网络安全与数字化的便利性可以兼得吗?

麦肯锡商务技术季刊
Salim Hasham
于那些在客户的数字化体验中既重视客户安全、又能让其轻松完成身份验证的企业而言,二者可以兼得。本文着重阐述它们的具体做法。 不妨设想这样一种常见的情景。两位顾客同时登录你的网站。第一位顾客努力记住他的...

于那些在客户的数字化体验中既重视客户安全、又能让其轻松完成身份验证的企业而言,二者可以兼得。本文着重阐述它们的具体做法。

不妨设想这样一种常见的情景。两位顾客同时登录你的网站。第一位顾客努力记住他的用户名和密码,经过几步操作后重设了密码,但最后对这个看起来繁琐的过程感到沮丧。他想:“这个网站为什么不能记住我的密码呢?”

第二位顾客输入密码,直接进入她的账户。接着她担心,在这个网络攻击不断升级的时代,网站好像不是很安全。她希望能再有一次验证机会,或者有一种安全的一次性密码,让她可以无需顾虑地登录账户。

这两位顾客对网站有着不同的诉求:前者看重的是便利,而后者强调的是安全。一家企业有可能同时让他们都感到满意吗?

我们的研究与经验表明,要想做到这一点,企业需要改变其对于数字化安全和数字化客户体验的认识。具体来说,企业应放弃那种“一刀切”的做法,深入细致地了解不同客户对于自身安全体验的感受与看法。

几十年来,客户细分一直是企业重要的推广和销售策略。现在,该是将这种策略应用于数字化安全领域的时候了。事实上,通过重点关注客户购物旅程,企业可以带来出色的数字化体验,在保证客户安全感的同时又使自身免于信息泄露的潜在风险。

要点

在登录同一个企业的网站时,顾客们对数字化体验有着截然不同的期待--有人重视便利性,有人则强调安全。

通过运用客户细分原则,企业可以在数字化安全举措方面同时满足两种客户的需要。

企业可以根据客户偏好提供有针对性的数字化体验,同时要认识到,不同类型的客户希望以不同的方式来完成身份认证并管理个人的在线资料,企业应确保他们有权并且有条件这样做。

通过利用那些能方便客户从任何设备进行登录的设备或数字识别技术,改善数字化体验的视觉设计,以及尽早并经常与客户进行交流,企业还可以简化整个身份验证流程。

同时,企业需要在分析、以客户为中心的设计、技术和安全协议等方面建设成熟的专业能力。

提升数字化安全的意义

近年来,为了应对日益频繁和复杂的网络威胁,企业不断推出安全性措施,这增加了客户的负担,结果导致客户数字化体验的质量严重下滑。我们的研究表明,平均每个客户必须记住超过14个密码,对身份验证过程中效率低下和程序繁冗的抱怨也越来越多。然而,具有讽刺意味的是,他们对于网络安全的感受却越来越糟了。数字化安全和隐私正在侵蚀着消费者对网络的信任感。

为消费者带来更好的数字化安全体验,这项工作意义重大。首先,它影响到数字化的使用率。繁琐的身份验证是消费者放弃数字化服务一大原因:觉得身份验证很轻松的消费者比为此而困扰的消费者使用数字化服务的比例要高10%-20%。[ii]这一点很重要,和偶尔使用数字化渠道的客户相比,经常使用数字化渠道的客户的消费额大约要高出45%。同时,企业需要为后者支付的服务费用也明显少得多,因为这一人群对于热线电话或面对面服务的依赖性较低。

其次,为客户带来安全、便利的体验也会对顾客满意度直接产生重大的影响。在购物过程中,与其他因素相比,“身份验证失败”最能削弱客户满意度和顾客对品牌的认知度。这是目前为止客户体验中最重要的方面,也常常是其痛点所在。在确保客户数据安全的同时,如果企业能成功地带来一流的数字化体验,那么客户满意度有可能提高20%-35%。

最后,还有成本方面的考虑。顾客打来的关于身份验证的投诉电话有可能会造成资源流失。关于重设密码的咨询电话最多占到呼叫中心业务量的6%,对于规模较大的企业而言,这些电话会带来每年高达500万-2000万美元的成本。其他形式的身份验证咨询又占据了协理人员工作时间的5%-10%,并给企业增加了500万-4000万美元的成本。这些电话既给客户带来了麻烦,也给企业带来了不必要的支出。因此,企业应努力提供方便、安全的网络体验,彻底消除此类电话。

兼顾便利与安全

我们的研究表明,企业应考虑到三类客户:重视便利的、重视安全的以及兼顾便利与安全的。如果你就此征求意见,所有的客户都会表示,他们希望同时得到安全与便利。但更深入的分析表明,尽管目前更看重其中一个方面的客户仍属少数,但是其数量正在不断增长。

我们经研究发现,大约有30%的客户将轻松和便利放在首位(附表1)。这些消费者仍然希望得到基本的安全保障。但是他们表示,无需输入密码(比如,通过自动识别技术)便可轻松访问账户信息的方式很有吸引力。他们也很排斥每次登录时都会收到的一次性密码。10%的消费者更重视安全。他们希望使用一次性密码,觉得要是没有密码的话,安全根本就无法保证。而其他60%的消费者愿意在便利和安全之间取得一种合理的平衡。

你该如何满足这样一个需求多样化的客户群呢?对于企业和IT领导人来说,关键要抓住两大重点:客户定制与一致性。

1. 量身定制的数字化体验

借助于数据分析,客户偏好方面的洞见可以在身份验证的四大要素中得到系统地应用(附表2)。

A.身份识别:不同客户群希望通过不同的方式进行身份验证。比如,那些重视便利性的客户可能更愿意使用电邮地址作为用户名,并且自动输入之前自己设置的密码,至少在网上是这样。那些重视安全性的客户可能希望使用用户名和八位字母数字字符的密码。

而生物特征验证技术是通过消费者的脸部特征和指纹进行身份验证,可用于喜欢这项技术的少数群体。但是,由于指纹黑客或盗用产生的永久性后果,该技术并非很多人一度期望的能解决一切安全问题的“灵丹妙药”。

B.身份管理:向客户提供明确、简洁的选项,以适应他们的安全偏好。在集中的“安全中心”或是询问客户是否希望“记住该设备”的弹出窗口显示多个选项。让顾客对安全性(每次登录时都会发送一次性密码)或便利性(保存用户名和密码,或者允许密码显示在手机上以解决用户不小心按错键的问题)进行选择。

C.按风险划分登录方式:并非所有的交易都容易导致欺诈和损失。预测性分析和交易隔离有利于在身份验证时暴露欺诈行为。比如,对于访问基本账户的客户,企业可以不要求其进行身份验证(如银行客户浏览账户余额时),但在进行货币交易时则需提供密码,或要求客户作出高价值或非常规举动时提供一次性SMS密码(如更改邮寄地址)。这种方法可以按照客户的愿望、容忍性和期望值进行进一步细分。对于那些注重便利的客户而言,在低风险的交易中,惟一的要求就是他们必须使用经过注册的设备,而在高风险的交易中,他们则需要输入密码。

D.异常状况管理:当出现某些问题时,比如顾客忘记了密码或用户名,或者账户发生异常,只有少数重视安全的顾客能不厌其烦地完成身份验证。对他们来说,这种方法能保证黑客无法轻易地登录。但大部分顾客希望快速解决问题。一家初创的信息与通讯公司Slack新推出一个系统,通过向忘记密码的用户发送带有“神奇链接”的电子邮件,帮助其实现自动登录。第一资本投资公司则提醒用户打电话获取他们遗忘的密码,并通过沟通尽量减少其挫折感,主动将责任揽到自己身上(“我们给您的登录带来了不便”)。

我们发现,由于顾客会用手机拍下照片然后进行身份验证,因此,这种异常状况验证法会吸引80%使用智能手机的用户。与回答安全问题(他们经常会忘记答案)相比,他们更喜欢这种方法,觉得既安全又方便。其余20%的用户则更青睐通过电话来验证身份。

2. 确保所有顾客拥有明确、简洁和连贯的体验

除了为不同的客户群提供不同的体验,企业还可以提升每个客户的身份验证体验。可供使用的方法包括更有效地利用设备或数字识别等现有方法,以及全渠道验证,因为客户不希望登录时由于使用了不同的设备就被像陌生人那样对待。客户的登录信息应在所有渠道中保持不变,同时允许客户在一个渠道登录后便可使用另一个渠道,以避免重复性验证的问题。在第一资本投资公司的网站上,客户可以提出将兼具安全性和便利性的推送通知发送到其注册的移动设备上。此外,在完成网上注册并拨打客服电话后,客户也不会听到要求其再次进行验证的自动语音提示。

另一种简单有效的改进方法是提供数字化体验更好的视觉和功能设计。对于设计不一致、信息错误、传输能力弱、沟通效率不高、网站速度慢或无法访问等现象,用户会认为安全性明显下降。通过解决这些问题,便可以提高用户的整体安全感,也不会损害实际的潜在安全。当消费者觉得企业提供了“明显更吸引人的数字化体验”时,他们给出的客户满意度得分将会高出15%-20%。

最后,企业通常不够重视关于安全举措的说明。不改变后台系统功能,单是加大企业处理安全问题方法的宣传力度本身就会提高5%的客户满意度。那些技术老练的网络攻击者和备受瞩目的安全漏洞使得安全成为客户考虑的头等大事。精准营销有助于客户更好地了解身份验证过程,让他们熟知企业的实时欺诈监测程序,以及在何种账户异常的情况下企业会进行告知。比如,当系统显示客户同一天在两个城市进行交易时积极主动地与其联系,给客户进行确认或拒绝交易的机会,这就是增强客户忠诚度的一种简单易行的方法。

建设必要的能力

要让不同类型的顾客同时感到满意,离不开一套可以应用于多种互动环境的工具,因此这给企业带来了不小的挑战。为了应对挑战,企业必须将几种能力整合起来。在客户分析方面打下坚实的基础,这对于开发细分市场算法以发现那些需要迅速处理的情况与机遇至关重要。客户分析的基础可能包括客户以往的互动状况,比如浏览了指纹-ID选项但决定不使用这些选项的客户,或者决定通过电子邮件而非电话重设密码的客户。可以通过措辞严谨的客户调查来完善这些数据,以发现客户的偏好和痛点。

第二种能力是以客户为中心的设计。也就是推出每项举措时都要自问“这样做会对客户产生什么影响,或者他们会对此有何反应?”从一定程度上讲,采用这种方法意味着客户有权选择那些简单但是非侵入式的选项。一个例子是接受所有的密码,但为密码强度设置红色、黄色或绿色等不同等级,以便顾客能确定自身的偏好。

最后,在安全和技术方面具备复杂的专业能力至关重要。对于那些能产生积极影响但不会带来真正安全风险的变化和创新,企业必须从法律和技术的角度认清最新的欺诈、黑客威胁和风险敞口。如此方可明辨那些风险敞口最小的情况(由此可以满足客户偏好)与需要加大监测或控制力度的情况。要打造一支成功的客户身份验证团队,需要在设计客户体验的初期就让安全和反欺诈团队参与其中,而不是事后才让其审核设计成果。

在这个全新的客户时代,企业应将网络的安全和便利视为必须兼顾的目标。不要一味埋头于加强后台保护,而应站在客户的角度重新构思安全性。只有这样,企业才能在数字化安全方面做得更好,同时赢得客户的信任,并获得重要的竞争优势。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论