Seamos realistas, independientemente de su nivel de
habilidad, la mayoría de las aplicaciones bancarias no son particularmente fáciles
de usar. Suelen estar atascados con interfaces difíciles que podrían hacer
llorar a un diseñador de UX.
Al utilizar diferentes aplicaciones bancarias, he notado una
tendencia inquietante en la que las llamadas características de
"seguridad" están haciendo que el sitio web sea una experiencia más
hostil para los usuarios discapacitados. A continuación, he reunido algunos de
los peores anti patrones para analizar cómo están creando barreras para las
personas discapacitadas.
Deshabilitar los administradores de copiar y pegar/contraseñas
Cada vez es más común ver sitios que impiden copiar y pegar
en los campos de contraseña. Las pautas de accesibilidad al contenido web
(WCAG) 2.2 recientemente formalizadas han agregado el criterio 3.3.8 , que
menciona explícitamente el soporte para copiar y pegar, así como
administradores de contraseñas, como mecanismos válidos para satisfacer este
criterio.( es una excepción, pero mal pensada).
Bloquear copiar y pegar a menudo tiene el efecto de
bloquear también los administradores de contraseñas. Estoy seguro de que no
necesito entrar en detalles sobre lo frustrante que puede ser esto para los
usuarios de administradores de contraseñas, quienes a menudo usan esos
administradores de contraseñas para generar contraseñas largas de cadenas
alfanuméricas aleatorias que ahora tienen que escribir carácter por carácter.
Iniciar sesión, un proceso que debería llevarme 10 segundos como máximo,
puede llevar hasta 5 minutos de dolorosa prueba y error.
Para los usuarios de dictado por voz, deshabilitar los
administradores de contraseñas es aún más desastroso. El software de dictado de
voz Dragon es un software de manos libres que funciona cuando el usuario dicta
comandos de voz al software. Un ejemplo aproximado (no en Dragon real) de un
comando podría ser algo como 'Haga clic en la extensión [Administrador de
contraseñas]' > 'Buscar [Nombre del banco]' > 'Elija el segundo elemento
de una lista', lo que rellenaría los campos de nombre de usuario y contraseña
automáticamente. . Al desactivar copiar y pegar, el usuario se ve obligado a
dictar su contraseña completa en voz alta, lo que significa que un usuario de Dragon
debe estar en un lugar donde nadie pueda escucharlo para mantener una
expectativa razonable de privacidad.
Lo peor de todo es que, a diferencia de lo que pretendían
los autores de la aplicación, deshabilitar copiar y pegar y los administradores
de contraseñas puede tener un impacto negativo en la seguridad, ya que
fomenta la reutilización de contraseñas. Aunque cada vez hay más conciencia
pública sobre por qué la reutilización de contraseñas es mala, es poco probable
que las personas cambien su comportamiento hasta que la alternativa sea fácil,
y en este momento, no lo es.
CAPTCHA
Un CAPTCHA es un tipo de prueba empleada por los
desarrolladores web para poder saber si el usuario es un humano real o un
robot. Hoy en día, es más raro que los usuarios vean CAPTCHA en la naturaleza
debido a la adopción generalizada de reCAPTCHA v3, un servicio de Google que
afirma ser capaz de detectar actores maliciosos sin necesidad de un desafío
interactivo. Dejando de lado por un momento las preocupaciones sobre la
privacidad, puede resultar difícil para la heurística basada en el
comportamiento distinguir a los usuarios discapacitados de los bots. Por
ejemplo, un usuario de lector de pantalla puede parecer un bot debido a
que no tiene un movimiento normal del mouse.
Autenticación de dos factores (2FA)
Aunque tienden a ser mejores que los CAPTCHA, las soluciones
de autenticación de dos factores (en adelante abreviada como 2FA) a menudo
plantean diferentes tipos de desafíos para los usuarios discapacitados. Hay
varias formas en las que normalmente funciona 2FA, pero el formato más común
con diferencia, con más del 90% de los sitios que utilizan este método, es el
SMS, donde se le envía un código a través de un mensaje de texto y usted debe
ingresar ese mismo código en la solicitud. El correo electrónico también es
común, y las aplicaciones de autenticación especializadas ocupan un distante
tercer lugar. Estas soluciones plantean un desafío similar a los usuarios de
dictado de voz como se mencionó anteriormente, aunque el riesgo de seguridad se
ve mitigado en cierta medida por la naturaleza única de estas contraseñas
temporales.
Las soluciones 2FA casi siempre tienen un tiempo estricto,
y algunas duran tan solo 20 segundos. Pedir a los usuarios que memoricen
cadenas arbitrarias puede suponer un desafío para los usuarios con
discapacidades cognitivas, y los cortos límites de tiempo suelen resultar
frustrantes para todos los usuarios. Todavía tengo que ver una solución 2FA
que permita al usuario extender el tiempo según lo requiere 2.2.1
Temporización ajustable . Tener la opción de generar un nuevo código
puede no ser un reemplazo suficiente, ya que el período de tiempo puede ser tan
corto que un usuario discapacitado nunca podrá completarlo dentro del tiempo
asignado.
El hecho de que estas soluciones 2FA a menudo requieran
el uso de múltiples dispositivos puede resultar problemático. Si un usuario
ciego está usando una computadora y también necesita usar un dispositivo móvil
para recibir un SMS, es posible que deba cambiar sus auriculares al dispositivo
móvil para escuchar el código. Además, algunas configuraciones de tecnología de
asistencia son tan específicas que los usuarios pueden estar limitados a un
dispositivo específico, como ciertos tipos de pantallas Braille que pueden
funcionar solo con un dispositivo principal.
Claves de seguridad física
Aunque las claves de seguridad físicas son el método menos
popular para 2FA, pueden resultar muy beneficiosas para la accesibilidad. En
lugar de requerir que los usuarios memoricen o ingresen cadenas arbitrarias,
las llaves de seguridad físicas funcionan permitiendo al usuario presionar un
botón en la propia llave. Los usuarios ciegos, han escrito reseñas
generalmente positivas de la tecnología, pero señala que existen algunos
problemas de accesibilidad que pueden variar desde “algo molestos hasta
espectaculares”.
Con estos dispositivos, la accesibilidad depende de un
tercero, cuyas aplicaciones no están bajo tu control. Si bien estas
aplicaciones pueden ser generalmente accesibles.
Otro inconveniente de esta forma de 2FA es el costo
inicial. Aunque las llaves más baratas, que se encuentran por 20 euros,
pueden no ser tan costosas para las personas en países con un alto poder
adquisitivo, este costo puede ser bastante exorbitante para algunos, y parece
injusto obligar a los usuarios discapacitados a comprar algo extra para
compensar.
Biometría
La última forma de 2FA está ligada a la biometría de los
usuarios. En estas implementaciones, la aplicación se basa en la capacidad
incorporada del dispositivo para recopilar verificación biométrica para
confirmar la identidad de un usuario. Si elige utilizar esta forma de 2FA,
sea indulgente con las formas que acepte. Las huellas dactilares o el
reconocimiento facial pueden ser más fáciles para los usuarios que no pueden
recordar una cadena arbitraria, pero pueden resultar frustrantes para los
usuarios a quienes les faltan extremidades, tienen problemas de movilidad o
tienen una apariencia facial que se considera "no estándar".
Cualquiera que haya tenido la experiencia de intentar mantener una videollamada
con un familiar mayor al que le cuesta poner toda su cara en el encuadre
comprenderá que algunas cosas que algunos perciben como fáciles son muy
difíciles para otros, dependiendo de su capacidad.
No existe un método universalmente perfecto para 2FA.
Lo mejor que usted, como desarrollador de aplicaciones, puede hacer es permitir
que el usuario elija su método de 2FA para que pueda elegir un método que
funcione para él.
Bloquear eventos de teclado
Configurar algo como role="application o
aria-hidden="true"puede causar fácilmente que una aplicación se rompa
por completo o se oculte para los usuarios de lectores de pantalla. De
cualquier manera, tenga cuidado al realizar anulaciones drásticas del
comportamiento del teclado en toda la aplicación.
Falta de paridad de funciones entre las aplicaciones de escritorio y
móviles
(Este punto tiene menos que ver con la seguridad y más con
los equipos que intentan reducir la complejidad en diferentes productos
digitales,)
Recientemente recibí un correo de HSBC en el que se me
informaba que iban a suspender los servicios de la aplicación web y
trasladarlos exclusivamente a la aplicación móvil. Como he mencionado
anteriormente, algunos tipos de discapacidades requieren tecnologías de
asistencia específicas y no siempre es posible para los usuarios puedan cambiar
de dispositivo con facilidad. Si es posible, es mejor asegurarse de que las
funciones clave estén disponibles en tantas plataformas como sea posible.
No hay comentarios:
Publicar un comentario