มอบความปลอดภัยที่ดียิ่งขึ้นและประสบการณ์การใช้งานที่ดีขึ้นให้กับบัญชี Google
พาสคีย์เป็นเทคโนโลยีการตรวจสอบสิทธิ์ข้ามอุปกรณ์ที่ปลอดภัยและใช้งานง่าย ซึ่งช่วยให้คุณสร้างบัญชีออนไลน์และลงชื่อเข้าใช้บัญชีดังกล่าวได้โดยไม่ต้องป้อนรหัสผ่าน หากต้องการเข้าสู่ระบบบัญชี ผู้ใช้จะเห็นข้อความแจ้งให้ใช้การล็อกหน้าจอในอุปกรณ์ เช่น การแตะเซ็นเซอร์ลายนิ้วมือ
Google ทำงานร่วมกับ FIDO Alliance มาหลายปีแล้ว ร่วมกับ Apple และ Microsoft เพื่อนำพาสคีย์มาสู่โลก ในปี 2022 เราได้เปิดตัวการรองรับพาสคีย์ในแพลตฟอร์มเพื่อให้ผู้ใช้ Android และ Chrome ลงชื่อเข้าใช้แอปและเว็บไซต์ในอุปกรณ์ทุกเครื่องได้อย่างราบรื่น ในเดือนพฤษภาคม 2023 เราได้เปิดใช้การลงชื่อเข้าใช้บัญชี Google ด้วยพาสคีย์ เพื่อมอบความปลอดภัยและความสะดวกของพาสคีย์ให้แก่ผู้ใช้
Google อยู่ในจุดที่พิเศษ เนื่องจากเราทั้งพัฒนาโครงสร้างพื้นฐานสำหรับพาสคีย์และเป็นบริการรายใหญ่ที่สุดที่ใช้พาสคีย์ เรากำลังเปิดตัวพาสคีย์สำหรับบัญชี Google อย่างรอบคอบและระมัดระวัง เพื่อให้วัดผลลัพธ์และใช้ความคิดเห็นนั้นเพื่อปรับปรุงโครงสร้างพื้นฐานของพาสคีย์และประสบการณ์การใช้งานบัญชี Google ต่อไป
การเปลี่ยนผู้ใช้ไปใช้พาสคีย์
รหัสผ่านเป็นวิธีการลงชื่อเข้าใช้มาตรฐานนับตั้งแต่มีการพัฒนาประสบการณ์การใช้งานออนไลน์ที่ปรับเปลี่ยนในแบบของคุณ เราจะเปิดตัวประสบการณ์การใช้งานพาสคีย์แบบไม่ต้องใช้รหัสผ่านได้อย่างไร
ผลการวิจัยระบุว่าเมื่อพูดถึงการตรวจสอบสิทธิ์ ผู้ใช้ให้ความสำคัญกับความสะดวกมากที่สุด ผู้ใช้ต้องการเปลี่ยนผ่านไปยังประสบการณ์การใช้งานจริงที่ราบรื่นและรวดเร็ว ซึ่งจะเกิดขึ้นหลังจากลงชื่อเข้าใช้เท่านั้น
อย่างไรก็ตาม การเปลี่ยนไปใช้พาสคีย์จำเป็นต้องอาศัยความเคยชิน และผู้ใช้ต้องเชื่อว่าการเปลี่ยนไปใช้พาสคีย์นั้นคุ้มค่า
ประสบการณ์ของผู้ใช้พาสคีย์สำหรับ Google.com ได้รับการออกแบบมาอย่างมีกลยุทธ์เพื่อเน้นหลักการ 2 ข้อในทุกขั้นตอนของกระบวนการตรวจสอบสิทธิ์ ได้แก่ ใช้งานง่ายและปลอดภัย
มอบความสะดวกสบายที่เหนือกว่า
หน้าจอพาสคีย์แรกที่ผู้ใช้เห็นจะเบาและเข้าใจง่าย ส่วนส่วนหัวจะเน้นที่ประโยชน์ของผู้ใช้ โดยระบุว่า "ลดความซับซ้อนในการลงชื่อเข้าใช้"
ข้อความอธิบายว่า "ตอนนี้พาสคีย์จะทำให้คุณใช้ลายนิ้วมือ ใบหน้า หรือการล็อกหน้าจอเพื่อยืนยันตัวตนได้"
ภาพมีไว้เพื่อเชื่อมโยงข้อความกับคุณค่าที่หน้าเว็บนำเสนอ การดําเนินการหลักขนาดใหญ่สีน้ําเงินกระตุ้นให้ผู้ใช้ดําเนินการต่อ "ไม่ตอนนี้" จะรวมอยู่ในการดําเนินการรองเพื่อให้ผู้ใช้เลือกว่าจะเลือกใช้ในตอนนี้หรือไม่ ซึ่งจะช่วยให้ผู้ใช้มีสิทธิ์ควบคุม และจะมีตัวเลือก "ดูข้อมูลเพิ่มเติม" สำหรับผู้ใช้ที่อยากรู้อยากเห็นมากที่สุดซึ่งต้องการทำความเข้าใจพาสคีย์ให้ดียิ่งขึ้นก่อนดำเนินการต่อ
เราได้สำรวจหน้าเว็บที่ใช้แนะนำพาสคีย์ให้ผู้ใช้ทราบในระหว่างการลงชื่อเข้าใช้หลายเวอร์ชัน ซึ่งรวมถึงการลองใช้เนื้อหาที่เน้นความปลอดภัย เทคโนโลยี และด้านอื่นๆ ของพาสคีย์ แต่ความสะดวกกลับเป็นสิ่งที่โดนใจมากที่สุด กลยุทธ์เนื้อหา ภาพประกอบ และการออกแบบการโต้ตอบของ Google แสดงให้เห็นถึงหลักการหลักนี้ในการใช้งานพาสคีย์
การเชื่อมโยงคำว่า "พาสคีย์" กับประสบการณ์ด้านความปลอดภัยที่คุ้นเคย
พาสคีย์เป็นคำศัพท์ใหม่สำหรับผู้ใช้ส่วนใหญ่ เราจึงตั้งใจที่จะค่อยๆ แนะนำคำนี้ให้ผู้ใช้คุ้นเคย เราเชื่อมโยงพาสคีย์กับการรักษาความปลอดภัยอย่างมีกลยุทธ์โดยอิงตามการวิจัยภายใน
คำว่า "พาสคีย์" จะรวมอยู่ในขั้นตอนการลงชื่อเข้าใช้ตลอดทั้งข้อความที่แสดงในตำแหน่งที่โดดเด่นน้อยกว่า พาสคีย์จะทำงานร่วมกับประสบการณ์ด้านความปลอดภัยที่คุ้นเคยซึ่งช่วยให้ใช้พาสคีย์ได้ เช่น ลายนิ้วมือ การสแกนใบหน้า หรือการล็อกหน้าจออุปกรณ์อื่นๆ
งานวิจัยของเราแสดงให้เห็นว่าผู้ใช้จำนวนมากเชื่อมโยงข้อมูลไบโอเมตริกกับความปลอดภัย แม้ว่าพาสคีย์จะไม่ต้องใช้ข้อมูลไบโอเมตริก (เช่น ใช้พาสคีย์กับ PIN ของอุปกรณ์ได้) แต่เรากำลังมุ่งเน้นที่การเชื่อมโยงพาสคีย์กับข้อมูลไบโอเมตริกเพื่อเพิ่มการรับรู้ของผู้ใช้เกี่ยวกับประโยชน์ด้านความปลอดภัยของพาสคีย์
เนื้อหาเพิ่มเติมที่อยู่หลัง "ดูข้อมูลเพิ่มเติม" มีข้อมูลที่เป็นประโยชน์มากมายสําหรับผู้ใช้ รวมถึงการรับรองให้ผู้ใช้ทราบว่าข้อมูลไบโอเมตริกที่ละเอียดอ่อนจะยังคงอยู่ในอุปกรณ์ส่วนตัวของผู้ใช้ และจะไม่จัดเก็บหรือแชร์เมื่อสร้างหรือใช้พาสคีย์ เราใช้แนวทางนี้เนื่องจากผู้ใช้ส่วนใหญ่พบว่าแง่มุมความสะดวกของพาสคีย์น่าสนใจ แต่มีเพียงไม่กี่คนที่คำนึงถึงองค์ประกอบข้อมูลไบโอเมตริกระหว่างการทดสอบ
แนะนำพาสคีย์เมื่อเกี่ยวข้องกับผู้ใช้
วิธีการหาค่าประมาณของ Google จะพิจารณาอย่างละเอียดว่าใครจะเห็นหน้าจอแนะนำ ปัจจัยบางอย่าง ได้แก่ ผู้ใช้เปิดใช้การยืนยันแบบ 2 ขั้นตอนหรือไม่ และผู้ใช้เข้าถึงบัญชีนั้นเป็นประจำจากอุปกรณ์เครื่องเดียวกันหรือไม่
ระบบจะเลือกผู้ใช้ที่มีแนวโน้มจะใช้งานพาสคีย์ได้สําเร็จมากที่สุดก่อน และจะเปิดตัวให้ผู้ใช้จำนวนมากขึ้นได้ใช้งานในอนาคต (แต่ทุกคนสามารถเริ่มต้นใช้งานได้ที่ g.co/passkeys ในวันนี้)
ระบบจะแจ้งให้ผู้ใช้บางรายสร้างพาสคีย์หลังจากลงชื่อเข้าใช้ด้วยชื่อผู้ใช้และรหัสผ่าน เหตุผลที่เราเลือกจุดนี้ในเส้นทางของผู้ใช้มีดังนี้
- ผู้ใช้เพิ่งลงชื่อเข้าใช้ จึงทราบข้อมูลเข้าสู่ระบบและขั้นตอนที่ 2
- เรามั่นใจว่าผู้ใช้อยู่ในอุปกรณ์เนื่องจากเพิ่งลงชื่อเข้าใช้ จึงไม่น่าเป็นไปได้ที่ผู้ใช้จะเดินออกไปหรือวางอุปกรณ์
- จากสถิติแล้ว การลงชื่อเข้าใช้อาจไม่สำเร็จในครั้งแรกเสมอไป ดังนั้นข้อความที่ช่วยให้การลงชื่อเข้าใช้ครั้งถัดไปง่ายขึ้นจึงมีคุณค่าที่จับต้องได้
นำเสนอพาสคีย์เป็นทางเลือกแทน
รหัสผ่าน แต่ยังไม่ใช้แทนรหัสผ่าน
การวิจัยผู้ใช้เบื้องต้นแสดงให้เห็นว่าผู้ใช้จํานวนมากยังคงต้องการใช้รหัสผ่านเป็นวิธีการลงชื่อเข้าใช้สำรอง และผู้ใช้บางรายอาจไม่มีเทคโนโลยีที่จำเป็นในการใช้พาสคีย์
ดังนั้นในขณะที่อุตสาหกรรม รวมถึง Google กำลังมุ่งสู่ "อนาคตที่ไม่ต้องใช้รหัสผ่าน" Google ก็ตั้งใจที่จะวางพาสคีย์เป็นทางเลือกที่ใช้งานง่ายและปลอดภัยแทนการใช้รหัสผ่าน UI ของ Google จะเน้นที่ประโยชน์ของพาสคีย์และหลีกเลี่ยงการใช้ภาษาที่สื่อว่าเลิกใช้รหัสผ่าน
ช่วงเวลาแห่งการสร้าง
เมื่อเลือกลงทะเบียน ผู้ใช้จะเห็นโมดัล UI สำหรับเบราว์เซอร์ที่เฉพาะเจาะจง ซึ่งจะช่วยให้สร้างพาสคีย์ได้
โดยพาสคีย์จะแสดงพร้อมกับไอคอนที่สอดคล้องกับอุตสาหกรรมและข้อมูลที่ใช้สร้างพาสคีย์ ซึ่งรวมถึงชื่อที่แสดง (ชื่อที่เข้าใจง่ายสำหรับพาสคีย์ เช่น ชื่อจริงของผู้ใช้) และชื่อผู้ใช้ (ชื่อที่ไม่ซ้ำกันในบริการ ซึ่งอีเมลก็เหมาะที่จะใช้เป็นชื่อนี้) ในส่วนของการทำงานกับไอคอนพาสคีย์ FIDO Alliance ขอแนะนำให้ใช้ไอคอนพาสคีย์ที่ผ่านการพิสูจน์แล้ว และสนับสนุนให้ปรับแต่งไอคอนให้เหมาะกับคุณ
ไอคอนพาสคีย์จะแสดงอย่างสม่ำเสมอตลอดเส้นทางของผู้ใช้เพื่อสร้างความรู้สึกคุ้นเคยกับสิ่งที่ผู้ใช้จะเห็นเมื่อใช้หรือจัดการพาสคีย์ ไอคอนพาสคีย์จะไม่แสดงโดยไม่มีบริบทหรือเนื้อหาสนับสนุน
ด้านบนเราได้อธิบายวิธีที่ผู้ใช้และแพลตฟอร์มทำงานร่วมกันเพื่อสร้างพาสคีย์ เมื่อผู้ใช้คลิก "ต่อไป" ระบบจะแสดง UI ที่ไม่ซ้ำกัน ทั้งนี้ขึ้นอยู่กับแพลตฟอร์ม
จากข้อมูลดังกล่าว เราทราบจากการวิจัยภายในว่าหน้าจอยืนยันเมื่อสร้างพาสคีย์แล้วมีประโยชน์มากในแง่ของการทําความเข้าใจและปิดขั้นตอนนี้
หน้าจอยืนยันเป็น "ช่วงพัก" ที่ตั้งใจสร้างขึ้นเพื่อปิดท้ายเส้นทางการแนะนำพาสคีย์ให้ผู้ใช้ทราบและอธิบายขั้นตอนการสร้างพาสคีย์ของตนเอง เนื่องจาก (น่าจะ) เป็นการใช้งานพาสคีย์ครั้งแรกของผู้ใช้ หน้านี้มีจุดประสงค์เพื่อปิดท้ายเส้นทางอย่างชัดเจน เราเลือกหน้าเว็บแบบสแตนด์อโลนหลังจากลองใช้เครื่องมืออื่นๆ เช่น การแจ้งเตือนขนาดเล็ก และแม้แต่อีเมลหลังการสร้าง เพียงเพื่อให้คุณได้รับประสบการณ์การใช้งานที่สมบูรณ์แบบตั้งแต่ต้นจนจบ
เมื่อผู้ใช้คลิก "ต่อไป" ระบบจะนำผู้ใช้ไปยังปลายทาง
กำลังลงชื่อเข้าใช้
เมื่อผู้ใช้พยายามลงชื่อเข้าใช้ในครั้งถัดไป ระบบจะแสดงหน้านี้ หน้านี้ใช้เลย์เอาต์ ภาพที่แสดง และคำกระตุ้นให้ดำเนินการ (Call-To-Action) หลักเดียวกันเพื่อกระตุ้นประสบการณ์ "การสร้าง" ครั้งแรกตามที่ระบุไว้ข้างต้น เมื่อผู้ใช้เลือกลงทะเบียนพาสคีย์แล้ว หน้านี้จะดูคุ้นเคยและผู้ใช้จะทราบขั้นตอนที่ต้องทำเพื่อลงชื่อเข้าใช้
หลักการความคุ้นเคยก็ใช้กับกรณีนี้ด้วย ป้ายนี้ใช้สัญลักษณ์ ภาพ เลย์เอาต์ และข้อความเดียวกันโดยเจตนา ข้อความภายใน UI ของ WebAuthn จะต้องสั้น ครอบคลุม และนํามาใช้ซ้ำได้ เพื่อให้ทุกคนสามารถใช้ทั้งสําหรับการตรวจสอบสิทธิ์และการตรวจสอบสิทธิ์อีกครั้ง
การจัดการพาสคีย์
การเปิดตัวหน้าใหม่ทั้งหมดภายในหน้าการตั้งค่าบัญชี Google นั้นต้องอาศัยการพิจารณาอย่างรอบคอบเพื่อให้ผู้ใช้ได้รับประสบการณ์การใช้งานที่สอดคล้องกัน ใช้งานง่าย และต่อเนื่อง
ในการทำเช่นนี้ เราได้วิเคราะห์รูปแบบการนําทาง เนื้อหา ลําดับชั้น โครงสร้าง และสิ่งที่ผู้ใช้คาดหวังซึ่งอยู่ในบัญชี Google
อธิบายพาสคีย์ตามระบบนิเวศ
เราตัดสินใจที่จะอธิบายพาสคีย์ตามระบบนิเวศเพื่อสร้างระบบหมวดหมู่ระดับสูงที่เข้าใจได้ง่าย วิธีนี้ช่วยให้ผู้ใช้ทราบว่าพาสคีย์สร้างขึ้นที่ใดและใช้ที่ใด ผู้ให้บริการข้อมูลประจำตัวแต่ละราย (Google, Apple และ Microsoft) มีชื่อสำหรับระบบนิเวศของตน เราจึงเลือกใช้ชื่อเหล่านั้น (Google Password Manager, iCloud Keychain และ Windows Hello ตามลำดับ)
ด้วยเหตุนี้ เราจึงเพิ่มข้อมูลเมตาเพิ่มเติม เช่น วันที่สร้าง วันที่ใช้ครั้งล่าสุด และระบบปฏิบัติการที่ใช้งาน ในแง่ของการดำเนินการจัดการผู้ใช้ API รองรับเฉพาะการเปลี่ยนชื่อ การเพิกถอน และการสร้างเท่านั้น
การเปลี่ยนชื่อช่วยให้ผู้ใช้กำหนดชื่อที่มีความหมายส่วนตัวให้กับพาสคีย์ได้ ซึ่งอาจช่วยให้กลุ่มผู้ใช้บางกลุ่มติดตามและเข้าใจพาสคีย์ได้ง่ายขึ้น
การเพิกถอนพาสคีย์จะไม่ลบพาสคีย์ออกจากเครื่องมือจัดการข้อมูลเข้าสู่ระบบส่วนบุคคลของผู้ใช้ (เช่น เครื่องมือจัดการรหัสผ่านของ Google) แต่จะทำให้พาสคีย์ใช้งานไม่ได้จนกว่าจะตั้งค่าอีกครั้ง ด้วยเหตุนี้ เราจึงเลือกเครื่องหมายกากบาทแทนไอคอนถังขยะหรือลบเพื่อแสดงการเพิกถอนพาสคีย์
เมื่ออธิบายการดําเนินการของการเพิ่มพาสคีย์ลงในบัญชี วลี "สร้างพาสคีย์" ดึงดูดผู้ใช้ได้ดีกว่าวลี "เพิ่มพาสคีย์" นี่เป็นทางเลือกของภาษาที่ละเอียดอ่อนเพื่อแยกความแตกต่างระหว่างพาสคีย์กับคีย์ความปลอดภัยแบบฮาร์ดแวร์ที่มีตัวตน (แต่โปรดทราบว่าพาสคีย์จัดเก็บได้ในคีย์ความปลอดภัยแบบฮาร์ดแวร์บางรุ่น)
การให้เนื้อหาเพิ่มเติม
การวิจัยภายในแสดงให้เห็นว่าการใช้พาสคีย์เป็นประสบการณ์ที่ค่อนข้างราบรื่นและผู้ใช้คุ้นเคย อย่างไรก็ตาม ผู้ใช้บางรายอาจมีข้อสงสัยและความกังวลเกี่ยวกับเทคโนโลยีใหม่นี้อยู่
เนื้อหาในศูนย์ช่วยเหลือของ Google จะอธิบายวิธีการทำงานของเทคโนโลยีที่อยู่เบื้องหลังการล็อกหน้าจอ ปัจจัยที่ทำให้ปลอดภัยยิ่งขึ้น และสถานการณ์ "จะเกิดอะไรขึ้นหาก" ที่พบบ่อยที่สุดซึ่ง Google พบระหว่างการทดสอบ การมีเนื้อหาสนับสนุนพร้อมใช้งานเมื่อเปิดตัวพาสคีย์เป็นสิ่งสำคัญอย่างยิ่งต่อการเปลี่ยนผ่านที่ง่ายดายสำหรับผู้ใช้ในเว็บไซต์ต่างๆ
การเปลี่ยนจากพาสคีย์
การกลับไปใช้ระบบเดิมนั้นง่ายเพียงคลิก "ลองวิธีอื่น" เมื่อระบบขอให้ผู้ใช้ตรวจสอบสิทธิ์ด้วยพาสคีย์ นอกจากนี้ การออกจาก UI WebAuthn จะพาผู้ใช้ไปยังเส้นทางที่ผู้ใช้ต้องลองใช้พาสคีย์อีกครั้ง หรือลงชื่อเข้าใช้บัญชี Google ด้วยวิธีเดิม
บทสรุป
เรายังอยู่ในช่วงเริ่มต้นของพาสคีย์ ดังนั้นเมื่อออกแบบประสบการณ์ของผู้ใช้ โปรดคำนึงถึงหลักการต่อไปนี้
- แนะนำพาสคีย์เมื่อเกี่ยวข้องกับผู้ใช้
- ไฮไลต์ประโยชน์ของพาสคีย์
- ใช้โอกาสต่างๆ ในการสร้างความคุ้นเคยกับแนวคิดพาสคีย์
- นำเสนอพาสคีย์เป็นทางเลือกแทนรหัสผ่าน ไม่ใช่ตัวทดแทน
ตัวเลือกที่เราเลือกสำหรับพาสคีย์ของบัญชี Google นั้นอิงตามแนวทางปฏิบัติแนะนำและการวิจัยภายใน และเราจะพัฒนาประสบการณ์ของผู้ใช้ต่อไปเมื่อได้รับข้อมูลเชิงลึกใหม่ๆ จากผู้ใช้ในชีวิตจริง