Thursday, January 31, 2013

Kjære BankID

Vi er nok ikke verdens beste venner, jeg er smertelig klar over det. Bruken av Java, sentrallagret PKI som strider mot etablerte prinsipper, BankID på mobil som bare fungerer med noen operatører & modeller, samt diverse andre problemer... jeg nevner i fleng.

Likevel er jeg frekk nok til å komme med et veldig enkelt endringsforslag som kan gjøre brukeropplevelsen *litt* bedre ved innlogging i nettbank fra PC.

Her er kortversjonen:


Jeg vil ha en dialogboks hvor jeg kan velge å skjule min engangskode og mitt passord. Som standard skal begge være synlige på skjerm når jeg taster dem inn. Takk.

Den litt lengre versjonen:

Min bank - anonymisert for å beskytte de relativt uskyldige, serverte meg en advarsel da jeg skulle logge meg inn i nettbanken min. Den så slik ut:


Jeg lar tvilen komme banken min til gode i forhold til å ramme dette inn i rødt. Det skulle nok vært en positiv melding, men røde rammer rundt et lite stykke tekst oppfattes ihvertfall som en advarsel i mitt enkle hode. Så jeg taster inn min statlig tildelte brukerid - mitt personnummer. Det er 206 mulige (gyldige) kombinasjoner tilgjengelig for min fødselsdato, ikke mer enn at man kan teste dem for hånd med litt tålmodighet.

Så kommer vi til java innloggingen deres. Smakfullt utformet av erfarne UX folk. Av forståelige grunner har jeg sensurert litt personlige opplysninger her, men her er altså bildet med som viser den lille endringen dere har gjort:

Sladdet tekst er 6 sifre fra min "kodekalkulator" - nå ikke lengre maskert som ******
I følge denne meldingen hos dere så er denne endringen gjennomført fordi mange tastet feil kode.
TUSEN TAKK - dette er en endring til det bedre! (Se, jeg gir litt skryt til dere!)

Jeg vet utmerket godt at det kan være lett å taste feil i et slikt bilde, selv når det bare er snakk om noen få sifre. Det å fjerne 'sladden' er i så måte et godt tiltak. La oss gå videre, nemlig til bildet hvor jeg skal taste inn mitt personlige passord:
Her taster du inn ditt passord - pent sladdet med *******************
Jada, jeg har lest meldingen deres om at det ikke er noe poeng i å skjule engangskoden - når man trykker Ok kan den aldri mer brukes igjen allikevel. Passordet derimot skiftes sjelden, og derfor maskerer dere passordet 100%.

Det jeg ønsker meg er en avkrysningsboks på begge skjermene vist over som lar meg velge hvorvidt jeg vil se engangskoden og passordet mitt på skjerm eller ikke. Omtrent slik:

Klikk på boksen for å skjule mitt passord!
Jeg vil gjerne se denne opsjonen tilgjengelig på begge skjermene - OG jeg ønsker at både kode og passord skal vises på skjermen som standard. Så kan jeg selv velge å skjule dem, dersom jeg sitter i et lokale hvor jeg føler meg overvåket og ikke stoler på noen. Om noen i slike omgivelser ville ønske å bruke nettbank blir et spørsmål som er fristende å stille....

Å skrive inn en 6-sifret kode kan slå feil, og skaper unødvendig irritasjon. Det gjør nok feilskrevet passord også. Ovenstående vil bidra til en bedre brukeropplevelse, mindre irritasjon og mindre behov for support fra bankene. Samtidig er min påstand - gitt det vi kjenner av trusler i dag - at ovenstående ikke vil representere noen nevneverdig økt risiko for brukerne. Dessuten kan dere jo logge hvorvidt brukeren valgte å skjule  kode/passord, samt geolokasjon for innlogging?

Før dere erklærer meg ruskende gal, her er en bloggpost som viser og forklarer litt mer i detalj hvordan dette kan gjøres for mobile plattformer. Det er nemlig andre som gjør dette allerede, og alt tyder på at det er et smart valg.

Venter spent på svar.

Ærbødigst,
Per Thorsheim

3 comments:

  1. Ganske så enig, Per. Men skulle ønske vi hadde noe mer håndfast å støtte oss på når det gjelder brukervennlighet kontra sikkerhet i skjuling/inntasting av passord. Både LukeW og Jacob Nielsen synser bare om dette. Vi vet nemlig at kikking over skulderen er et problem, bare spør kortselskapene. Det vil si at trass i sine mangler, så gjør faktisk skjulingen en nytte i mange situasjoner.

    Bloggposten du henviser til nevner at en del utstyr faktisk "ødelegger" skjulingen av passord med de latterlig store bokstavene som popper opp på skjermen. Og det å taste noe i skjul på en iPad er praktisk umulig i utgangspunktet. Her har skjulingen ofte liten effekt, og ting burde vært løst på en annen måte. Men er det da skjulingen, eller input-metoden som er feil?

    Jeg benytter meg villig vekk av muligheten til å taste et synlig passord. Men til forskjell fra mange andre, så er jeg bevisst på om noen står og kikker.

    ReplyDelete
  2. If it´s broken - don´t fix it!

    ReplyDelete
  3. De fleste driver ikke å betaler regnigner når de sitter på pub'en eller på bussen, de fleste bruker dette i lukkede settinger. For veldig mange så er det enten samboer/ektefelle som kansje svinser rundt, eller som for oss andre: skulle det være noe titting over skulderen er det bare å melde seg på Åndenes Makt.

    Det er greitt å få valget selv, BankID er den siste instansen til å vite om skjuling eller visning er bra eller ikke.

    ReplyDelete

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.