בבנק לאומי לא מבינים את חוויית המשתמש
אחרת איך אפשר להסביר את העובדה שכל-כך קשה למשתמש חדש להכנס למערכת שלהם? סיפור אישי, והזמנה להרצאה על עיצוב חוויית המשתמש.
ישיר לאומי הוא שריד למה שפעם היה “הישיר הראשון”. סניף 678 של בנק לאומי שמספק את כל שירותיו דרך האינטרנט והטלפון. בנק ללא סניפים. סניף כזה, כך היינו מצפים, היה עושה הכל כדי שיהיה קל למשתמשים לעבור דרכו, אבל לא כך בלאומי. היום ישיר לאומי הוא שירות האינטרנט של כל לקוחות בנק לאומי.
כדי לסייע באבטחה של החשבון, מי שנרשם לשירותי האינטרנט של לאומי מקבל שתי מעטפות הביתה: אחת עם זיהוי המשתמש, והשניה עם סיסמה זמנית. בהתחברות הראשונה לאתר, המשתמש מזין את המידע מהמעטפות לדף “כניסה ראשונה לחשבון שלי” שמופיע כאן למעלה ובוחר סיסמה חדשה. עד כאן די קל וברור.
העניינים מתחילים להסתבך כשמנסים לבחור סיסמה. בהיעדר הנחיות על המסך, המשתמש יכניס את הסיסמה שנוח לו לזכור. אולי זה יהיה מספר הזהות שלו או של אשתו, אולי מספר טלפון מוכר או שמו של אחד הילדים. רובנו עושים כך. התשובה של לאומי:
“לקוח/ה נכבד/ה: הסיסמה החדשה שהקשת נדחתה. אנא הקש/י סיסמה חדשה בהתאם להנחיות”. נשים לרגע בצד שהם כנראה יודעים אם אני גבר או אישה בנקודה הזו, ונניח שהם לא רצו לקחת סיכון ולקרוא לי בג’נדר הלא נכון, אם היתה טעות בהקלדת הנתונים שלי. תחשבו על הסיטואציה שבה נמצא מי שמגיע לדף הזה: הוא לקוח חדש, זו הפעם הראשונה שהוא משתמש במערכת, ואם זה לקוח שהוא לא טכנולוגיסט כמוני, כנראה שהוא ינסה עוד פעם פעמיים ואז יתקשר לנציג התמיכה הטכנית, שמספר הטלפון שלו מופיע למטה.
לכאורה, פתרון טוב: מי שתכנן את הדף נתן תשובה לכל מי שלא הסתדר. אבל כמה זה עולה ללאומי להחזיק את כל אנשי השירות האלה? אי אפשר היה למצוא פתרון טוב יותר?
נכון, הם נתנו פתרון נוסף. כפתור סימן השאלה. משתמשים רבים כנראה לא ישימו לב אליו, בטח כאלה שהם לא מנוסים במערכות כאלה – הם יעדיפו להתקשר. גם אם לחצו על סימן השאלה, מה הסיכוי שלהם להבין את הטקסט שכתוב? הוא ארוך, מורכב ומייגע:
בחר סיסמה חדשה, השונה מהסיסמה הנוכחית. הנחיות לבחירת סיסמה חוקית:
- הסיסמה חייבת להכיל בין 6 ל-12 תווים, ולהיות מורכבת מאותיות לועזיות וספרות בלבד ללא רווחים.
שים לב! בששת התוים הראשונים יש לשלב אותיות וספרות.- לא ניתן לכלול רצף של ספרות או אותיות שהן זהות (למשל, 111), עוקבות (למשל, 123), או סמוכות על המקלדת (למשל, QWE).
- לא ניתן לכלול סימנים שאינם אותיות לועזיות או ספרות, כגון: %, $, * וכדומה.
דוגמה לסיסמה לא תקינה: ABC123
דוגמה לסיסמה תקינה: DEMO15
בדוגמאות למטה הם אפילו לא טרחו לכתוב למה הסיסמה השניה תקינה והראשונה לא, למי שמנסה לפענח את ההסבר.
התשובה של טוויטר
בטוויטר, למשל, הבינו שהרשמה לאתר הוא צעד קשה וחשוב, וכדי שאנשים יעברו אותו בהצלחה ובלי תמיכה טלפונית. לטוויטר אין בכלל תמיכה טלפונית, אגב – תארו לעצמכם כמה זה היה עולה להם להחזיק שירות כזה!
הם עשו דבר כזה:
הם כותבים: 6 תווים או יותר, ומנחים אותך להיות ערמומי בבחירה שלך: be tricky. כמה פשוט!
הם גם נותנים משוב תוך כדי הקלדה:
כמובן שעם דרישות האבטחה של לאומי היה צריך לתת פה טקסט מעט יותר מורכב, אבל זה עדיין עדיף על להסתיר את זה בתוך החלונית של סימן השאלה. החלונית, אגב, נפתחת בגודל אפס (חייבים להגדיל אותה כדי לקרוא) כשמשתמשים ב-Firefox.
האם זו הדרך הראויה להכניס לקוח חדש למערכת? האם לא היה שווה להשקיע עוד קצת מאמץ בבדיקות עם משתמשים
הרצאה על עיצוב חוויית המשתמש
רוצים לשמוע עוד? מחר אני מעביר הרצאה חינמית דרך הרשת (webinar) בנושא “עיצוב חוויית המשתמש”. אם אתם עוסקים בפיתוח, תכנון ועיצוב אתרים או מערכות תוכנה, אני מאמין שהיא שיעניין לכם להקשיב. בהרצאה אני נותן עוד כמה דוגמאות כאלה, וגם רעיונות איך לשפר את חוויית המשתמש. במהלך ובסוף ההרצאה ניתן יהיה לשאול שאלות.
ההרצאה תתקיים מחר, יום שלישי ה-19/1/2010, 15:00-16:30, אצלכם במחשב, וללא תשלום. השעה הראשונה תוקדש בעיקר להרצאה ומעט שאלות, ובחצי השעה שאחרי ההרצאה תוכלו לשאול שאלות הקשורות לתחום, ואני אשתדל לענות כמיטב יכולתי.
להרשמה להרצאה:
https://www1.gotomeeting.com/register/796583993
משתתפים בהרצאות קודמות מספרים
קיימתי את אותה ההרצאה השבוע, הנה מה שהמאזינים אמרו:
“נתן טעם של עוד”, בילי
“אתמול הקשבתי להרצאה שלך, היא הועברה בצורה מאוד מענינת ותרמה לי לא מעט על אף הנסיון שיש לי בתחום”, פנינה
“תודה רבה על ההרצאה המעניינת והמעשירה… היה מאוד מעניין לשמוע וללמוד קצת את הנושא. כל הכבוד גם על החדשנות שבהעברת הרצאה ברשת בזמן אמת. “, אתי
“תודה, נהנתי להקשיב. שמחה על ההזדמנות ללמוד ממך.”, רוית.
אתם מאוד מוזמנים להקשיב. >
עוסק בממשק משתמש ושמישות כבר הרבה שנים, ועדיין נהנה מזה. הבעלים והמנכ"ל של 
18.01.2010 בשעה 10:49
מה שמדהים הוא שפקד בדיקת סיסמא ב – AJAX הדומה לפקד טוויטר ניתן להוריד מאתרים רבים אבל המתכנתים של האתר של לאומי לא טרחו להוסיף אותו. למעשה אני מכיר מעט מאוד אתרים שמשתמשים בו למרות שהוא מאוד נוח ושימושי
18.01.2010 בשעה 11:45
אני חושב שהבעיה מתחילה לפני המתכנתים – במאפיינים/מנתחי המערכות/מעצבים שתכננו את האתר. עם כל ההערכה למתכנתים (ויש הרבה!) בארגון בסדר גודל כזה אני משער שלא משאירים להם החלטות כאלה.
18.01.2010 בשעה 12:33
נכון, אין הרבה מה להאשים ראת המתכנתים בכאלה דברים, הם סך הכל מקבלים הנחיות בארגונים שכאלה.
הבעיה היא בארגון עצמו, שמסרב להיות מודע לבעיה הזו (לקח להם כמה שנים טובות בכלל לתמוך בשועלש, כמו לשאר אתרי הבנקים).
בשורה התחתונה – הבנקים מאמינים שאנחנו פה כדי לשרת אותם, אז למה להקל עלינו? אלו אנחנו שצריכים להקל עליהם, לא?
18.01.2010 בשעה 13:39
ואני תוהה מה יש להם נגד “סימנים מיוחדים”או סימני פיסוק בסיסמא?
אחת הדרכים היעילות ליצירת סיסמא חזקה אבל קלה לזכירה היא להחליף אותיות/מספרים בסימני פיסוק.
למשל, במקום
HelloWorld1
להשתמש ב-
#€ll0w@rlD1
אבל לא- “לא ניתן לכלול סימנים שאינם אותיות לועזיות או ספרות, כגון: %, $, * וכדומה”.
18.01.2010 בשעה 13:41
ומסתבר שהכיווניות של הסיסמא המוחלפת כאן לא מוצגת טוב- אבל בגדול רוב האותיות הוחלפו בסימני פיסוק שיש להם אסוציאציה חזותית דומה.
h ב-#
e ב-€
וכו’
18.01.2010 בשעה 14:18
Xslf, אני לא בטוח שכל אחד היה משתמש בשיטת הקידוד הזו, אבל בהחלט נהוג להשתמש בסימנים מיוחדים בסיסמה כדי לחזק אותה, והאיסור עליהם כאן הוא לא שגרתי.
18.01.2010 בשעה 14:25
אולי חוויית המשתמש בטוויטר יותר טובה, אבל הישום שלהם של אכיפת הססמאות האסורות רחוק ממושלם, דווקא מהבחינה הזאת האתר של לאומי יותר מוצלח:
http://blog.wundercounter.com/2009/12/twitter-and-avoiding-weak-passwords.html
18.01.2010 בשעה 14:25
אני מניח שבאמת זה לא בידי המתכנתים (לפחות לא אלה שבסופו של דבר בונים את הדף), אלא עניין של הגדרה ועיצוב. אין ספק שכל המתכנתים שבנו את האתר מכירים (ואם הם לא מכירים, אני ממליץ לכל המשתמשים להתרחק מהאתר מיד) יותר מדרך אחת להעביר את הטקסט בשדות השונים ולידציה בצד הלקוח, בין אם שימוש בכלים וספריות של הפלטפורמה או ספריות פתוחות כמו JQuery המעולה. כמובן שאם נמנעו משיקולי אבטחת מידע, אפשר גם את ספריות הקוד להעביר ביקורת מקיפה כדי לוודא התאמה לצרכי הפרטיות של האתר וכו’, או לבנות פקד ב-JavaScript משלהם, זאת באמת לא בעיה.
אגב, ברק, אשמח מאוד לצפות בהרצאה, אבל לצערי שעות העבודה לא מאפשרות. האם תהיה דרך להוריד גירסה מוקלטת שלה לאחר מכן?
18.01.2010 בשעה 15:56
יונתן,
מאחר ואלו סיסמאות אסורות לשימוש שנחסמות על-ידי הממשק, אין סיבה ממש להסתיר אותן בקוד. אני לא בטוח מה הנקודה החיובית שלך לגבי היישום של לאומי בעניין הזה.
אלון,
הקלטה של ההרצאה לא תהיה זמינה בשלב זה ברשת, אבל ייתכן שהיא תהיה בהמשך. באתר של העסק שלי (www.uniqui.co.il) יש רשימת תפוצה של טיפים מקצועיים, אתה יכול להירשם שם (צד שמאל למעלה), בוודאי אודיע שם כשהיא תהיה זמינה.
20.01.2010 בשעה 11:53
ברק,
ראה בבקשה:
http://securosis.com/blog/password-policy-disclosure/
כמו כן, מניעת שימוש ב-370 מילים בטלה בשישים.
כאשר מדובר בשירותי בנקאות, ישנה הצדקה לפגיעה בחוויית המשתמש כדי לחזק את אמצעי ההזדהות.
נכון שהיה אפשר לשלב בקוד חיווי ויזואלי לחוזק הססמה, אולם הליך יצירת הססמה בטוויטר אינו דוגמה טובה.
20.01.2010 בשעה 13:15
יונתן,
אתה מתייחס לאספקט טכני צר של עניין הסיסמה, שהוא לגמרי לא שייך לחוויית המשתמש. את המשתמש זה לא מעניין *איך* טוויטר יודע להגיע לו שהסיסמה חלשה. יכול מאוד להיות שכמו שהמאמר שאתה מפנה אליו אומר, יש כאן פגיעה באבטחה. העניין הוא שהמשתמש מקבל חיווי מיידי שמסייע לו ליצור סיסמה טובה, בלי postback (לשלוח את הדף לשרת) ובלי שהוא צריך לחפש עזרה נוספת. זה עיקר העניין בפוסט הזה. הליך יצירת סיסמה בטוויטר הוא דוגמה מצויינת בהקשר הזה.
המימוש מאחורי הקלעים הוא נושא ראוי לדיון נפרד, והוא בלתי תלוי בתצוגה.
אגב postback, כשבוחרים סיסמה שהיא לא “תקנית” לפי חוקי לאומי, כל הטופס נמחק וצריך להזין אותו מהתחלה, חוויה מעצבנת ומיותרת בפני עצמה כשהתעבורה בין הדפדפן לשרת מוצפנת https.
24.01.2010 בשעה 13:55
האם יש אפשרות לראות/לשמוע/להוריד את הרצאה על עיצוב חוויית המשתמש שנתת?
24.01.2010 בשעה 14:44
היי עודד,
בינתיים אין, אבל ייתכן מאוד שבהמשך תהיה אפשרות.
אם מעניין אותך, יש סדנה שאני מעביר (בתשלום), מתחילה בשבוע הבא, סביב אותו נושא:
http://sadna.uniqui.co.il
27.01.2010 בשעה 16:03
היות ואני מכין עבודה בנושא מדיה חברתית ,ברצוני לדעת
מיהו קהל היעד אליו מיועד האתר?
ואם יש מרכיבים באתר הכללי שלך מלבד הבלוג המהווה מרכיב עיקרי מתחום המדיה החברתית ..
אשמח למענה תודה
02.02.2010 בשעה 14:58
עוד כמה מילים על בנק לאומי מזווית “אמא ואבא שלי” – באופן מפתיע אני נוטה לראות את ההורים שלי בתור משתמשים שצריכים שדברים יעשו עבורם בקלות. שניהם בעלי השכלה על תיכונית, פנסיונרים כמובן, שיודעים להפעיל מחשב ולכתוב מיילים. שניהם קוראים אנגלית, אבל שניהם מתארים תקלה במחשב במילים: “הופיע לי פה במסך מן ריבוע” – בקיצור, החומר להתעסק בו.
ובכן כל פעם שההורים שלי נכנסים לחשבון הבנק שלהם באתר – הם צריכים לאפס סיסמא, או לבקש מחדש פתיחת חשבון, ולהתעסק במעטפה המוצפנת המגיעה מן הסניף וכו’.
אכן ממשק מחורבן.
עוד משהו שהבנק אינו מבין הוא מהי אבטחת מידע. סיסמא מסובכת שצריך לזכור להחליף באופן תדיר ושכלליה מכילים סיבוכיות קוגניטיבית מובנית בלתי אפשרית, מזמינה שירשמו אותה על פתק, וזו.. אם אנשי הבנק עוד לא הבינו, פרצת אבטחת המידע הגדולה ביותר.