Progettare l'esperienza utente delle passkey sugli Account Google

Offrire una maggiore sicurezza e un'esperienza utente migliore agli Account Google.

Silvia Convento
Silvia Convento
Court Jacinic
Court Jacinic
Mitchell Galavan
Mitchell Galavan

Le passkey sono una tecnologia di autenticazione cross-device semplice e sicura che consente di creare account online e di accedervi senza inserire una password. Per accedere a un account, agli utenti viene semplicemente chiesto di utilizzare il blocco schermo sul proprio dispositivo, ad esempio toccando il sensore di impronte digitali.

Google collabora con la FIDO Alliance da anni, insieme ad Apple e Microsoft, per rendere disponibili le passkey in tutto il mondo. Nel 2022 abbiamo implementato il supporto delle passkey per le piattaforme in modo che gli utenti di Android e Chrome possano accedere facilmente ad app e siti web su tutti i loro dispositivi. A maggio 2023 abbiamo attivato l'accesso agli Account Google con le passkey, offrendo ai nostri utenti la sicurezza e la praticità delle passkey.

Google si trova in una posizione unica, in quanto stiamo lavorando sia all'infrastruttura per le passkey sia a uno dei più grandi servizi che le utilizzano. Stiamo implementando le passkey per gli Account Google con attenzione e deliberatamente, in modo da poter misurare i risultati e utilizzare il feedback per continuare a migliorare l'infrastruttura delle passkey e l'esperienza con gli Account Google.

Transizione degli utenti alle passkey

Le password sono il metodo di accesso standard dall'avvento delle esperienze online personalizzate. Come introdurre l'esperienza senza password delle passkey?

Da una ricerca è emerso che, in materia di autenticazione, gli utenti danno molta importanza alla comodità. Vogliono una transizione rapida e agevole all'esperienza reale, che avviene solo dopo l'accesso.

Tuttavia, il passaggio alle passkey richiede di cambiare la memoria muscolare e gli utenti devono essere convinti che valga la pena effettuare il passaggio.

L'esperienza utente delle passkey per Google.com è stata progettata strategicamente per sottolineare due principi in ogni fase della procedura di autenticazione: facilità d'uso e sicurezza.

Un'esperienza di prim'ordine

Per la maggior parte degli utenti, sarà la prima volta che vedranno le passkey
Per la maggior parte degli utenti, sarà la prima volta che vedranno le passkey.

La prima schermata della passkey che gli utenti visualizzano è leggera e facile da comprendere. L'intestazione si concentra sul vantaggio per l'utente e recita "Semplifica il tuo accesso".

Il testo del corpo spiega: "Con le passkey puoi usare la tua impronta, il tuo volto o il blocco schermo per verificare la tua identità".

L'illustrazione ha lo scopo di basare il messaggio sulla proposta di valore fatta dalla pagina. L'azione principale blu di grandi dimensioni invita l'utente a procedere. L'opzione "Non ora" è inclusa come azione secondaria per consentire agli utenti di scegliere se attivare o meno la funzionalità al momento, lasciando il controllo all'utente. L'opzione "Scopri di più" è rivolta agli utenti più curiosi che vogliono comprendere meglio le passkey prima di procedere.

Abbiamo esplorato molte iterazioni delle pagine utilizzate per presentare le passkey agli utenti durante l'accesso. Abbiamo provato contenuti che mettevano in evidenza la sicurezza, la tecnologia e altri aspetti delle passkey, ma è stata la praticità a fare la differenza. La strategia per i contenuti, le illustrazioni e il design delle interazioni di Google dimostrano questo principio fondamentale per la nostra implementazione delle passkey.

Associare il termine "passkey" a esperienze di sicurezza familiari

Le passkey sono un termine nuovo per la maggior parte degli utenti, quindi stiamo intenzionalmente esponendoli gradualmente al termine per familiarizzarli. Sulla base di ricerche interne, stiamo associando strategicamente le passkey alla sicurezza.

La parola "passkey" è inclusa in tutto il flusso di accesso nella posizione meno in evidenza del testo. Si inserisce in modo coerente tra le esperienze di sicurezza familiari che consentono l'utilizzo delle passkey: impronta, scansione del volto o altro blocco schermo del dispositivo.

La nostra ricerca ha dimostrato che molti utenti associano la biometria alla sicurezza. Anche se le passkey non richiedono la biometria (ad esempio, una passkey può essere utilizzata con il PIN di un dispositivo), stiamo puntando sull'associazione delle passkey con la biometria per migliorare la percezione degli utenti dei vantaggi in termini di sicurezza delle passkey.

I contenuti aggiuntivi disponibili facendo clic su "Scopri di più" forniscono agli utenti molte informazioni utili, tra cui la certezza che i loro dati biometrici sensibili rimangano sul loro dispositivo personale e non vengano mai memorizzati o condivisi durante la creazione o l'utilizzo delle passkey. Abbiamo adottato questo approccio perché la maggior parte degli utenti ha trovato interessante l'aspetto della praticità delle passkey, ma solo pochi hanno preso in considerazione l'elemento biometrico durante i test.

Presentare le passkey quando sono pertinenti per l'utente

Le procedure di euristica di Google determinano con attenzione chi vedrà la schermata introduttiva. Alcuni fattori sono se un utente ha attivato la verifica in due passaggi e se accede regolarmente all'account dallo stesso dispositivo.

Gli utenti con maggiori probabilità di successo con le passkey vengono selezionati per primi e, nel tempo, verranno introdotti altri utenti (anche se chiunque può iniziare subito da g.co/passkeys).

A un gruppo selezionato di utenti viene chiesto di creare una passkey dopo aver eseguito l'accesso con un nome utente e una password. Ecco alcuni motivi per cui abbiamo scelto questo punto del percorso dell'utente:

  • L'utente ha appena eseguito l'accesso, conosce le sue credenziali e il secondo passaggio.
  • Siamo certi che l'utente sia sul suo dispositivo, dato che ha appena eseguito l'accesso, quindi è improbabile che sia andato via o abbia messo giù il dispositivo.
  • Dal punto di vista statistico, l'accesso non va sempre a buon fine la prima volta, quindi un messaggio che semplifica la procedura la volta successiva ha un valore tangibile.

Posizionare le passkey come alternativa alle
password e non ancora come sostitutive

La ricerca iniziale sugli utenti mostra che molti utenti vogliono ancora le password come metodo di accesso di riserva. Inoltre, non tutti gli utenti avranno la tecnologia necessaria per adottare le passkey.

Pertanto, mentre il settore, incluso Google, si sta muovendo verso un "futuro senza password", Google sta posizionando intenzionalmente le passkey come un'alternativa semplice e sicura alle password. L'interfaccia utente di Google si concentra sui vantaggi delle passkey ed evita un linguaggio che implichi l'eliminazione delle password.

Il momento della creazione

Quando gli utenti scelgono di registrarsi, viene visualizzata una finestra modale dell'interfaccia utente specifica del browser che consente loro di creare una passkey.

La passkey stessa viene mostrata con l'icona in linea con il settore e le informazioni impiegate per crearla. Sono inclusi il nome visualizzato (un nome facile da ricordare per la passkey, ad esempio il nome reale dell'utente) e il nome utente (un nome univoco nel servizio; un indirizzo email può essere perfetto). Per quanto riguarda l'utilizzo dell'icona delle passkey, la FIDO Alliance consiglia di utilizzare l'icona delle passkey comprovata e incoraggia a personalizzarla.

L'icona delle passkey viene mostrata in modo coerente durante il percorso dell'utente per creare familiarità con ciò che vedrà quando utilizza o gestisce la passkey. L'icona della passkey non viene mai presentata senza contesto o materiale di supporto.

Quando gli utenti creano la passkey, vedono questa pagina
Quando gli utenti creano la passkey, vedono questa pagina.

Sopra abbiamo descritto il modo in cui l'utente e la piattaforma collaborano per creare una passkey. Quando l'utente fa clic su "Continua", viene visualizzata un'interfaccia utente univoca, in base alla piattaforma.

Tenendo presente questo, da una ricerca interna è emerso che una schermata di conferma una volta creata la passkey può essere molto utile in termini di comprensione e chiusura in questo passaggio della procedura.

Una volta creata la passkey, gli utenti vedranno questa pagina
Una volta creata la passkey, gli utenti vedranno questa pagina.

La schermata di conferma è una "pausa" deliberata per concludere il percorso di introduzione delle passkey a un utente e per consentirgli di creare una passkey personale. Poiché è (probabilmente) la prima volta che un utente utilizza le passkey, la finalità di questa pagina è fornire una chiusura chiara del percorso. Abbiamo scelto una pagina autonoma dopo aver provato altri strumenti, come notifiche più brevi e persino un'email di post-creazione, semplicemente per offrire un'esperienza end-to-end strutturata e stabile.

Dopo che l'utente fa clic su"Continua", viene reindirizzato alla pagina di destinazione.

Quando gli utenti accedono di nuovo, è probabile che vedano questa pagina
Quando gli utenti accedono di nuovo, è probabile che vedano questa pagina.

Accesso…

Al successivo tentativo di accesso, l'utente visualizzerà questa pagina. Vengono utilizzati lo stesso layout, la stessa illustrazione e lo stesso invito all'azione principale per rievocare la prima esperienza di "creazione" descritta sopra. Una volta che l'utente ha scelto di registrare le passkey, questa pagina dovrebbe risultargli familiare e saprà quali passaggi deve seguire per accedere.

L'utente utilizzerà questa UI WebAuthn per accedere
L'utente utilizzerà questa UI WebAuthn per accedere.

Qui si applica lo stesso principio di familiarità. Vengono intenzionalmente utilizzati la stessa iconografia, illustrazione, layout e testo. Il testo all'interno dell'interfaccia utente di WebAuthn è breve, ampio e riutilizzabile, quindi chiunque può utilizzarlo sia per l'autenticazione sia per la re-autenticazione.

Gestione delle passkey

L'introduzione di un'intera nuova pagina all'interno delle pagine delle impostazioni dell'Account Google ha richiesto un'attenta considerazione per garantire un'esperienza utente coerente, intuitiva e uniforme.

Per raggiungere questo obiettivo, abbiamo analizzato i pattern relativi a navigazione, contenuti, gerarchia, struttura e aspettative consolidate esistenti nell'Account Google.

Pagina di gestione delle passkey nell'Account Google
Pagina di gestione delle passkey nell'Account Google
.

Descrivere le passkey in base all'ecosistema

Per creare un sistema di categorie di alto livello facile da comprendere, abbiamo scelto di descrivere le passkey in base all'ecosistema. In questo modo, un utente può riconoscere dove è stata creata una passkey e dove viene impiegata. Ogni provider di identità (Google, Apple e Microsoft) ha un nome per il proprio ecosistema, quindi abbiamo scelto di utilizzarli (rispettivamente Gestore delle password di Google, Portachiavi iCloud e Windows Hello).

Per supportare questa funzionalità, abbiamo aggiunto metadati aggiuntivi, ad esempio la data di creazione, la data dell'ultimo utilizzo e il sistema operativo specifico su cui è stato utilizzato. In termini di azioni di gestione degli utenti, l'API supporta solo la ridenominazione, la revoca e la creazione.

La ridenominazione consente agli utenti di assegnare alle passkey nomi significativi per loro, il che potrebbe aiutare determinate coorti di utenti a tenerne traccia e a comprenderle più facilmente.

La revoca di una passkey non la elimina dal gestore delle credenziali personale dell'utente (come il Gestore delle password di Google), ma la rende inutilizzabile finché non viene configurata nuovamente. Ecco perché abbiamo scelto una croce, anziché un'icona del cestino o di eliminazione, per rappresentare l'azione di revoca di una passkey.

Quando si descrive l'azione di aggiunta di una passkey all'account, la frase "Crea passkey" ha avuto un'eco migliore tra gli utenti rispetto a "Aggiungi una passkey". Si tratta di una scelta di linguaggio sottile per distinguere le passkey dai token di sicurezza hardware tangibili (anche se è opportuno notare che le passkey possono essere memorizzate su alcuni token di sicurezza hardware).

Fornire contenuti aggiuntivi

La ricerca interna ha dimostrato che l'utilizzo delle passkey è un'esperienza relativamente semplice e familiare. Tuttavia, come per qualsiasi nuova tecnologia, per alcuni utenti rimangono domande e dubbi.

Il funzionamento della tecnologia alla base del blocco schermo, cosa la rende più sicura e gli scenari "what if" più comuni rilevati da Google durante i test sono trattati nei contenuti del Centro assistenza Google sulle passkey. Avere contenuti di assistenza pronti per il lancio delle passkey è fondamentale per una transizione facile per gli utenti su qualsiasi sito.

Passaggio alle passkey di riserva

Per ripristinare il vecchio sistema, è sufficiente fare clic su "Prova un altro metodo" quando a un utente viene chiesto di autenticarsi con una passkey. Inoltre, se esci dall'interfaccia utente di WebAuthn, gli utenti inizieranno un percorso per provare di nuovo la passkey o accedere al loro Account Google con i metodi tradizionali.

Conclusione

Siamo ancora agli inizi delle passkey, quindi, quando progetti l'esperienza utente, tieni presente alcuni principi:

  • Presenta le passkey quando sono pertinenti per l'utente.
  • Metti in evidenza i vantaggi delle passkey.
  • Sfrutta le opportunità per far conoscere il concetto di passkey.
  • Presenta le passkey come un'alternativa alle password e non come un sostituto.

Le scelte che abbiamo fatto per le passkey per gli Account Google si basano su best practice e ricerche interne e continueremo a far evolvere l'esperienza utente man mano che acquisiamo nuovi approfondimenti dagli utenti nel mondo reale.