søndag 2. mai 2010

Brukartesting av MinID

















I samband med levering av sjølvmelding har eg fått høve til ein reell brukartest av MinID, og det nedslåande resultatet er STRYK! Eg måtte hjelpa far min, 85 år, som hadde trøbbel med innlogging på MinID. Han hadde gløymt passordet (som så mange andre) og hadde heller ikkje tilgjengeleg epostadresse. Det burde vera kurant for systemet. Det står då også på innloggingssida at "Har du glemt passordet ditt, kan du få et midlertidig passord sendt på forhåndsregistrert mobilnummer eller e-postadresse."


Steg 1: Gløymt passord 



 Fødselsnummeret blir tasta inn og eg trykkjer på 'Neste'






Steg 2: Oppgir fnr for å få midlertidig passord 














Men hei! Det stod at eg skulle få tilsendt eit midlertidig passord, men her er kjem det ein kode som gjer at eg kan bestilla midlertidig passord. Kva skjer? Var det ikkje midlertidig passord eg skulle få i forrige trinn?


Eg tastar likevel inn koden eg fekk på mobilen og trykkjer på 'Bestill midlertidig passord'. Eg bli teken til neste skjermbilete:


Midlertidig passord er sendt til tidlegare registrert e-postadresse. Men det stod jo at eg kunne få midlertidig passord sendt til mobil eller e-postadr.


Dette held rett og slett ikkje mål. Det burde ikkje vera så vanskeleg å laga eit innloggingssystem som handterer ulike typar situasjonar på ein grei måte.

Her er det både ein forvirrande språkbruk (snakkar om å senda midlertidig passord for så å senda kode for så å få midlertidig passord!). Verre er det likevel at systemet ikkje gjer det det opplyser om (midlertidig passord kan sendast til mobil eller e-post).

Eg torer ikkje å tenkja på kva dette har kosta og kjenner eg blir "kok forbanna".

Eg ser fram til å bli korrigert fordi eg har gjort ein tabbe ein eller annan stad i prosessen.

6 kommentarer:

Unknown sa...

Enig med deg. Endte opp i samme situasjon - ble skikkelig forvirra og lei. Og føler meg jo som et ganske oppegående IT-menneske.

Laura Arlov sa...

Hei Svein, flott at du tar deg tid til å vise problemet så klart og tydelig. Jeg arbeider med brukervennlighet i det offentlige, og skal ta dette opp med mine kollegaer i MinID.

Mona Halland sa...

Jeg er helt enig i dine innvendinger, og skulle gjerne sett resultatet
annerledes på Minid. Men dessverre er det en kjede av årsaker til at resultatet
måtte bli som det ble.

Ut fra forutsetningene i prosjektet (forretningslogikk, valgte
sikkerhetsnivå og polititiske føringer) mener vi at brukeropplevelsen
ble så god som den kunne bli.

Kort sagt skyldes dette krøkkete scenariet din far måtte gjennom bl.a. følgende:
* Valgt sikkerhetsnivå for løsningen stiller en rekke krav til hvordan
man må gå fram for å få tilsendt nytt passord, avhengig av hva som er
registrert på forhånd om brukeren
* Folk forstår ikke at de må ha en kode (det virker unødvendig, men
kreves av sikkerhetshensyn)
* Vi vet også at folk sliter med å forstå forskjellen mellom
midlertidig kode, midlertidig passord og passord (jeg sliter selv!)

Summa sumarum vurderte vi at det var et dårligere designvalg å
forklare innviklede avhengigheter til folk enn å "lose" dem gjennom en
prosess som vi vet ikke er ideell, men som brukertester viste var det
minste av flere "onder". Og vi vurderte og foreslo MANGE forskjellige
alternativer.

Dessverre kan jeg ikke gå inn på alle detaljer her fordi jeg er
underlagt taushetserklæring, men ring meg gjerne så kan jeg forklare
nærmere :)

Og ja, tjenesten er brukertestet. Riktignok ikke på folk over 70, men
vi hadde svaksynte, dyslektikere og folk over 50, og det var faktisk
de eldste som klarte seg aller best.

Og det virker på meg som din far kom seg inn til slutt, tross alt?

Svein Ø sa...

Først takk for avklaring, Mona. Eg forstår likevel ikkje at innlogginga må bli så krøkkete og at det ikkje skal vera muleg å forklara prosessen på ein relativt enkel måte.

Hadde dette vore ei tilfeldig e-handelsløysing, ville det ikkje vore så farleg om løysinga ikkje var bra. Men dette er ei offentleg teneste, og etter kvart er det lagt opp slik at du nesten _må_ bruka den. Då må det stillast heilt andre krav, i demokratiets namn! Her er det Difi som må ta ansvaret, og eg saknar dei i denne debatten.

Men eg ville ikkje vore komfortabel med eit slikt resultat om eg hadde vore rådgivar. Av og til må ein kanskje setja foten ned og seia at dette er ikkje godt nok for å få oppdragsgjevar til å innsjå problema. Men det er jo lettare sagt enn gjort..

Og nei, far min måtte gi opp og levera papirversjonen :-(

Jon Holden, Difi sa...

Takk for at du deler dine erfaringer med MinID.

Til tross for at løsningen var brukertestet før produksjonssetting, vil det alltid være ting som er for forbedringer. Vi tar med oss dine erfaringer som innspill til det videre eID-arbeidet i Difi.

MinID er en komplisert løsning – med flere ulike løp, avhengig av hva som er registrert og valgt av brukeren. For å få midlertidig passord, må man autentisere seg. Autentisering kan gjøres med kode fra pin-kodebrev eller – for dem som har godtatt det – kode tilsendt på SMS. Deretter kan midlertidig passord sendes i e-post eller på SMS, avhengig av hva brukeren har registrert. Av sikkerhetsmessige hensyn kan imidlertid ikke midlertidig passord sendes på SMS dersom brukeren har autentisert seg med kode på SMS.

Vi er takknemlige for innspill til hvordan brukerdialogen kan forbedres.

Svein Ø sa...

Takk for svar. Det er nok sikkert krevjande å fanga opp alle brukarsituasjonar i innlogginga på MinID. Men det er viktig at prosessen i dei ulike situasjonane blir forklart så nøye som muleg. Akkurat her er det klare rom for forbetringar. Eg bidreg gjerne med innspel og råd til ei slik forbetring.