning til fælles: På et tidspunkt er der en bruger, som skal reagere på en sikkerhedsadvarsel og vælge at trodse advarslen og alligevel åbne den usikre fil eller besøge det usikre websted.

Brugeren er et svagt led i sikkerhedskæden, og så længe brugeren har mulighed for at træffe en usikker beslutning, så vil systemet kunne kompromitteres. Men det er muligt at få brugeren til at træffe det rigtige valg næsten hver gang.

Det kræver, at man designer sine sikkerhedsadvarsler på en måde, som gør det usandsynligt, at brugeren alligevel gør det forkerte.

»En advarsel skal beskytte brugeren mod en forestående fare. Målet er at få brugeren til at stoppe dét, brugeren er på vej til at gøre, og det er svært at designe sig til,« siger Mandy Waite, developer advocate hos Google Cloud.

Som udvikler, der designer en sikkerhedsadvarsel til brugeren, skal du altså ikke bare advare om faren. Du skal få brugeren til at stoppe dét, brugeren var i gang med, uanset hvor motiveret for at gøre det, brugeren måtte være.

Gør det svært for brugeren

Ser man på phishing-mails, så er der typisk elementer, som skal motivere brugeren til at ignorere advarsler. Det klassiske eksempel er, når brugeren modtager en mail, der udgiver sig for at stamme fra brugerens bank med en advarsel om, at kreditkortet er ved at blive misbrugt eller spærret.

Målet fra bagmændenes side er at få brugeren til at klikke på et link i mailen og afgive oplysninger på en usikker hjemmeside. For at få brugeren til at ignorere eventuelle sikkerhedsadvarsler, så er budskabet, at brugeren skal skynde sig at reagere, og at konsekvenserne af ikke at handle vil være alvorlige.

Den gode nyhed er, at det er muligt at få næsten alle brugere til at træffe det rigtige valg ved at designe advarslerne efter principper, som på visse punkter kan gå imod klassisk brugervenlighed, fordi man eventuelt skal gøre én af valgmulighederne så svær at komme til som mulig.

Det kaldes for 'opinionated design', når man guider brugeren til at træffe et bestemt valg, og det har vist sig at være effektivt til disse situationer, hvor man skal få brugeren til at skifte retning.

I interaktionsdesign er det normalt et princip, at funktioner skal være 'discoverable', altså at de ikke må være for svære at opdage. Men når man designer eksempelvis en advarsel om et usikkert websted, så skal muligheden for alligevel at fortsætte til siden være svær at nå til for brugeren - hvis den overhovedet skal kunne nås.

Et oplyst valg

For at kunne gøre det uden at gøre brugeren mere vred end højest nødvendigt, så skal brugeren først forstå, hvad sikkerhedsproblemet består i.

»Brugeren skal gøres i stand til at træffe et oplyst valg. Egentligt burde det i sikkerhedstilfælde slet ikke være et valg, men det gør man alligevel. Så brugeren skal forstå, hvad der kan ske - eksempelvis at nogen kan opfange et kodeord,« siger Mandy Waite.

Microsoft har udviklet en række af principper for sikkerhedsadvarsler, som kan koges ned til, at når man skal kommunikere gennem en dialogboks, så gælder det om meget klart at fortælle brugeren:

  • Hvem er det, der beder brugeren træffe en beslutning (altså om det for eksempel er webstedet eller browseren).
  • Vise hvilke trin brugeren skal gennem for at træffe en god beslutning.
  • Forklare hvilke dårlige ting, der kan ske ved at træffe den forkerte beslutning.
  • Fortælle brugeren, hvad brugeren kan bidrage med af viden.
  • Vise valgmulighederne, men tydeligt anbefale én.
  • Fremhæve information, som brugeren skal tage med i overvejelsen - eller slet ikke må tage med.

En ting er principperne for, hvad der skal fortælles, noget andet er, hvordan det skal gøres. Her er det vigtigt:

  • Brug ikke-teknisk sprog. Det skal også kunne læses af brugere, som ikke er stærke læsere.
  • Det skal være kortfattet.
  • Risikoen skal være specifik (eksempelvis at andre kan aflytte et kodeord eller kreditkortoplysninger).
  • Men der skal samtidig være tilstrækkelig information til at træffe en beslutning.

Det vil være en afbalancering at opfylde punkterne, fordi det eksempelvis kan være vanskeligt både at være specifik omkring risikoen, uden det bliver alt for teknisk. Det kan også være svært at levere nok information uden at få skabt alt for meget tekst.

Mandy Waite fra Google anbefaler, at man - selv om det kan være fristende som udvikler - undgår de komplette tekniske beskrivelser. Målgruppen for en sikkerhedsadvarsel er som regel ikke softwareudviklere. De teknisk interesserede kan man eventuelt give en håndsrækning med link til yderligere information.

Test og justér

Principperne er i og for sig ikke banebrydende i forhold til de tanker, softwareudviklere og forskere i brugerinteraktion har gjort sig i årtier, men det kan være svært at ramme rigtigt, og selv småting kan gøre en stor forskel. Derfor er bør man forberede sig på at skulle justere, når systemet testes af rigtige brugere.

Google lavede i 2014 en undersøgelse i samarbejde med University of Pennsylvania, som skulle undersøge, i hvor høj grad brugerne traf det forkert valg, når de blev præsenteret for en advarsel om et problem med en hjemmesides SSL-certifikat.

Sådan så Googles advarsel om certifikatfejl ud i Chrome, før Google skiftede til opinionated design.

Forskellen på den gamle advarsel og den nye formulering var, at blot 30 procent fulgte anbefalingen og forlod den usikre side med den gamle advarsel. For den nye advarsel var det knapt 60 procent, som fulgte anbefalingen.

Undersøgelsen viste imidlertid også, hvorfor det er nødvendigt at teste og måle på sikkerhedsadvarsler med eksempelvis A/B-test. Google testede både den nye formuleringen i en boks med grå baggrund og en boks med gul baggrund. Stik imod Google-folkenes forventning, fungerede den gule boks cirka fem procentpoint dårligere end den grå.

I den nye SSL-advarsel reducerede Google teksten og fjernede den tekniske forklaring for i stedet at lægge vægt på mulige konsekvenser for brugeren. Samtidig blev muligheden for at gå videre på trods af advarslen skjult under 'avanceret', som blot var et tekst-link, mens den anbefalede handling var en normal knap.

Den nye advarsel baseret på opinionated design giver stadig mulighed for at fortsætte, men det er gemt under 'Avanceret', som blot er et tekstlink, mens det sikreste valg er en knap, som bruger samme blå farve, som Google generelt bruger til 'action'-knapper.

Tekst mindre vigtig end knapperne

En interessant pointe fra Googles undersøgelse af den gamle og den nye SSL-advarsel er, at selskabet forsøgte at bruge den nye, enklere test sammen med den gamle SSL-advarsel. Det i sig selv gjorde ingen signifikant forskel. Dét, der gjorde en forskel, var at gøre knappen til at trodse advarslen sværere tilgængelig.

Efterfølgende undersøgelser, som Google har foretaget, viser, at cirka 75 procent nu træffer det rigtige valg og følger anbefalingen. Men de viser også, at effekten for en SSL-advarsel aftager, så når brugeren har fået meddelelsen mere end fire gange, så er det kun cirka halvdelen, som følger anbefalingen.

Der er altså en tendens til, at brugere kan blive trætte af en advarsel og begynde at ignorere den. Men det varierer fra advarsel til advarsel. Googles tilsvarende advarsel i Chrome mod download af uønsket software holder sig på mere end 95 procent succesrate selv efter gentagne advarsler.

Det er interessant, at Google ikke så ud til at opnå væsentlige resultater alene ved at informere brugeren med en bedre tekst, så brugeren i princippet kom til at forstå risikoen. Dét, der virkede, var at gøre det bedste valg meget lettere tilgængeligt end det dårlige valg.

Forskel på advarsler

For user interface-designere kan det altså i visse tilfælde betale sig at anvende opinionated design. Problemet kan være, hvis man anvender det på sikkerhedsadvarsler med mange falske positiver, fordi brugerne så alligevel ignorerer dem.

Googles advarsel mod en side, der indeholder malware, bruger samme opbygning som advarslen mod en usikker SSL-forbindelse, men er helt rød i stedet for grå.

At advarsler om utilsigtede eller ondsindede fildownloads eksempelvis ser ud til at have en meget høj rate af brugere, som træffer det rigtige valg, kan så indikere, at teksten og farvevalget trods alt spiller en rolle, da konstruktionen i Googles tilfælde er stort set den samme, men advarslen om malware på en side er knaldrød.

»Der er altså en forskel på at vise en advarsel om en HTTPS-fejl og på at vise én om uønsket software. Så det er vigtigt er at måle på effekten af en advarsel og eventuelt lave A/B-test. Der er som regel altid plads til forbedring,« siger Mandy Waite.

Principperne i opinionated design kan også anvendes andre steder en blot sikkerhedsadvarsler, hvor der er behov for at guide brugeren, og hvor udviklerne har stor tiltro til, at et bestemt valg vil være det rigtige, men igen er det vigtigt at blive ved med at teste for at undgå, at brugerne begynder at blive blinde over for årsagen til, hvorfor ét valg er bedre end et andet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (6)

Kommentarer (6)
Henrik K. Jensen

Hvis formålet var at forhindre brugeren, ville en blokering være mere korrekt end en advarsel.
Formålet må være at oplyse om mulige risici, så brugeren kan afveje om det er værd at løbe dem.
Det betyder også at det rigtige valg sagtens kan være at ignorer sådan en advarsel.

Henrik Biering Blogger

Problemet med disse advarsler er at de står i vejen mellem brugeren og noget brugeren ønsker at opnå. Accepterer brugeren advarslen har han udsigt til en mere besværlig vej til sit forehavende.

Når der som ofte står en søgemaskine bag browseren, ville det f.eks. være meget mere motiverende for en bruger at få at vide at siden har sikkerhedsproblemer, og man i stedet får ét eller flere forslag til andre sider, der indholdsmæssigt bedst muligt matcher den aktuelle side. Det ville være relevant i forhold til f.eks. e-handel.

Er det ikke muligt/relevant med en alternativ side kunne der være mulighed sor at sende en besked til sideejeren om at få løst problemet og svare tilbage, når det var gjort. Det kunne især være relevant, hvis det f.eks. var en offentlig myndighed, der havde malware eller ikke havde styr på sine certifikater, så denne handling kunne have frigørende virkning over for eventuelle indberetningsfrister.

Jørgen L. Sørensen

... i form af for mange (fejlagtige) advarsler.

Er et f.eks. kun min Thunderbird der sætter en rød bjælke med "Denne mail er måske mailsvindel" i en del mails fra ing.dk eller version2.dk angående nye kommentarer i de tråde jeg følger?

Det sker også i meget få mails fra andre personer - men da jeg kun får ret få mails ligger det i rygraden at jeg lige skal tænke mig om. Men hvis jeg havde haft en arbejdsmail, eller stor berøringsflade i form af hobbies og lignende kunne jeg godt forestille mig at paraderne måske ikke var helt oppe.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017