Ketika berbicara tentang keamanan digital, khususnya enkripsi, salah satu tantangan terbesar adalah membuat teknologi tersebut mudah digunakan oleh semua orang, bukan hanya para ahli. Jurnal “Why Johnny Can’t Encrypt: A Usability Evaluation of PGP 5.0” mengangkat isu ini dengan sangat menarik, mengungkapkan mengapa pengguna biasa sering kali kesulitan menggunakan alat enkripsi seperti PGP (Pretty Good Privacy) 5.0.
Apa itu PGP
Pretty Good Privacy (PGP) adalah sistem enkripsi yang digunakan untuk mengirim email terenkripsi dan mengenkripsi berkas sensitif. Sejak ditemukan pada tahun 1991, PGP telah menjadi standar de facto untuk keamanan email.
Popularitas PGP didasarkan pada dua faktor. Yang pertama adalah bahwa sistem tersebut awalnya tersedia sebagai perangkat lunak gratis, dan menyebar dengan cepat di antara pengguna yang menginginkan tingkat keamanan ekstra untuk pesan email mereka. Yang kedua adalah karena PGP menggunakan enkripsi simetris dan enkripsi kunci publik, sistem ini memungkinkan pengguna yang belum pernah bertemu untuk saling mengirim pesan terenkripsi tanpa harus bertukar kunci enkripsi pribadi.
Yang paling menarik dari jurnal ini adalah penemuan bahwa PGP 5.0, meskipun dipasarkan sebagai alat enkripsi dengan antarmuka pengguna yang ditingkatkan, ternyata tidak cukup intuitif untuk digunakan oleh pengguna umum. Menurut jurnal ini, hanya sepertiga dari peserta yang berhasil mengenkripsi dan menandatangani email dengan benar dalam waktu 90 menit. Hasil ini diperoleh melalui dua metode evaluasi, yaitu cognitive walkthrough dan uji pengguna di laboratorium.
Selama uji pengguna, peserta diberikan skenario di mana mereka diminta untuk mengenkripsi pesan rahasia yang akan dikirim ke lima anggota tim kampanye politik. Tugas tersebut mengharuskan mereka untuk menghasilkan pasangan kunci, mendapatkan kunci publik dari anggota tim, dan mengenkripsi serta menandatangani pesan dengan benar. Namun, hasil uji menunjukkan bahwa banyak peserta kesulitan memahami model kunci publik dan bahkan tidak tahu harus memulai dari mana. Tujuh dari dua belas peserta menggunakan kunci publik mereka sendiri untuk mengenkripsi email yang ditujukan kepada orang lain, sebuah kesalahan fatal yang menyebabkan pesan tersebut tidak bisa dibaca oleh penerima.
IMO
Bagi saya, yang telah bekerja sebagai developer backend dan fullstack sejak 2014, temuan ini sangat relevan. Ini menggarisbawahi betapa pentingnya mendesain antarmuka yang benar-benar mudah dipahami oleh pengguna awam, terutama dalam konteks Indonesia di mana literasi digital mungkin belum sebaik di negara-negara maju. Jika PGP atau alat enkripsi serupa akan diadopsi di perusahaan-perusahaan lokal atau bahkan dalam penggunaan sehari-hari, ada kebutuhan mendesak untuk merancang antarmuka yang lebih intuitif. Misalnya, kita bisa mempertimbangkan untuk menyederhanakan proses enkripsi, mungkin dengan memperkenalkan wizards yang memandu pengguna langkah demi langkah dalam proses enkripsi dan dekripsi, atau bahkan memperkenalkan visualisasi yang lebih jelas untuk memisahkan konsep kunci publik dan kunci pribadi.
Jurnal ini juga menunjukkan bahwa meskipun PGP 5.0 menggunakan ikon-ikon visual seperti kunci dan gembok untuk membantu pengguna memahami proses enkripsi, hal ini tidak cukup untuk mengatasi kebingungan mereka. Ikon yang digunakan untuk operasi penandatanganan dan enkripsi tidak secara jelas membedakan antara kunci publik dan pribadi. Bahkan, banyak peserta yang mengira bahwa mereka dapat mendekripsi pesan yang mereka enkripsi sendiri, yang tentu saja salah jika mereka menggunakan kunci publik.
Selain itu, dalam uji kognitif, peneliti menemukan bahwa antarmuka PGP sering kali memberikan terlalu banyak informasi yang membingungkan pengguna. Misalnya, tampilan utama PGPKeys menunjukkan banyak detail seperti tingkat kepercayaan dan validitas kunci, yang tidak relevan bagi sebagian besar pengguna dan hanya menambah kebingungan.
Dengan berbagai masalah yang diungkapkan oleh penelitian ini, menjadi jelas bahwa jika kita ingin memperkenalkan teknologi enkripsi yang lebih luas di Indonesia, kita harus fokus pada penyederhanaan antarmuka pengguna dan memastikan bahwa alat-alat tersebut dapat dioperasikan dengan mudah bahkan oleh mereka yang tidak memiliki latar belakang teknis yang kuat.
Wooww…!
Hal yang paling mengejutkan dari jurnal ini adalah kenyataan bahwa seperempat dari peserta (25%) secara tidak sengaja mengirimkan pesan rahasia tanpa enkripsi, mengira bahwa mereka telah mengenkripsinya. Hal ini menunjukkan bahwa pengguna sering kali tidak menyadari kesalahan mereka, yang tentu saja bisa berakibat fatal dalam konteks keamanan.
Lebih lanjut, hasil penelitian menunjukkan bahwa tiga dari dua belas peserta mengalami kesalahan ini saat mereka mencoba memahami sistem dengan cara “trial and error.” Dua dari tiga peserta menyadari kesalahan mereka segera setelah mengirim pesan, tetapi salah satu peserta (P4) bahkan tidak menyadari bahwa pesan yang ia kirimkan tidak terenkripsi. Dia tampaknya berpikir bahwa enkripsi adalah proses yang otomatis dan transparan, yang jelas merupakan kesalahpahaman.
Hmmm!
Temuan ini mengubah pandangan saya tentang pentingnya edukasi dan desain antarmuka yang lebih baik dalam konteks Indonesia. Jika kita ingin mendorong adopsi enkripsi yang lebih luas, perlu ada sistem peringatan yang jelas dan langsung untuk memastikan bahwa pengguna benar-benar telah melakukan tindakan yang diperlukan. Misalnya, antarmuka yang lebih interaktif yang memberikan umpan balik langsung ketika pengguna mencoba mengirim pesan tanpa enkripsi dapat sangat membantu. Selain itu, ada kebutuhan untuk meningkatkan literasi digital di Indonesia agar pengguna lebih memahami pentingnya dan cara kerja enkripsi dalam menjaga keamanan komunikasi mereka.
Namun, setelah mempelajari jurnal ini, saya masih bertanya-tanya: Apakah mungkin menciptakan alat enkripsi yang bisa digunakan dengan benar oleh siapa saja, terlepas dari pengetahuan teknis mereka? Jurnal ini menyoroti bahwa standar desain antarmuka yang berlaku untuk perangkat lunak konsumen umum tidak cukup untuk keamanan digital, karena keamanan memerlukan pemahaman dan kewaspadaan yang lebih tinggi dari pengguna.
Untuk mencari jawabannya, saya akan mengeksplorasi lebih lanjut pendekatan “usability by design” yang lebih mendalam, di mana keamanan bukan hanya fitur tambahan tetapi inti dari pengalaman pengguna. Mungkin langkah selanjutnya adalah melakukan penelitian lebih lanjut di Indonesia, untuk memahami bagaimana pengguna lokal berinteraksi dengan alat keamanan dan apa yang bisa dilakukan untuk membuat proses tersebut lebih intuitif dan efektif.