Tillit og troverdighet på nett Tillit OG troverdighet på nett Bacheloroppgave ibacheloroppgave nye medier i nye medier av Cato Haukeland, Universitetet i Bergen 2007 Cato Haukeland, 2007 1
Innhold 1 Forord 3 2 Sammendrag 4 3 Bakgrunn 6 3.1 Elektronisk handel 6 3.2 Behov for sikker verifisering på nett 6 3.3 Nye verifiseringsløsninger på nett 6 4 Problemstilling 7 4.1 Verifiseringsløsninger på nett: 7 4.2 Spørsmål: 7 4.3 Oppgavens mål 7 4.4 Begrensninger 7 5 Teori 8 5.1 Hva er tillit? 8 5.2 Forholdet mellom tillit og risiko 11 5.3 Tillit og design 11 5.4 Tillit og sikkerhet 13 5.5 Hvem gis det tillit til? 13 5.6 Tillitskapende prosess 13 5.7 Verifiseringsmetoder 14 5.8 Brukergrensesnitt, design og standarder 15 5.9 Oppsummering av teori 16 6 Verifiseringsløsningene 17 7 Metode 19 7.1 Nielsens ti opprinnelige heuristikker 19 7.2 Morville-modellen 21 7.3 Egen modell 21 7.4 Vurdering av sikkerhet 23 7.5 Intervju med fagpersoner 24 8 Funn 26 8.1 Windows Live ID Live.com 26 8.2 Yahoo! ID yahoo.com 27 8.3 Buypass altinn.no 28 8.4 MinID minside.no 30 8.5 BankID dnbnor.no 31 8.6 Sammenligning av funn 31 8.7 Rangering 33 8.8 Tillit basert på andre faktorer 33 9 Drøfting 34 9.1 Visuelle elementer som fremmer troverdighet 34 9.2 Valg av autentiseringsløsning 36 9.3 Gjensidig autentisering 36 10 Produktet 39 10.1 Praktisk informasjon 39 10.2 Teknologi 39 10.3 Layout 39 10.4 Innlogging 40 10.5 Funksjonalitet 41 10.6 Begrensninger og veien videre 42 11 Konklusjon 43 2
1 Forord Denne oppgaven setter søkelys på brukerne i forbindelse med autentisering på nett. Et tema som er både spennende og høyst aktuelt da mye av vår kommunikasjon foregår nettopp på nett. Jeg vil takke Professor Dag Elgesem for svært verdifulle innspill og veiledning underveis, og for å ha lagt ting til rette slik at det var mulig å gjennomføre oppgaven. Det rettes også en stor takk til Ivar A. Johnsen i DnB NOR for råd og innspill underveis. En spesiell takk rettes til de som lot seg intervjue i oppgaven, som først og fremst var Grete Sørensen i BankID og Ståle Kjone i NAV. Cato Haukeland Bergen, 26 mai 2007 Institutt for Informasjons- og medievitenskap Universitetet i Bergen 3
2 Sammendrag Internett blir en stadig viktigere arena for kommunikasjon, både fra organisasjon til privatperson, men også mellom privatpersoner. De fleste enes om at det hele og fulle potensialet for nettet langt fra er nådd. Stadig dukker det opp nye tjenester som skal forenkle vår hverdag, hjelpe oss med å organisere vårt sosiale nettverk, eller holde orden på privatøkonomien. Felles for mange av tjenestene på nett er at de krever brukerautentisering, noe som betyr at brukeren eksempelvis får et brukernavn og passord til å logge seg inn på den aktuelle tjenesten med. Denne oppgaven vil se på hvilke virkemidler tjenester som krever brukerautentisering benytter for å fremstå som en seriøs aktør og på den måten skape tillit hos sine brukere. Tjenestene oppgaven vil se på er Windows Live ID via Live.com, Yahoo! ID via yahoo.com, Buypass via altinn.no, MinID via minside.no og til slutt BankID via dnbnor.no. Oppgaven vil også se på om det finnes andre visuelle elementer som kan styrke troverdigheten til et nettsted gjennom en prototyp utviklet på bakgrunn av funnene i oppgaven. Selve begrepet tillit er problematisk både på nett og i den virkelige verden. Tillit er ikke noe statisk, men noe i konstant endring som må ses i lys av den konteksten man operer i. Oppgaven presenterer noen enkle modeller for etablering av tillit for å tydelig illustrere hvordan denne prosessen kan foregå. I tillegg til at selve tillitsbegrepet er komplisert, er det ett element som virker spesielt inn på tillit, nemlig risiko. Riegelsberger et al (2005) er blant dem som hevder at dersom faktoren risiko er fraværende, er tillit overflødig. Overført til internett betyr dette at tjenester som innebærer svært lav risiko, ikke trenger å overbevise brukeren i like stor grad som tjenester med høy risiko som for eksempel en nettbank. For å finne ut hvilke virkemidler de ulike tjenestene benytter for å skape tillit har oppgaven blant annet sett på resultatene fra en undersøkelse Fogg et al (2002) har utført ved Stanford University. En undersøkelse som blant annet viser at brukere baserer mye av sin tillit på design og brukergrensesnitt. I tillegg spiller faktorer som struktur og informasjonens fokus en viktig rolle. Det var for oppgaven noe overraskende at brukere ikke utforsker grundigere bakenforliggende elementer som sertifikater, kryptering av informasjon, anbefalinger fra andre etc. Med bakgrunn av undersøkelsene og litteraturen har oppgaven utviklet en egen modell for måling av troverdighet på nett. Modellen består av 6 elementer hvor design og utseende er det første. Dette innebærer at nettsiden må ha et tiltalende og profesjonelt utseende i forhold til hvilken sjanger nettsiden operer i. Modellens andre element er brukervennlighet som handler om at brukere lett skal kunne navigere rundt på siden og informasjonen må være strukturert på en god og oversiktlig måte. Det neste kriteriet er personvern som gir brukeren informasjon om hvordan nettsiden vil håndtere sensitive opplysninger om brukeren. Dette er viktig for at brukeren skal føle seg trygg og ha en garanti for at ikke sensitiv informasjon havner på avveie. Det fjerde elementet handler om konsistens som igjen kan deles inn i ekstern og intern konsistens. Ekstern konsistens handler om å følge de konvensjoner som råder på nettet, slik at brukere lett kan ta i bruk nettsiden uten noen form for opplæring. Modellens nest siste element er flerkanal tilgjengelighet som fokuserer på at brukeren skal ha mulighet til å kontakte menneskene bak nettsiden i flere ulike kanaler som for eksempel e-post, telefon og post. Det siste punktet modellen vurderer er innholdet som må være av høy kvalitet for å sikre at kommunikasjonen foregår på et plan som brukeren forstår, men samtidig er uten skrivefeil og manglende opplysninger. Med disse seks kriteriene vil oppgaven vurdere hvilke elementer de vurderte tjenestene benytter for å fremstå troverdig, i tillegg til at det vil bli gjort en ekspertvurdering i forhold til hvor godt de ulike tjenestene gjør det, basert på de samme kriteriene. 4
Oppgaven har store begrensninger i forhold til hva den kan fange opp av tillit på nett. Det er stor sannsynlighet for at mange brukere tar med seg tillit fra den virkelige verden inn i nettmediet i interaksjonen med de undersøkte tjenestene. Avsenderne til disse tjenestene er allerede etablert utenfor nettmediet med unntak av Yahoo!, men som på sin side har eksistert i mange år og som av den grunn de fleste har et forhold til. Oppgaven legger av de årsaker til grunn at oppgaven kun har mulighet til å vurdere troverdighet og tillit på nett basert på de visuelle elementer som møter brukerne i den daglige interaksjonen med disse tjenestene. I tillegg til oppgavens egen modell og begrensningene nevnt over, har oppgaven hatt kontakt med noen av menneskene bak utviklingen av de aktuelle tjenestene. Grete Sørensen fra BankID, Sigrun Kongsrud fra Minside, Ivar Johnsen fra DnB NOR og Ståle Kjone fra NAV har alle bidratt til å kaste lys på områder oppgaven ikke har hatt mulighet til å vurdere i tillegg til å forklare vurderinger gjort i utviklingen av de aktuelle tjenestene. Oppgaven har konkludert med at alle de vurderte tjenestene har lagt et stort arbeid ned i utviklingen av sine tjenester hvor design og brukervennlighet er viet stor oppmerksomhet. Svakheten hos disse tjenestene slik oppgaven ser det, er problemet med og tydelig visuelt bevise sin identitet, i en tid hvor nettfiske eller også kalt phishing stadig blir mer utbredt. Prototypen har av den grunn rettet søkelys på nettopp dette problemet. 5