Wachtwoordmanagers vormen een bijzondere categorie software. In tegenstelling tot reguliere applicaties werken gebruikers namelijk altijd op twee sporen tegelijk: aan de ene kant is er de wachtwoordmanager, aan de andere kant de applicatie waarin men wil inloggen. Het feit dat applicaties onderling veel van elkaar verschillen, én er optisch anders uitzien dan een wachtwoordmanager, maakt het nog complexer.

UX als antwoord op onnodige complexiteit

Bas raakte betrokken bij MindYourPass toen het product nog in de kinderschoenen stond. In eerste instantie werd hij ingehuurd om trainingen te ontwikkelen. Al in een vroeg stadium merkte hij echter dat veel vragen, fouten en frustraties van gebruikers niet zozeer voortkwamen uit gebrek aan uitleg, maar uit de gebruikerservaring van het product zelf. Omdat Bas in een eerder stadium van zijn loopbaan ook user interfaces had ontworpen, werd hij gevraagd om vanuit die gecombineerde blik, trainer en UX-ontwerper, mee te kijken naar het product.

‍

Het product werkte op dat moment technisch goed, maar de gebruikerservaring was onnodig complex. Zo werden er te veel functionaliteiten tegelijk aangeboden en waren acties niet altijd logisch gepositioneerd in de flow. Omdat het gebruik van een wachtwoordmanager al per definitie complex is, is het belangrijk dat de interface van een wachtwoordmanager geen extra cognitieve belasting toevoegt en gebruikers begeleidt door de juiste stappen op het juiste moment. De UX-aanpak richtte zich daarom in eerste instantie niet op het intuïtief maken van de interface, maar op het zoveel mogelijk weghalen van alles wat in de flow niet intuïtief was, zo legt Bas uit.

Competentie als sleutel tot veilig gedrag

Het falen van security ligt zelden aan onwil van gebruikers, zegt Bas. In de meeste organisaties willen mensen best veilig werken, maar lopen ze vast op complexiteit, tijdsdruk en onduidelijke tooling. Wachtwoordmanagers zijn vaak technisch functioneel, maar sluiten onvoldoende aan op hoe mensen daadwerkelijk werken. Juist op momenten dat de mentale belasting al hoog is, worden gebruikers geconfronteerd met extra stappen, keuzes en waarschuwingen. Dat leidt niet tot veiliger gedrag, maar tot frustratie en uiteindelijk tot workarounds: precies het risico dat wordt weggenomen door MindYourPass.

‍

Een centrale factor in veilig gedrag is het gevoel van competentie, zegt Bas. “Mensen moeten het idee hebben dat ze weten wat ze doen en dat ze geen fouten kunnen maken ten koste van veiligheid.” Zodra dat gevoel ontbreekt, ontstaat onzekerheid. Onzekerheid leidt tot vermijding, half begrip en het zoeken naar snellere, maar onveiligere oplossingen. “Dit zie ik dagelijks terug in trainingen en gebruikersonderzoek. Als mensen zich dom voelen door een security-oplossing, haken ze gedemotiveerd af, en dat is bij het gebruik van een wachtwoordmanager riskant. Veilig gedrag volhouden lukt alleen als gebruikers ervaren dat ze de situatie onder controle hebben.”

Gebruiksvriendelijkheid is een fundamentele voorwaarde

Veel organisaties investeren in uitleg, trainingen en bewustwordingscampagnes. Dat is nuttig, maar is niet genoeg. Mensen vergeten instructies en maken fouten onder druk, en een goede wachtwoordmanager moet daarop anticiperen, zegt Bas. "Je kunt niet verwachten dat alle gebruikers security begrijpen. Daar passen oplossingen die zo ontworpen zijn dat veilig gedrag de makkelijkste én enige optie zijn. Gebruiksvriendelijkheid is geen extra laag bovenop security, maar een fundamentele voorwaarde om beleid in de praktijk te laten werken.”

‍

Daarnaast moet veilig wachtwoordgebruik binnen organisaties uiteindelijk verplicht worden gesteld, stelt Bas. Dat klinkt streng, maar afdwingen hoeft niet te leiden tot frustratie. Integendeel, als de tooling goed is ingericht, geeft het gebruikers juist rust. Ze hoeven niet meer na te denken over wat wel of niet mag. Het systeem moet daarin dienend zijn. Voorwaarde is wel dat de oplossing betrouwbaar, voorspelbaar en aan te leren is.

‍

Naast techniek en ontwerp speelt ook de organisatiecontext een grote rol. MindYourPass werkt daarom met ambassadeurs binnen organisaties: superusers die collega’s helpen, vragen beantwoorden en signaleren waar mensen vastlopen. Het succes van adoptie hangt sterk af van deze rol. Opvallend genoeg zijn dit niet altijd de mensen met de zwaarste IT-achtergrond, zegt Bas. Vaak zijn het pragmatische, nieuwsgierige gebruikers die niet snel opgeven, graag uitzoeken hoe iets werkt en makkelijk communiceren op de werkvloer. Zij vormen de brug tussen technologie en dagelijkse praktijk.

Veilig gedrag moet moeiteloos voelen

De kern van Bas’ visie is dat security pas werkt als mensen er niet voortdurend over hoeven na te denken. Een goede wachtwoordmanager maakt veilig gedrag vanzelfsprekend door onzekerheid weg te nemen, fouten te voorkomen en dienend te zijn aan de eindgebruiker en de organisatie. Gebruiksvriendelijkheid en afdwingbaarheid zijn daarbij geen tegenpolen, maar versterken elkaar. Wie wil dat security werkt in de praktijk, moet ontwerpen voor het menselijk brein, en daarbij rekening houden met uiteenlopende gebruikersscenario's en persona's.

‍