酷澎在台灣資安會議上分享了一套从“DevSecOps做安全”到“信任设计做体验”的思路。酷澎的数位信任团队全球资安总监 Stanley Chou 指出:过去大家把资安当作目标,但现在资安的更大任务,是让用户愿意信任系统,而不是让系统自己看起来很安全。
DevSecOps强调把安全前移,让系统在开发过程中尽量避免风险。但 Stanley 直言:仅靠“我们很安全”并不能消除用户的不确定感(Uncertainty)。当使用单位被问“这个系统够不够安全?”用户感到的往往不是技术细节,而是那份不确定:我会不会被盗?我的输入会不会被滥用?尤其在涉及敏感信息的B2C关键环节,例如建账号要输密码、填写个人资料、输入信用卡等,以及电商旅程里最大的决策节点——付款。用户如果心里“没把握”,就会拖延、犹豫,甚至直接放弃。
Stanley提出,信任不是让用户盲信,而是可以被“设计”。核心概念是 Trust Design:以安全为底座,进一步把信任做成“可理解、可验证、可持续”的闭环。具体来说,要把模糊的不安转化为清楚且可量测的“信任承诺(trust commitment)”,并证明承诺确实有效。
落地上,信任设计建议三步走:第一,先定义关键场景;第二,挖掘信任失效模式。失效并不等同于系统漏洞,而是需要通过多轮访谈或问答追查“用户为何会觉得不安全”的深层原因。例如用户担心输入密码不安全,可能因为其在其他服务上复用密码,或怕秘密被共享;也可能遭遇撞库、账号密码泄露后的连带风险。团队可以借鉴威胁建模思维,从攻击者可能制造的情境反推“不安从何而来”。
第三步,建立明确定义的信任承诺,并用三维度验证:边界(信任能力覆盖范围)、保證(系统是否真的能按承诺运作,可用指标或记录证明)以及韧性(承诺在变化与扰动下能否维持功效)。更重要的是持续校准:通过指标监测信任是否偏移,一旦发现承诺与真实效果不一致,不要只是加控,更要重新对齐承诺目标。
Stanley用 Passkey(FIDO2免密登入)给出示例:登录阶段用户最常犹豫的点在于“密码是否会被截获或被撞库”。酷澎与产品团队协作完成Passkey支援后,把关键信任失效归因到“秘密共享”风险。采用非对称认证与更强的来源校验,尽量避免私钥落到系统端,从而降低中间人假冒与秘密泄露的不确定感;同时追踪最关键指标:采用率与实际使用率,验证机制是否真被信任并顺利运作。未来还会进一步强化Passkey建立阶段的身份确认,确保密钥真正由本人创建。
简单说,真正能让用户安心的,不只是“系统更安全”,而是把不确定感拆解、量化、承诺化,再用证据与韧性持续证明:你确实值得被信任。
