La seguridad en las aplicaciones de los bancos y la accesibilidad una pelea constante

Seamos realistas, independientemente de su nivel de habilidad, la mayoría de las aplicaciones bancarias no son particularmente fáciles de usar. Suelen estar atascados con interfaces difíciles que podrían hacer llorar a un diseñador de UX.

Al utilizar diferentes aplicaciones bancarias, he notado una tendencia inquietante en la que las llamadas características de "seguridad" están haciendo que el sitio web sea una experiencia más hostil para los usuarios discapacitados. A continuación, he reunido algunos de los peores anti patrones para analizar cómo están creando barreras para las personas discapacitadas.

Deshabilitar los administradores de copiar y pegar/contraseñas

Cada vez es más común ver sitios que impiden copiar y pegar en los campos de contraseña. Las pautas de accesibilidad al contenido web (WCAG) 2.2 recientemente formalizadas han agregado el criterio 3.3.8 , que menciona explícitamente el soporte para copiar y pegar, así como administradores de contraseñas, como mecanismos válidos para satisfacer este criterio.( es una excepción, pero mal pensada).

Bloquear copiar y pegar a menudo tiene el efecto de bloquear también los administradores de contraseñas. Estoy seguro de que no necesito entrar en detalles sobre lo frustrante que puede ser esto para los usuarios de administradores de contraseñas, quienes a menudo usan esos administradores de contraseñas para generar contraseñas largas de cadenas alfanuméricas aleatorias que ahora tienen que escribir carácter por carácter. Iniciar sesión, un proceso que debería llevarme 10 segundos como máximo, puede llevar hasta 5 minutos de dolorosa prueba y error.

Para los usuarios de dictado por voz, deshabilitar los administradores de contraseñas es aún más desastroso. El software de dictado de voz Dragon es un software de manos libres que funciona cuando el usuario dicta comandos de voz al software. Un ejemplo aproximado (no en Dragon real) de un comando podría ser algo como 'Haga clic en la extensión [Administrador de contraseñas]' > 'Buscar [Nombre del banco]' > 'Elija el segundo elemento de una lista', lo que rellenaría los campos de nombre de usuario y contraseña automáticamente. . Al desactivar copiar y pegar, el usuario se ve obligado a dictar su contraseña completa en voz alta, lo que significa que un usuario de Dragon debe estar en un lugar donde nadie pueda escucharlo para mantener una expectativa razonable de privacidad.

Lo peor de todo es que, a diferencia de lo que pretendían los autores de la aplicación, deshabilitar copiar y pegar y los administradores de contraseñas puede tener un impacto negativo en la seguridad, ya que fomenta la reutilización de contraseñas. Aunque cada vez hay más conciencia pública sobre por qué la reutilización de contraseñas es mala, es poco probable que las personas cambien su comportamiento hasta que la alternativa sea fácil, y en este momento, no lo es.

CAPTCHA

Un CAPTCHA es un tipo de prueba empleada por los desarrolladores web para poder saber si el usuario es un humano real o un robot. Hoy en día, es más raro que los usuarios vean CAPTCHA en la naturaleza debido a la adopción generalizada de reCAPTCHA v3, un servicio de Google que afirma ser capaz de detectar actores maliciosos sin necesidad de un desafío interactivo. Dejando de lado por un momento las preocupaciones sobre la privacidad, puede resultar difícil para la heurística basada en el comportamiento distinguir a los usuarios discapacitados de los bots. Por ejemplo, un usuario de lector de pantalla puede parecer un bot debido a que no tiene un movimiento normal del mouse.

Autenticación de dos factores (2FA)

Aunque tienden a ser mejores que los CAPTCHA, las soluciones de autenticación de dos factores (en adelante abreviada como 2FA) a menudo plantean diferentes tipos de desafíos para los usuarios discapacitados. Hay varias formas en las que normalmente funciona 2FA, pero el formato más común con diferencia, con más del 90% de los sitios que utilizan este método, es el SMS, donde se le envía un código a través de un mensaje de texto y usted debe ingresar ese mismo código en la solicitud. El correo electrónico también es común, y las aplicaciones de autenticación especializadas ocupan un distante tercer lugar. Estas soluciones plantean un desafío similar a los usuarios de dictado de voz como se mencionó anteriormente, aunque el riesgo de seguridad se ve mitigado en cierta medida por la naturaleza única de estas contraseñas temporales.

Las soluciones 2FA casi siempre tienen un tiempo estricto, y algunas duran tan solo 20 segundos. Pedir a los usuarios que memoricen cadenas arbitrarias puede suponer un desafío para los usuarios con discapacidades cognitivas, y los cortos límites de tiempo suelen resultar frustrantes para todos los usuarios. Todavía tengo que ver una solución 2FA que permita al usuario extender el tiempo según lo requiere 2.2.1 Temporización ajustable . Tener la opción de generar un nuevo código puede no ser un reemplazo suficiente, ya que el período de tiempo puede ser tan corto que un usuario discapacitado nunca podrá completarlo dentro del tiempo asignado.

El hecho de que estas soluciones 2FA a menudo requieran el uso de múltiples dispositivos puede resultar problemático. Si un usuario ciego está usando una computadora y también necesita usar un dispositivo móvil para recibir un SMS, es posible que deba cambiar sus auriculares al dispositivo móvil para escuchar el código. Además, algunas configuraciones de tecnología de asistencia son tan específicas que los usuarios pueden estar limitados a un dispositivo específico, como ciertos tipos de pantallas Braille que pueden funcionar solo con un dispositivo principal.

Claves de seguridad física

Aunque las claves de seguridad físicas son el método menos popular para 2FA, pueden resultar muy beneficiosas para la accesibilidad. En lugar de requerir que los usuarios memoricen o ingresen cadenas arbitrarias, las llaves de seguridad físicas funcionan permitiendo al usuario presionar un botón en la propia llave. Los usuarios ciegos, han escrito reseñas generalmente positivas de la tecnología, pero señala que existen algunos problemas de accesibilidad que pueden variar desde “algo molestos hasta espectaculares”.

Con estos dispositivos, la accesibilidad depende de un tercero, cuyas aplicaciones no están bajo tu control. Si bien estas aplicaciones pueden ser generalmente accesibles.

Otro inconveniente de esta forma de 2FA es el costo inicial. Aunque las llaves más baratas, que se encuentran por 20 euros, pueden no ser tan costosas para las personas en países con un alto poder adquisitivo, este costo puede ser bastante exorbitante para algunos, y parece injusto obligar a los usuarios discapacitados a comprar algo extra para compensar.

Biometría

La última forma de 2FA está ligada a la biometría de los usuarios. En estas implementaciones, la aplicación se basa en la capacidad incorporada del dispositivo para recopilar verificación biométrica para confirmar la identidad de un usuario. Si elige utilizar esta forma de 2FA, sea indulgente con las formas que acepte. Las huellas dactilares o el reconocimiento facial pueden ser más fáciles para los usuarios que no pueden recordar una cadena arbitraria, pero pueden resultar frustrantes para los usuarios a quienes les faltan extremidades, tienen problemas de movilidad o tienen una apariencia facial que se considera "no estándar". Cualquiera que haya tenido la experiencia de intentar mantener una videollamada con un familiar mayor al que le cuesta poner toda su cara en el encuadre comprenderá que algunas cosas que algunos perciben como fáciles son muy difíciles para otros, dependiendo de su capacidad.

No existe un método universalmente perfecto para 2FA. Lo mejor que usted, como desarrollador de aplicaciones, puede hacer es permitir que el usuario elija su método de 2FA para que pueda elegir un método que funcione para él.

Bloquear eventos de teclado

Configurar algo como role="application o aria-hidden="true"puede causar fácilmente que una aplicación se rompa por completo o se oculte para los usuarios de lectores de pantalla. De cualquier manera, tenga cuidado al realizar anulaciones drásticas del comportamiento del teclado en toda la aplicación.

Falta de paridad de funciones entre las aplicaciones de escritorio y móviles

(Este punto tiene menos que ver con la seguridad y más con los equipos que intentan reducir la complejidad en diferentes productos digitales,)

Recientemente recibí un correo de HSBC en el que se me informaba que iban a suspender los servicios de la aplicación web y trasladarlos exclusivamente a la aplicación móvil. Como he mencionado anteriormente, algunos tipos de discapacidades requieren tecnologías de asistencia específicas y no siempre es posible para los usuarios puedan cambiar de dispositivo con facilidad. Si es posible, es mejor asegurarse de que las funciones clave estén disponibles en tantas plataformas como sea posible.

Aria-live, para mejorar la navegación

 

Las aplicaciones dinámicas son las que actualizan el contenido de la página sin tener que volver a cargar la página web. Un ejemplo común sería actualizar los resultados de los partidos de futbol, mostrar banners de alerta de éxito o advertencia, nuevos mensajes de chat y muchos más.

 

El atributo aria-live permite que las tecnologías de asistencia, como los lectores de pantalla, transmitan actualizaciones de contenido a un usuario de lector de pantalla, mejorando la experiencia del usuario al mantenerlo informado de los cambios que ocurren en la página.

Descripción del atributo ARIA Live

ARIA, o Accessible Rich Internet Applications, es un conjunto de atributos que definen formas de hacer que el contenido y las aplicaciones web sean más accesibles para las personas con discapacidades.

aria-live se utiliza para definir regiones de una página web que están activas y que deben ser anunciadas por tecnologías de asistencia, como lectores de pantalla, cuando se actualizan o cambian dinámicamente.

Tipos de regiones activas de ARIA

Puede utilizar las siguientes opciones de atributos de ARIA Live en función de la urgencia de cómo se debe anunciar el contenido dinámico a los usuarios. Estas opciones incluyen:

 

·       aria-live="off": De forma predeterminada, está desactivado. Este valor indica que las tecnologías de asistencia no deben anunciar cambios en el contenido dentro de la región.

·       aria-live="polite": Con este valor, los cambios se anuncian al usuario una vez completada la tarea actual. Es útil para actualizaciones no críticas que no interrumpen trabajo del usuario.

·       aria-live="assertive": Este valor indica que los cambios se anuncian inmediatamente, incluso si el usuario está en medio de una tarea. Es adecuado para actualizaciones importantes que requieren atención inmediata. Aria-live assertive se comporta de manera similar a role=" alert" con la única diferencia de que un lector de pantalla agrega la palabra "alerta" al principio. Tenga en cuenta que un anuncio asertivo interrumpirá un lector de pantalla si está en medio de la lectura del texto y leerá el anuncio aria-live. Lo que sea que el lector de pantalla haya estado leyendo se truncará y no continuará automáticamente después del anuncio de aria-live.