طراحی تجربه کاربری از کلیدهای عبور در حساب های گوگل

امنیت بهتر و تجربه کاربری بهتر را به حساب‌های Google می‌آورد.

سیلویا کانونتو
Silvia Convento
دادگاه یاسینیک
Court Jacinic
میچل گالاوان
Mitchell Galavan
X

Passkeys یک فناوری ساده و ایمن احراز هویت بین دستگاهی است که امکان ایجاد حساب‌های آنلاین و ورود به آن‌ها را بدون وارد کردن رمز عبور فراهم می‌کند. برای ورود به یک حساب کاربری، کاربران به سادگی از قفل صفحه در دستگاه خود استفاده کنند، مانند لمس حسگر اثر انگشت.

گوگل سال‌هاست که در کنار اپل و مایکروسافت با FIDO Alliance همکاری می‌کند تا کلیدهای عبور را به دنیا بیاورد. در سال 2022، ما پشتیبانی پلتفرمی را برای کلیدهای عبور راه اندازی کردیم تا کاربران Android و Chrome بتوانند به طور یکپارچه به برنامه ها و وب سایت ها در همه دستگاه های خود وارد شوند. در مه 2023، ما ورود به حساب‌های Google را با کلیدهای عبور فعال کردیم و امنیت و راحتی کلیدهای عبور را برای کاربران خود به ارمغان آوردیم.

گوگل در موقعیت منحصر به فردی قرار دارد، زیرا ما هر دو روی زیرساخت کلیدهای عبور کار می کنیم و یکی از بزرگترین سرویس هایی هستیم که از آنها استفاده می کند. ما کلیدهای عبور را برای حساب‌های Google با دقت و عمد منتشر می‌کنیم، بنابراین می‌توانیم نتایج را اندازه‌گیری کنیم و از آن بازخورد برای ادامه بهبود زیرساخت کلید عبور و تجربه حساب Google استفاده کنیم.

انتقال کاربران به کلیدهای عبور

گذرواژه‌ها از زمان ظهور تجربیات آنلاین شخصی‌شده، روش استاندارد ورود به سیستم بوده‌اند. چگونه تجربه بدون رمز عبور رمز عبور را معرفی کنیم؟

تحقیقات نشان می‌دهد که وقتی صحبت از احراز هویت می‌شود، کاربران برای راحتی بیشتر ارزش قائل هستند. آنها خواهان انتقال آرام و سریع به تجربه واقعی هستند که تنها پس از ورود به سیستم انجام می شود.

با این حال، انتقال به کلیدهای عبور نیازمند تغییر حافظه عضلانی است و کاربران باید متقاعد شوند که ارزش تغییر را دارد.

تجربه کاربری کلیدهای عبور برای Google.com به صورت استراتژیک طراحی شده است تا در هر مرحله از فرآیند احراز هویت بر دو اصل تأکید کند: سهولت استفاده و امنیت.

پیشرو با راحتی

برای اکثر کاربران، این اولین باری است که کلیدهای عبور را می بینند
برای اکثر کاربران، این اولین باری است که کلیدهای عبور را می بینند.

اولین صفحه کلید عبوری که کاربران می بینند، سبک و قابل هضم است. هدر روی مزیت کاربر تمرکز دارد و می‌گوید «ورود خود را ساده کنید».

نسخه اصلی توضیح می‌دهد که «هم اکنون با کلیدهای عبور می‌توانید از اثر انگشت، قفل صفحه یا قفل صفحه برای تأیید اینکه واقعاً شما هستید، استفاده کنید».

هدف از این تصویر، پایه‌گذاری پیام در ارزش پیشنهادی صفحه است. اکشن اصلی آبی بزرگ کاربر را به ادامه دعوت می کند. "اکنون نه" به عنوان یک اقدام ثانویه گنجانده شده است تا به کاربران اجازه دهد انتخاب کنند که در این زمان شرکت کنند یا نه و کنترل را به کاربر واگذار می کند. و "بیشتر بیاموزید" برای کنجکاوترین کاربرانی که دوست دارند کلیدهای عبور را قبل از ادامه بهتر درک کنند، ارائه شده است.

ما تکرارهای زیادی از صفحاتی را که برای معرفی کاربران به کلیدهای عبور در حین ورود به سیستم مورد استفاده قرار می‌گرفتند، بررسی کردیم. این شامل آزمایش محتوایی بود که بر امنیت، فناوری و سایر جنبه‌های کلیدهای عبور تأکید می‌کرد - اما راحتی واقعاً چیزی بود که بیشتر طنین انداز شد. استراتژی محتوا، تصویر و طراحی تعامل Google این اصل اصلی را برای اجرای کلیدهای عبور ما نشان می دهد.

ارتباط اصطلاح "کلیدهای عبور" با تجربیات امنیتی آشنا

کلیدهای عبور یک اصطلاح جدید برای اکثر کاربران است، بنابراین ما عمداً به آرامی کاربران را در معرض این اصطلاح قرار می دهیم تا آشنایی بیشتری داشته باشند. با هدایت تحقیقات داخلی، ما به طور استراتژیک کلیدهای عبور را با امنیت مرتبط می کنیم.

کلمه "passkey" در سراسر جریان ورود به سیستم در موقعیت کمتر برجسته کپی بدن گنجانده شده است. این به طور مداوم در میان تجارب امنیتی آشنا قرار دارد که استفاده از کلید عبور را امکان‌پذیر می‌سازد: اثر انگشت، اسکن چهره یا سایر قفل صفحه دستگاه.

تحقیقات ما نشان داده است که بسیاری از کاربران بیومتریک را با امنیت مرتبط می‌دانند. در حالی که کلیدهای عبور نیازی به بیومتریک ندارند (مثلاً می توان از یک رمز عبور با پین دستگاه استفاده کرد)، ما به دنبال ارتباط کلیدهای عبور با بیومتریک هستیم تا درک کاربر از مزایای امنیتی کلیدهای عبور را تقویت کنیم.

محتوای اضافی پشت "بیشتر بیاموزید" اطلاعات ارزشمند زیادی برای کاربران دارد، از جمله به کاربران اطمینان می دهد که داده های حساس و بیومتریک آنها در دستگاه شخصی آنها باقی می ماند و هرگز در هنگام ایجاد یا استفاده از کلیدهای عبور ذخیره یا به اشتراک گذاشته نمی شود. ما این رویکرد را اتخاذ کردیم زیرا اکثر کاربران جنبه راحتی کلیدهای عبور را جذاب می‌دانستند، اما تنها تعداد کمی از آنها عنصر بیومتریک را در طول آزمایش در نظر گرفتند.

معرفی کلیدهای عبور زمانی که مربوط به کاربر است

اکتشافی گوگل به دقت تعیین می کند که چه کسی صفحه مقدماتی را ببیند. برخی از عوامل این است که آیا کاربر تأیید دو مرحله‌ای را فعال کرده است و آیا آنها به طور منظم از همان دستگاه به آن حساب دسترسی دارند یا خیر.

کاربرانی که به احتمال زیاد با کلیدهای عبور موفق می شوند ابتدا انتخاب می شوند و به مرور زمان کاربران بیشتری معرفی می شوند (البته، امروز هر کسی می تواند از g.co/passkeys شروع به کار کند).

پس از ورود به سیستم با نام کاربری و رمز عبور، از کاربران منتخب خواسته می شود که یک رمز عبور ایجاد کنند. چند دلیل وجود دارد که ما این نقطه را در سفر کاربر انتخاب کردیم:

  • کاربر به تازگی وارد سیستم شده است، از اعتبار و مرحله دوم خود آگاه است.
  • ما مطمئن هستیم که کاربر در دستگاه خود است—او به تازگی وارد سیستم شده است، بنابراین بعید است که از دستگاه خود خارج شده یا دستگاه خود را زمین گذاشته باشد.
  • از نظر آماری، ورود به سیستم همیشه در بار اول موفقیت آمیز نیست – بنابراین پیامی در مورد آسان‌تر کردن آن دفعه بعد ارزش ملموسی دارد.

قرار دادن کلیدهای عبور به عنوان جایگزینی برای
رمز عبور و هنوز جایگزین نشده است

تحقیقات اولیه کاربران نشان می دهد که بسیاری از کاربران همچنان رمزهای عبور را به عنوان یک روش ورود به سیستم پشتیبان می خواهند. و همه کاربران فناوری لازم برای پذیرش کلیدهای عبور را ندارند.

بنابراین در حالی که صنعت، از جمله گوگل، به سمت «آینده بدون رمز عبور» در حال حرکت است، گوگل عمداً کلیدهای عبور را به عنوان جایگزینی ساده و امن برای رمزهای عبور قرار می دهد. رابط کاربری گوگل بر مزایای کلیدهای عبور تمرکز دارد و از زبانی که به معنای خلاص شدن از شر رمزهای عبور است اجتناب می کند.

لحظه خلقت

هنگامی که کاربران انتخاب می کنند که ثبت نام کنند، یک مدال رابط کاربری خاص مرورگر را می بینند که به آنها امکان می دهد یک رمز عبور ایجاد کنند.

رمز عبور خود با نماد صنعت تراز و اطلاعات استفاده شده برای ایجاد آن نشان داده می شود. این شامل نام نمایشی (نامی مناسب برای رمز عبور شما، مانند نام واقعی کاربر) و نام کاربری (یک نام منحصر به فرد در سرویس شما – یک آدرس ایمیل می‌تواند در اینجا عالی عمل کند). وقتی صحبت از کار با نماد کلیدهای عبور به میان می‌آید، اتحاد FIDO استفاده از نماد رمزهای عبور اثبات شده را توصیه می‌کند - و تشویق می‌کند که با سفارشی‌سازی‌ها، آن را برای خودتان بسازید.

نماد کلیدهای عبور به طور مداوم در طول سفر کاربر نشان داده می شود تا با آنچه کاربر هنگام استفاده یا مدیریت کلید عبور می بیند آشنا شود. نماد رمز عبور هرگز بدون زمینه یا مطالب پشتیبانی ارائه نمی شود.

وقتی کاربران رمز عبور خود را ایجاد می کنند، این صفحه را می بینند
وقتی کاربران رمز عبور خود را ایجاد می کنند، این صفحه را می بینند.

در بالا، نحوه کار کاربر و پلتفرم برای ایجاد یک رمز عبور را توضیح دادیم. وقتی کاربر روی «ادامه» کلیک می‌کند، بسته به پلتفرم، یک رابط کاربری منحصربه‌فرد برایش نمایش داده می‌شود.

با در نظر گرفتن این موضوع، ما از طریق تحقیقات داخلی دریافتیم که یک صفحه تایید پس از ایجاد رمز عبور می تواند از نظر درک و بسته شدن در این مرحله از فرآیند بسیار مفید باشد.

پس از ایجاد رمز عبور، کاربران این صفحه را خواهند دید
پس از ایجاد رمز عبور، کاربران این صفحه را خواهند دید.

صفحه تأیید یک «مکث» عمدی برای پایان دادن به سفر معرفی کاربر به کلیدهای عبور و گذراندن فرآیند ایجاد یکی از آنهاست. از آنجایی که (احتمالاً) اولین بار است که کاربر با کلیدهای عبور درگیر می شود، هدف این صفحه فراهم کردن بسته شدن واضح برای سفر است. ما یک صفحه مستقل را پس از آزمایش برخی ابزارهای دیگر مانند اعلان‌های کوچک‌تر و حتی یک ایمیل پس از ایجاد انتخاب کردیم – صرفاً برای ارائه یک تجربه ساخت‌یافته و پایدار.

هنگامی که کاربر روی "ادامه" در اینجا کلیک کرد، به مقصد خود آورده می شود.

وقتی کاربران دوباره وارد سیستم شوند، احتمالاً این صفحه را خواهند دید
وقتی کاربران دوباره وارد سیستم شوند، احتمالاً این صفحه را خواهند دید.

وارد شدن

دفعه بعد که کاربر سعی می کند وارد سیستم شود، با این صفحه مورد استقبال قرار می گیرد. این از همان چیدمان، تصویر، و فراخوان اولیه برای عمل استفاده می‌کند تا اولین تجربه «آفرینش» را که در بالا ذکر شد، القا کند. هنگامی که کاربر برای ثبت نام در کلیدهای عبور انتخاب کرد، این صفحه باید احساس آشنایی داشته باشد و تشخیص دهد که برای ورود به سیستم چه مراحلی را باید انجام دهد.

کاربر از این رابط کاربری WebAuthn برای ورود به سیستم استفاده خواهد کرد
کاربر از این رابط کاربری WebAuthn برای ورود به سیستم استفاده خواهد کرد.

همین اصل آشنایی در اینجا نیز صادق است. به عمد، این از همان نماد نگاری، تصویرسازی، طرح‌بندی و متن استفاده می‌کند. متن درون رابط کاربری WebAuthn مختصر، گسترده و قابل استفاده مجدد است – بنابراین همه می‌توانند از آن هم برای احراز هویت و هم برای احراز هویت مجدد استفاده کنند.

مدیریت کلیدهای عبور

معرفی یک صفحه کاملاً جدید در صفحات تنظیمات حساب Google مستلزم بررسی دقیق برای اطمینان از تجربه کاربری منسجم، بصری و سازگار است.

برای رسیدن به این هدف، الگوهای مربوط به پیمایش، محتوا، سلسله مراتب، ساختار و انتظارات ایجاد شده را که در سراسر حساب Google وجود داشت، تجزیه و تحلیل کردیم.

صفحه مدیریت کلیدهای عبور در حساب Google
صفحه مدیریت کلیدهای عبور در حساب Google.

کلیدهای عبور را بر اساس اکوسیستم توصیف کنید

برای ایجاد یک سیستم دسته‌بندی سطح بالا که درک آن منطقی باشد، به توصیف کلیدهای عبور بر اساس اکوسیستم پرداختیم. به این ترتیب، کاربر می تواند تشخیص دهد که رمز عبور در کجا ایجاد شده است و کجا از آن استفاده می شود. هر ارائه‌دهنده هویت (گوگل، اپل و مایکروسافت) یک نام برای اکوسیستم خود دارد، بنابراین ما انتخاب کردیم که از آن‌ها استفاده کنیم (به ترتیب Google Password Manager، iCloud keychain و Windows Hello).

برای پشتیبانی از این امر، ما متادیتای اضافی را اضافه کردیم، مانند زمان ایجاد، آخرین استفاده از آن و سیستم عامل خاصی که در آن استفاده شده است. از نظر اقدامات مدیریت کاربر، API فقط از تغییر نام، لغو و ایجاد پشتیبانی می کند.

تغییر نام به کاربران این امکان را می‌دهد تا نام‌های معنادار شخصی را به کلیدهای عبور اختصاص دهند، که می‌تواند به گروه‌های خاصی از کاربران کمک کند تا آنها را راحت‌تر پیگیری و درک کنند.

ابطال کلید عبور آن را از مدیر اعتبار شخصی کاربر (مانند Google Password Manager) حذف نمی کند، اما تا زمانی که دوباره راه اندازی نشود، آن را غیرقابل استفاده می کند. به همین دلیل است که به جای نماد حذف یا حذف، یک ضربدر را برای نشان دادن عمل ابطال کلید عبور انتخاب کردیم.

هنگام توصیف اقدام افزودن کلید عبور به حساب کاربری آنها، عبارت "Create Paskey" در مقایسه با "Add a Paskey" در بین کاربران طنین انداز بهتری داشت. این یک انتخاب زبان ظریف برای تشخیص کلیدهای عبور از کلیدهای امنیتی محسوس و سخت افزاری است (البته باید توجه داشت که کلیدهای عبور را می توان در برخی از کلیدهای امنیتی سخت افزاری ذخیره کرد ).

ارائه محتوای اضافی

تحقیقات داخلی نشان داد که استفاده از کلیدهای عبور یک تجربه نسبتاً یکپارچه و آشنا است. با این حال، مانند هر فناوری جدید، سؤالات و نگرانی های طولانی مدتی برای برخی از کاربران وجود دارد.

نحوه عملکرد این فناوری در پشت قفل صفحه، چه چیزی آن را ایمن‌تر می‌کند و رایج‌ترین سناریوهای «چه می‌شد اگر» Google در آزمایش با آن مواجه شد، در محتوای مرکز راهنمای Google با کلید عبور مورد بررسی قرار می‌گیرد. داشتن محتوای پشتیبانی آماده با راه اندازی کلیدهای عبور برای انتقال آسان برای کاربران در هر سایتی حیاتی است.

عقب افتادن از کلیدهای عبور

هنگامی که از کاربر خواسته می شود با یک رمز عبور احراز هویت کند، بازگشت به سیستم قدیمی به سادگی کلیک روی "راه دیگری را امتحان کنید" است. علاوه بر این، با خروج از رابط کاربری WebAuthn، کاربران در مسیری قرار می‌گیرند تا رمز عبور خود را دوباره امتحان کنند یا به روش‌های سنتی وارد حساب Google خود شوند.

نتیجه

ما هنوز در روزهای اولیه رمز عبور هستیم، بنابراین هنگام طراحی تجربه کاربری، چند اصل را در نظر داشته باشید:

  • وقتی کلیدهای عبور مربوط به کاربر است، معرفی کنید.
  • مزایای کلیدهای عبور را برجسته کنید.
  • از فرصت ها برای ایجاد آشنایی با مفهوم کلیدهای عبور استفاده کنید.
  • کلیدهای عبور را به عنوان جایگزینی برای رمزهای عبور و نه جایگزینی قرار دهید.

انتخاب‌هایی که ما برای کلیدهای عبور حساب‌های Google انجام دادیم با بهترین روش‌ها و تحقیقات داخلی مشخص شد و با کسب اطلاعات بینش جدید از کاربران در دنیای واقعی، به تکامل تجربه کاربر ادامه خواهیم داد.