Door Anoniem: Door Anoniem: Dat is dus niet zozeer "de gebruiker die domme dingen doet", maar "de gebruiker die bewogen wordt domme dingen te doen onder valse voorwendselen". Hij denkt dat'ie één ding doet, wat er werkelijk gebeurt is iets totaal ànders. Had de gebruiker door wat er wèrkelijk ging gebeuren dan had'ie het nooit gedaan!
Ik vermoed dat die app wel degelijk de gebruiker laat zien wat er gaat gebeuren en om een bevestiging vraagt, maar dat er een groep gebruikers is die dan nog niet snappen wat er gebeurt of die zich door de wijs laten brengen door zo'n handige oplichter.
Er zijn mensen die zo vaak en zo veel popups gezien hebben* dat ze ze eerst wegklikken en nog een keer op het eerste knopje drukken voor ze (mischien) gaan nadenken waar die popup mischien toch vandaan zou kunnen komen (en soms helemaal niet, en wellicht vast komen te zitten in een klik-popup-klikweg-... lus).
Dat is dan een stukje conditionering die weinig met nadenken van doen heeft. Maar dus wel in de hand gewerkt wordt door minder-dan-direct-informatieve meldingen.**
* Waarin de fabrikant ogenschijnlijk met zoveel mogelijk woorden zo min mogelijk probeert te zeggen. Simpel voorbeeld is waar Unix (linux) "file not found" zegt, krijg je twee regels "windows was unable to ..." in cmd.exe. Die breedsprakigheid voegt niets toe maar kost wel extra moeite om te lezen.
** Alweer windows zit vol met "het zou mogelijk mischien wel eens kunnen dat..." zonder dan te kunnen vertellen wat de directe gevolgen voor deze actie gaan zijn. Terwijl de computer dat, zeker in het geval van drivers en systeemonderdelen met gedocumenteerde onderlinge afhankelijkheden aan-en-uitzetten, toch uit zou moeten kunnen rekenen.
Ter vergelijking: ik weet wel zeker dat de Raboscanner duidelijk laat zien waar je voor tekent en dat er toch mensen zijn die als daar ondubbelzinnig op staat dat er €10000 overgeboekt gaat worden toch doorgaan en de code geven aan een oplichter die iets anders beweert.
Een ander aspect (dan popup-murwheid) is dat veel mensen niet direct niet technisch onder legd zijn (dat ook niet) maar vooral, niet op feiten afgaan, maar op gevoel.
Daarin ligt de kracht van zo'n babbeltruuk. De oplichter doet z'n best om te laten zien dat'ie jou vertrouwt, dus verwacht'ie dat jij hem vertrouwt. Dus als'ie zegt dat het goed is, nou... "het leek toch zo'n aardige man" is een rode draad in oplichtingszaken.
Duidelijke berichtgeving is dus niet automatisch een panacea.
Maar onduidelijke berichtgeving helpt
zeker niet.
De volgende vraag is dan "wat is wel en wat is niet duidelijke berichtgeving". Hoe presenteer je welk bericht, voor elk bericht, meegenomen de specifieke situatie, etc. Let ook op dat de percepties hier van de "app"-bouwer en de eindgebruiker totaal verschillend kunnen zijn.
Dat verschilletje is waarom je dit niet op "gebruikers doen dom" mag afschuiven, ongeacht hoe populair dat in zekere "computer security" kringen wèl is.
Ik ben het met je eens dat het op dom doen afschuiven niets oplost. Dat neemt niet weg dat er daadwerkelijk domme mensen rondlopen, per definitie heeft de helft van de bevolking een IQ onder de 100.
Dan is dus de vraag "welk IQ heb je nodig om deze toepassing zelf veilig te kunnen gebruiken?"
"App"-ontwikkelaars, zoals zoveel programmeurs, vinden zichzelf graag slim (of ze het nu zijn of niet) maar hebben vaak niet zoveel voeling met wat voor hun gebruikers een goed idee is en wat niet. Vervolgens hebben "we" het resulterende probleem van slecht bruikbare interfaces proberen op te vangen met "user interface designers", wier ideetjes zeker niet allemaal slecht waren (maar ook zeker niet allemaal goed) en ondertussen "user experience designers" die kennelijk vooral bezig zijn met gevoelswapperij en met wat andere webshits (technische term) nu weer hip hot en happening lijken te vinden.
Dat zal bijdragen aan de kennelijke zaak dat dat vereiste IQ vaak een stukje hoger dan strict noodzakelijk ligt. Wat toch een redelijk fors probleem is als je heel je samenleving door zulke "apps" wil laten overnemen. (Nog afgezien van of dat op andere gronden wel zo wenselijk is.)
Er zijn ook mensen die tijdelijk dingen niet overzien, zoals iedereen die een burn-out heeft gehad uit eigen ondervinding zal kunnen bevestigen. En er zijn ouderen wiens cognitieve vermogens achteruit gaan.
En dan zijn er mensen die niet per se dom zijn maar reageren op iets dat ze lastig vinden door hun verstand op nul te zetten. [...]
Je geeft mooie voorbeelden, maar ik knip ze toch even weg. Je zal altijd mensen hebben die, in context kortgesloten, op te lichten zijn. Maar je kan nog steeds veel doen om te zorgen dat bijvoorbeeld bankier-"apps" redelijk robuust zijn op handige babbeltruuks van oplichters.
En, nouja, "lastig vinden", als het te complex is dan raak je het overzicht kwijt en heb je geen idee meer van waar je mee bezig bent. Dus dan lijkt "dan maar niets doen" vaak een veiligere optie. En laten we wel wezen, "apps" voegen vooral bergen complexiteit toe, net als websites dat deden, en meer van die nieuwerwetse rommel. Net als de regeltjes van de samenleving dat doen, overigens. Die ook (vrijwel) nooit simpeler worden, en er dus maar weer voor zorgen dat meer mensen niet "mee" kunnen. Waar we dan wat aan doen door er bijvoorbeeld een sociaal poppetje naartoe te schuiven.
Mensen die zo reageren zijn er volop. Misschien doen die dom, misschien hebben die totaal geen probleemoplossend vermogen en kunnen ze niet anders, maar ze zijn er volop.
En toch komen ze mee, min of meer. Dus hoe doen ze dat dan? Lijkt me een interessante vraag.
Dat is een gegeven waar banken en andere bedrijven rekening mee te houden hebben. De reactie erop lijkt te zijn dat men het nóg simpeler en vervolgens nóg veel simpeler probeert te maken, soms simpeler dan nog verantwoord is (denk aan de mededeling "slotje is veilig" bij websites die jarenlang is verkondigd).
Dat is wat mij betreft intellectuele luiheid van de zichzelf-slim-vinders, programmeurs en hun managers incluis.
Zeker bij het hele PKI-gebeuren (en dus ook "slotje is veilig") is er een complete infrastructuur neergepoot die nu nauwlijks meer weg te krijgen is zonder dat er echt is nagedacht wat dat nou betekende, laat staan dat de gevolgen begrepen waren. Of zelfs nu werkelijk doorgrond zijn. In die zin is PKI een slecht idee dat maar niet wil sterven.
Dat laatste is duidelijk niet een goede manier om met deze mensen om te gaan, omdat men iets creëert dat niet meer klopt en dus niet goed kán gaan, alleen heb ik geen idee hoe je iemand kan bereiken die op blanco gaat en niets meer laat doordringen.
Ik denk dat je dat niet moet proberen. Ik denk dat je dan je verlies moet nemen en toegeven dat je al veel eerder de strijd al verloren hebt.
Maar je hebt dus een duidelijk verhaal nodig. Zoals bijvoorbeeld macos dat altijd al veel meer had dan windows. Van zoiets simpels als command-V, command-C, command-X dat later door windows gekopieerd is, maar waar het de mac-community is die zulke consistentie verwacht en luid eist, tot complete handboeken "hoe ontwerp ik de UI van mijn applicatie", die apple voor elke nieuwe OS release weer bijwerkt. De software is niet perfect maar er spreekt een heel duidelijke verhaallijn uit, die de concurrentie niet kent en die daar dus ook niet de vruchten van kan plukken.
Bij gebrek aan een expliciet verhaal krijg je dat het na een tijdje min-of-meer uitkristalliseerd, maar dan krijg je iets wat min-of-meer bruikbaar is voor degenen die er tegen heug en meug toch mee volhard hebben. Dat kan beter.
Natuurlijk moet iets dat deze mensen wel aankunnen beschikbaar blijven, zoals ouderwets bankieren op papier, maar dan nog zit je met het probleem dat een flink deel van die mensen toch voor de computer zal kiezen omdat ze hun eigen beperkingen niet onderkennen.
Meer omdat de bank zo hard "het papierloze" promoot en een steeds hoger prijskaartje aan papier hangt.
Wat mij betreft een voorbeeld van paard-achter-de-wagen-"automatisering", wat ook helaas veelal de enige smaak automatisering is die te krijgen is. Zoals bij iedere partij die groots inzet op "apps"; ing onder andere, de ns ook bijvoorbeeld.
ING zit naar mijn smaak veel te sterk op de lijn dat alles zo "makkelijk" (lees: laagdrempelig) mogelijk moet worden gemaakt en klantvriendelijk doet tot dat misgaat, dan krijg je met een juridische afdeling te maken die beter "eigen schuld" kan zeggen dan jij dat kan tegenspreken.
Ze willen dat je geld rolt, of jij dat ook wil interesseert ze dan weer minder. En ze willen "hip en happening" lijken uit marketeering-oogpunt. En zodra het misgaat komen de juristen om zoveel mogelijk de puinhopen elders te stallen. Bij de klant bijvoorbeeld. Maar met klassiek bankieren hebben ze al jaren steeds minder mee te maken. De andere banken idem dito, trouwens, ing is echt niet de enige.
Maar tegelijk zou ik niet weten hoe je het goed moet doen bij die groep mensen die domweg niet in zich opnemen wat duidelijk voor hun snufferd staat. Mensen die een spoorwegovergang oversteken terwijl de lichten knipperen, de bellen rinkelen en de bomen omlaag staan heb je ook, en zo indringend als een bewaakte spoorwegovergang krijg je een app op een smartphone of een website in de verste verte niet. Er zit een grens aan de mogelijkheden om dit op te lossen, denk ik.
Een van de dingen die wel leken te werken (was mijn indruk) waren de "wil je blijven leven, wacht dan even"-bordjes. Het gaat er dus ook om hoe je het geheel presenteert, cq. wat de verhaallijn erachter is. Zie ook de "bob"-campagne. Ik heb hier een boekje "positioning" dat eenzelfde soort verhaal ophangt maar dan toegespitst op hoe je producten verkoopt.
Zoals je bijlesleerling: Als je gelooft dat het moeilijk is dan is en blijft het dat ook ongeacht de werkelijkheid. Pedagogisch gezien had je dus eerst dat probleem moeten onderkennen en daar iets aan moeten doen, want het blokkeerde alles wat je aan inhoudelijks probeerde te doen.
Als je een ding goed in de vingers hebt dan weet je waar je op moet letten. Als je dat niet weet dan ontgaan de meest voor de hand liggende dingen je nog. "App"-bouwers en -proponenten vergeten wel eens dat de vaardigheden die zij hebben niet door alle andere beoogde gebruikers gedeeld worden. Dus daarin schuilt al gevaar waar bijvoorbeeld oplichters handig gebruik van kunnen maken.