Google hesaplarındaki geçiş anahtarlarının kullanıcı deneyimini tasarlama

Google Hesaplarında daha iyi güvenlik ve daha iyi bir kullanıcı deneyimi sağlama.

Silvia Convento
Silvia Convento
Court Jacinic
Court Jacinic
Mitchell Galavan
Mitchell Galavan

Geçiş anahtarları, online hesaplar oluşturmayı ve bu hesaplarda şifre girmeden oturum açmayı sağlayan basit ve güvenli cihazlar arası kimlik doğrulama teknolojisidir. Bir hesaba giriş yapmak için kullanıcılara, cihazlarındaki ekran kilidini kullanmaları yönünde bir istem gösterilir (ör. parmak izi sensörüne dokunma).

Google, geçiş anahtarlarını dünyaya sunmak için yıllardır Apple ve Microsoft ile birlikte FIDO Alliance ile çalışmaktadır. 2022'de Android ve Chrome kullanıcılarının tüm cihazları üzerinden uygulamalarda ve web sitelerinde sorunsuz bir şekilde oturum açabilmesi amacıyla geçiş anahtarları için platform desteğini kullanıma sunduk. Mayıs 2023'te, geçiş anahtarlarının güvenliğini ve kolaylığını kullanıcılarımıza sunarak Google Hesaplarında geçiş anahtarı ile oturum açmayı etkinleştirdik.

Google olarak eşsiz bir konuma sahip çünkü hem geçiş anahtarları için altyapı üzerinde çalışıyoruz hem de bunları kullanan en büyük hizmetlerden biriyiz. Google Hesapları için geçiş anahtarlarını dikkatli ve kasıtlı bir şekilde kullanıma sunuyoruz. Böylece sonuçları ölçebiliyor ve bu geri bildirimleri geçiş anahtarı altyapısını ve Google hesabı deneyimini iyileştirmeye devam etmek için kullanabiliriz.

Kullanıcıları geçiş anahtarlarına taşıma

Şifreler, kişiselleştirilmiş online deneyimlerin ortaya çıkışından beri standart oturum açma yöntemi olmuştur. Şifre anahtarlarının şifresiz deneyimini nasıl sunabiliriz?

Araştırmalar, kimlik doğrulama söz konusu olduğunda kullanıcıların en çok rahatlığa değer verdiğini gösteriyor. Yalnızca oturum açtıktan sonra gelen gerçek deneyime sorunsuz ve hızlı bir geçiş yapmak istiyorlar.

Yine de geçiş anahtarlarına geçiş için kas hafızasının değiştirilmesi gerekiyor ve kullanıcıların bu geçişe değinmeye değer olduğuna ikna olmaları gerekiyor.

Google.com'daki geçiş anahtarlarıyla ilgili kullanıcı deneyimi, stratejik olarak kimlik doğrulama sürecinin her adımında iki ilkeyi vurgulayacak şekilde tasarlanmıştır: kullanım kolaylığı ve güvenlik.

Kolaylıkla liderlik etme

Çoğu kullanıcı, geçiş anahtarlarını ilk kez görüyor
Çoğu kullanıcı bu geçişi ilk kez görür.

Kullanıcıların gördüğü ilk geçiş anahtarı ekranı hafif ve anlaşılması kolay. Başlıkta, "Oturum açma işlemini kolaylaştırın" şeklinde kullanıcı avantajına odaklanılıyor.

Mesajın gövdesinde "Geçiş anahtarları ile artık işlemi gerçekleştiren kişinin gerçekten siz olduğunu doğrulamak için parmak izinizi, yüzünüzü veya ekran kilidinizi kullanabilirsiniz" yazıyor.

Bu görselin amacı, mesajı sayfanın sunduğu değer teklifine yerleştirmektir. Büyük mavi renkli birincil işlem, kullanıcıyı devam etmeye davet ediyor. "Şimdi değil" seçeneği, kullanıcıların o anda özelliği etkinleştirip etkinleştirmeyeceklerini seçmelerine olanak tanıyan ikincil bir işlem olarak eklenmiştir. "Daha fazla bilgi" seçeneği ise devam etmeden önce geçiş anahtarlarını daha iyi anlamak isteyen en meraklı kullanıcılara sunuluyor.

Oturum açma sırasında kullanıcıları geçiş anahtarlarıyla tanıştırmak için kullanılan sayfaların birçok iterasyonunu inceledik. Bu kapsamda geçiş anahtarlarının güvenlik, teknoloji ve diğer yönlerine vurgu yapan içeriklerin denemesi de yer alıyordu. Yine de en çok ilgi çeken unsur, kolaylık oldu. Google'ın içerik stratejisi, çizimi ve etkileşim tasarımı, geçiş anahtarlarını nasıl kullandığımıza dair bu temel ilkeyi yansıtır.

"Geçiş anahtarları" teriminin bilinen güvenlik deneyimleriyle ilişkilendirilmesi

Geçiş anahtarları, çoğu kullanıcı için yeni bir terimdir. Bu nedenle, aşinalık sağlamak için kullanıcıları bilinçli bir şekilde ilgili terimle tanıştırıyoruz. Şirket içi araştırmaların rehberliğinde geçiş anahtarlarını güvenlikle ilişkilendiriyoruz.

"Geçiş anahtarı" kelimesi oturum açma akışında daha az belirgin olan gövde kopyası konumunda eklenir. Her zaman olduğu gibi, geçiş anahtarı kullanımına olanak tanıyan bilinen güvenlik deneyimleri arasında yer alır: parmak izi, yüz tarama veya diğer cihaz ekran kilidi.

Araştırmamız, birçok kullanıcının biyometriyi güvenlikle ilişkilendirdiğini gösteriyor. Geçiş anahtarları biyometri gerektirmese de (örneğin, cihaz PIN'i ile geçiş anahtarı kullanılabilir), geçiş anahtarlarının güvenlik avantajlarıyla ilgili kullanıcıların algısını güçlendirmek için geçiş anahtarlarını biyometri ile ilişkilendirmeye odaklanıyoruz.

"Daha fazla bilgi" bağlantısında yer alan ek içerik, kullanıcılar için çok sayıda değerli bilgi içerir. Bu kapsamda kullanıcılara, hassas ve biyometrik verilerinin kişisel cihazlarında kaldığı ve geçiş anahtarı oluştururken ya da kullanılırken hiçbir zaman saklanmayacağı veya paylaşılmayacağı güvencesi verilir. Bu yaklaşımı, çoğu kullanıcı geçiş anahtarının kullanım kolaylığını cazip bulduğu için kullandık. Ancak yalnızca birkaç kullanıcı test sırasında biyometrik öğeyi hesaba kattı.

Kullanıcıyla alakalı olduğunda geçiş anahtarları kullanıma sunma

Google'ın buluşsal yöntemleri, giriş ekranını kimlerin göreceğini dikkatli bir şekilde belirler. Faktörlerden bazıları, kullanıcının iki adımlı doğrulamayı etkinleştirip etkinleştirmediği ve aynı cihazdan bu hesaba düzenli olarak erişip erişmediğidir.

İlk olarak geçiş anahtarlarıyla başarılı olma olasılığı en yüksek kullanıcılar seçilir ve zamanla daha fazla kullanıcı kullanıma sunulur (Ancak isteyen herkes bugün g.co/passkeys adresinden başlayabilir).

Seçilen kullanıcılardan, kullanıcı adı ve şifreyle oturum açtıktan sonra geçiş anahtarı oluşturmaları istenir. Kullanıcı yolculuğunda bu noktayı seçmemizin birkaç nedeni vardır:

  • Kullanıcı az önce oturum açtı, kimlik bilgilerini ve ikinci adımı biliyor.
  • Kullanıcının cihazında olduğundan eminiz; yalnızca oturum açmıştır. Dolayısıyla, muhtemelen o kullanıcının cihazından çıkıp cihazını bırakması söz konusu değildir.
  • İstatistiksel olarak, oturum açma işlemi ilk seferde her zaman başarılı olmayabilir. Bu nedenle, bir dahaki sefere daha kolay oturum açmanızı sağlayacak bir mesajın somut değeri vardır.

Geçiş anahtarlarını
şifrelere alternatif olarak konumlandırmak ve henüz bu şifrelerin yerine geçmemek

İlk kullanıcı araştırması, birçok kullanıcının hâlâ şifreli bir yedek oturum açma yöntemi olarak kullanmak istediğini gösteriyor. Ayrıca tüm kullanıcılar geçiş anahtarlarını kullanmak için gereken teknolojiye sahip olmayacaktır.

Google da dahil olmak üzere sektör "şifresiz bir geleceğe" doğru ilerlerken Google, geçiş anahtarlarını kasıtlı olarak şifreler için basit ve güvenli bir alternatif olarak konumlandırıyor. Google'ın kullanıcı arayüzü, geçiş anahtarlarının avantajlarına odaklanır ve şifreleri kullanmayı ima eden ifadelerden kaçınır.

İçerik oluşturma anı

Kaydolmayı seçen kullanıcılar, geçiş anahtarı oluşturmalarını sağlayan, tarayıcıya özel bir kullanıcı arayüzü penceresi görür.

Geçiş anahtarının kendisi sektöre uygun bir simge ve anahtarı oluşturmak için kullanılan bilgilerle gösterilir. Bunlara görünen ad (kullanıcının gerçek adı gibi geçiş anahtarınızın kolay adı) ve kullanıcı adı (hizmetinizde benzersiz bir ad verilir; bir e-posta adresi burada da faydalı olabilir) dahildir. FIDO ortaklığı, etkisi kanıtlanmış geçiş anahtarları simgesini kullanmanızı öneriyor ve özelleştirmelerle bu simgeyi kendinize özel hale getirmeyi teşvik ediyor.

Geçiş anahtarı simgesi, kullanıcının geçiş anahtarını kullanırken veya yönetirken ne göreceğini anlamak için kullanıcı yolculuğu boyunca tutarlı bir şekilde gösterilir. Geçiş anahtarı simgesi hiçbir zaman bağlam veya destekleyici materyal olmadan sunulmaz.

Kullanıcılar geçiş anahtarını oluşturduklarında bu sayfayı görür
Kullanıcılar geçiş anahtarını oluşturduklarında bu sayfayı görür.

Yukarıda, kullanıcı ve platformun geçiş anahtarı oluşturmak için birlikte nasıl çalıştığı ana hatlarıyla açıklanmaktadır. Kullanıcı "Devam"ı tıkladığında platforma bağlı olarak benzersiz bir kullanıcı arayüzü sunulur.

Bunu göz önünde bulundurarak, şirket içinde yaptığımız araştırmalardan, geçiş anahtarı oluşturulduktan sonra görüntülenen onay ekranının, sürecin bu adımında içeriğin anlaşılması ve kapatılması açısından son derece faydalı olabileceğini öğrendik.

Geçiş anahtarı oluşturulduktan sonra kullanıcılar bu sayfayı görür
Geçiş anahtarı oluşturulduktan sonra kullanıcılar bu sayfayı görür.

Onay ekranı, kullanıcıyı geçiş anahtarlarıyla tanıştırma ve kendi geçiş anahtarlarından birini oluşturma sürecini tamamlamak için kasıtlı olarak kullanılan bir "duraklatma"dır. Kullanıcılar geçiş anahtarlarıyla ilk kez etkileşime geçtiği için bu sayfada kullanıcıların yolculuğunu net bir şekilde sonlandırması amaçlanıyor. Daha küçük bildirimler ve hatta bir oluşturma sonrası e-posta adresi gibi diğer araçları denedikten sonra, yapılandırılmış, istikrarlı bir uçtan uca deneyim sağlamak için bağımsız bir sayfa seçtik.

Kullanıcı buradaki "Devam"ı tıkladığında hedefine yönlendirilir.

Kullanıcılar tekrar oturum açtığında büyük olasılıkla bu sayfayı görür
Kullanıcılar tekrar oturum açtığında muhtemelen bu sayfayı görür.

Oturum açılıyor

Bir kullanıcı tekrar oturum açmayı denediğinde bu sayfayla karşılaşacak. Burada da yukarıda özetlenen ilk "içerik oluşturma" deneyimini yaşatmak için aynı düzen, çizim ve birincil harekete geçirici mesaj kullanılır. Kullanıcı geçiş anahtarına kaydolmaya karar verdikten sonra bu sayfa tanıdık gelir ve oturum açmak için atmaları gereken adımları tanır.

Kullanıcı, oturum açmak için bu WebAuthn kullanıcı arayüzünü kullanır
Kullanıcı, oturum açmak için bu WebAuthn kullanıcı arayüzünü kullanır.

Aynı aşinalık ilkesi burada da geçerlidir. Bu videoda kasıtlı olarak aynı ikonografi, çizim, düzen ve metin kullanılıyor. WebAuthn kullanıcı arayüzündeki metin kısa, geniş kapsamlı ve tekrar kullanılabilir. Böylece herkes hem kimlik doğrulama hem de yeniden kimlik doğrulama için bunu kullanabilir.

Geçiş anahtarı yönetimi

Google Hesabı ayarları sayfalarında yepyeni bir sayfa kullanıma sunmak, tutarlı, sezgisel ve tutarlı bir kullanıcı deneyimi sağlamak için üzerinde çok düşünülmesi gereken bir süreçti.

Bu amaç doğrultusunda gezinme, içerik, hiyerarşi, yapı ve Google Hesabı genelinde var olan beklentilerle ilgili kalıpları analiz ettik.

Google Hesabı'ndaki geçiş anahtarı yönetim sayfası
Google Hesabı'ndaki geçiş anahtarı yönetimi sayfası.

Geçiş anahtarlarını ekosisteme göre açıklama

Anlaması mantıklı olacak üst düzey bir kategori sistemi oluşturmak için geçiş anahtarlarını ekosisteme göre tanımlamaya çalıştık. Bu sayede kullanıcı, geçiş anahtarının nerede oluşturulduğunu ve nerede kullanıldığını anlayabilir. Her kimlik sağlayıcı (Google, Apple ve Microsoft) kendi ekosistemine ait bir ada sahiptir. Bu nedenle biz de bunları (sırasıyla Google Şifre Yöneticisi, iCloud anahtar zinciri ve Windows Hello) kullanmayı tercih ettik.

Bunu desteklemek için ne zaman oluşturulduğu, en son ne zaman kullanıldığı ve belirli bir işletim sistemi üzerinde kullanıldığı gibi ek meta veriler ekledik. API, kullanıcı yönetimi işlemleri açısından yalnızca yeniden adlandırma, iptal etme ve oluşturma işlemlerini destekler.

Yeniden adlandırma, kullanıcıların geçiş anahtarlarına kişisel olarak anlamlı adlar atamasına olanak tanır. Bu da belirli kullanıcı gruplarının bu geçişleri daha kolay takip edip anlamasına yardımcı olabilir.

Bir geçiş anahtarının iptal edilmesi, kullanıcının kişisel kimlik bilgisi yöneticisinden (ör. Google Şifre Yöneticisi) silinmesine neden olmaz ancak tekrar ayarlanana kadar geçiş anahtarı kullanılamaz. Bu nedenle, geçiş anahtarını iptal etme işlemini temsil etmek için çöp kutusu veya silme simgesi yerine bir çarpı işareti seçtik.

Hesaplarına geçiş anahtarı ekleme işlemini açıklarken "Geçiş anahtarı oluştur" ifadesi, "Geçiş anahtarı ekle"ye kıyasla kullanıcılara daha iyi hitap etti. Bu, geçiş anahtarlarını somut donanım güvenlik anahtarlarından ayırt etmek için kullanılan hafif bir dil seçeneğidir (ancak bazı donanım anahtarlarında saklanabileceğini unutmayın).

Ek içerik sağlama

Şirket içi araştırma, geçiş anahtarı kullanmanın nispeten sorunsuz ve tanıdık bir deneyim olduğunu gösterdi. Ancak her yeni teknolojide olduğu gibi, bazı kullanıcıların da kafasını karıştıracak sorular ve endişeler olacaktır.

Teknolojinin ekran kilidinin ardındaki işleyiş şekli, ekranı daha güvenli hale getiren unsurlar ve Google'ın testlerde karşılaştığı en yaygın "acaba" senaryoları Google'ın geçiş anahtarı Yardım Merkezi içeriğinde ele alınmıştır. Geçiş anahtarlarının kullanıma sunulmasıyla ilgili destek içeriğinin hazır olması, herhangi bir sitedeki kullanıcıların geçişlerini kolaylaştırma açısından son derece önemlidir.

Şifre anahtarlarından geri dönme

Eski sisteme geri dönmek, kullanıcıdan geçiş anahtarıyla kimlik doğrulaması yapması istendiğinde "başka bir yöntem dene"yi tıklamak kadar basittir. Ayrıca, WebAuthn kullanıcı arayüzünden çıktığında kullanıcılar geçiş anahtarlarını tekrar denemek veya Google Hesaplarında geleneksel yöntemlerle oturum açabilir.

Sonuç

Henüz geçiş anahtarlarının ilk günlerindeyiz. Bu nedenle, kullanıcı deneyimini tasarlarken birkaç ilkeyi akılda tutun:

  • Kullanıcıyla alakalı olduğunda geçiş anahtarı ekleyin.
  • Şifre anahtarlarının avantajlarını vurgulayın.
  • Geçiş anahtarı kavramını tanımak için fırsatları kullanın.
  • Geçiş anahtarlarını şifrelerin yerine değil, şifrelere alternatif olarak yerleştirin.

Google Hesapları için geçiş anahtarı konusunda yaptığımız seçimler, en iyi uygulamalar ve şirket içi araştırmalardan edinilmiştir. Gerçek dünyadaki kullanıcılardan yeni bilgiler edindikçe kullanıcı deneyimini geliştirmeye devam edeceğiz.