Progettare l'esperienza utente delle passkey sugli Account Google

Più sicurezza ed esperienza utente agli Account Google.

Convento Silvia
Silvia Convento
Corte giacinico
Court Jacinic
Mitchell Galavan
Mitchell Galavan
X

Le passkey sono una tecnologia di autenticazione cross-device semplice e sicura che consente di creare account online e di accedervi senza inserire una password. Per accedere a un account, agli utenti viene semplicemente chiesto di utilizzare il blocco schermo del dispositivo, ad esempio toccare il sensore di impronte digitali.

Google collabora da anni con FIDO Alliance, insieme ad Apple e Microsoft, per rendere disponibili le passkey in tutto il mondo. Nel 2022 abbiamo implementato il supporto delle passkey per le piattaforme in modo che gli utenti di Android e Chrome potessero accedere senza problemi ad app e siti web su tutti i loro dispositivi. A maggio 2023 abbiamo abilitato l'accesso agli Account Google con passkey, per offrire ai nostri utenti la sicurezza e la comodità delle passkey.

Google si trova in una posizione unica, poiché stiamo entrambi lavorando all'infrastruttura per le passkey e siamo uno dei maggiori servizi che le utilizzano. Stiamo implementando le passkey per gli Account Google in modo attento e deliberato, in modo da poter misurare i risultati e utilizzare questo feedback per continuare a migliorare l'infrastruttura delle passkey e l'esperienza dell'Account Google.

Transizione degli utenti alle passkey

Le password sono state il metodo di accesso standard fin dall'avvento delle esperienze online personalizzate. Come introduciamo l'esperienza delle passkey senza password?

La ricerca indica che, quando si tratta di autenticazione, gli utenti apprezzano maggiormente la comodità. Vuole una transizione fluida e veloce all'esperienza reale, che avviene solo dopo l'accesso.

Il passaggio alle passkey richiede comunque di cambiare la memoria muscolare e gli utenti devono essere convinti che valga la pena cambiare.

L'esperienza utente delle passkey per Google.com è stata progettata in modo strategico per sottolineare due principi in ogni fase del processo di autenticazione: facilità d'uso e sicurezza.

Leader con convenienza

Per la maggior parte degli utenti, sarà la prima volta che vedranno le passkey
Per la maggior parte degli utenti, sarà la prima volta che vedono le passkey.

La prima schermata della passkey che gli utenti vedono è leggera e facile da comprendere. L'intestazione si concentra sul vantaggio per l'utente, ovvero "Semplifica l'accesso".

Il corpo del testo spiega: "Ora con le passkey puoi usare la tua impronta, il tuo volto o il blocco schermo per verificare la tua identità".

L'illustrazione ha lo scopo di fondare il messaggio sulla proposta di valore creata dalla pagina. L'azione principale blu di grandi dimensioni invita l'utente a procedere. "Non ora" è inclusa come azione secondaria per consentire agli utenti di scegliere se attivare o meno la funzionalità in questa fase, lasciando loro il controllo. Inoltre, viene offerta la funzionalità "Scopri di più" agli utenti più curiosi che vorrebbero comprendere meglio le passkey prima di procedere.

Abbiamo esaminato molte iterazioni delle pagine utilizzate per introdurre gli utenti alle passkey durante l'accesso. Ciò includeva provare contenuti che enfatizzavano la sicurezza, la tecnologia e altri aspetti delle passkey, ma la praticità era la cosa più importante. La strategia per i contenuti, l'illustrazione e il design di interazione di Google dimostrano questo principio fondamentale per l'implementazione delle passkey.

Associare il termine "passkey" a esperienze di sicurezza familiari

Passkey è un nuovo termine utilizzato dalla maggior parte degli utenti, pertanto lo mostriamo intenzionalmente in modo delicato agli utenti per conoscerli meglio. Sulla base di ricerche interne, associamo strategicamente le passkey alla sicurezza.

La parola "passkey" viene inclusa nel flusso di accesso nella posizione del corpo del testo meno in evidenza. È costantemente nel mezzo delle esperienze di sicurezza familiari che consentono l'uso delle passkey: impronta, scansione del volto o un altro blocco schermo del dispositivo.

La nostra ricerca ha dimostrato che molti utenti associano la biometria alla sicurezza. Sebbene le passkey non richiedano la biometria (ad esempio una passkey può essere utilizzata con un PIN del dispositivo), ci stiamo orientando verso l'associazione delle passkey con la biometria per aumentare la percezione degli utenti dei vantaggi in termini di sicurezza delle passkey.

I contenuti aggiuntivi alla base della sezione "Scopri di più" offrono moltissime informazioni preziose per gli utenti, tra cui la rassicurazione sul fatto che i loro dati sensibili e biometrici rimangono sul dispositivo personale e non vengono mai archiviati o condivisi durante la creazione o l'utilizzo delle passkey. Abbiamo adottato questo approccio perché la maggior parte degli utenti ha ritenuto interessante il lato pratico delle passkey, ma solo alcuni hanno preso in considerazione l'elemento biometrico durante i test.

Presentazione delle passkey quando è pertinente per l'utente

L'euristica di Google determina con attenzione chi vedrà la schermata introduttiva. Alcuni dei fattori sono l'eventuale attivazione della verifica in due passaggi e l'accesso regolare all'account dallo stesso dispositivo.

Gli utenti più propensi a utilizzare le passkey vengono selezionati per primi e, nel tempo, verranno presentati altri utenti. Tuttavia, chiunque può iniziare a utilizzare le passkey su g.co/passkeys oggi stesso.

A determinati utenti viene chiesto di creare una passkey dopo aver eseguito l'accesso con un nome utente e una password. Ecco alcuni motivi per cui abbiamo scelto questo punto del percorso dell'utente:

  • L'utente ha appena eseguito l'accesso, è consapevole delle sue credenziali e del secondo passaggio.
  • Siamo sicuri che l'utente sia sul suo dispositivo, che ha appena eseguito l'accesso, quindi è improbabile che si sia allontanato o abbia appoggiato il dispositivo.
  • A livello statistico, non sempre l'accesso avviene al primo tentativo, quindi un messaggio per semplificare la procedura successiva ha un valore tangibile.

Posizionamento di passkey come alternativa alle
password e non ancora sostitutive

La ricerca iniziale sugli utenti dimostra che molti utenti vogliono ancora le password come metodo di accesso alternativo. Inoltre, non tutti gli utenti disporranno della tecnologia necessaria per adottare le passkey.

Pertanto, mentre il settore, incluso Google, si sta spostando verso un "futuro senza password", Google sta intenzionalmente posizionando le passkey come alternativa semplice e sicura alle password. L'UI di Google si concentra sui vantaggi delle passkey ed evita il linguaggio che implica la rimozione delle password.

Il momento della creazione

Quando gli utenti scelgono di registrarsi, vedranno una finestra modale dell'interfaccia utente specifica del browser che consente loro di creare una passkey.

La passkey stessa è mostrata con l'icona allineata al settore e le informazioni utilizzate per crearla. Questi dati includono il nome visualizzato (un nome descrittivo per la tua passkey, come il nome reale dell'utente) e il nome utente (un nome univoco per il tuo servizio: in questo caso un indirizzo email può essere molto efficace). Per quanto riguarda l'utilizzo dell'icona delle passkey, l'alleanza FIDO consiglia di utilizzare la comprovata icona delle passkey e invita a personalizzarla con le personalizzazioni.

L'icona delle passkey viene mostrata in modo coerente durante tutto il percorso dell'utente per creare una familiarità con ciò che l'utente vedrà quando utilizza o gestisce la passkey. L'icona della passkey non viene mai visualizzata senza contesto o materiale di supporto.

Quando gli utenti creano la propria passkey, vedranno questa pagina
Quando gli utenti creano la propria passkey, vedranno questa pagina.

Sopra, abbiamo descritto in che modo l'utente e la piattaforma collaborano per creare una passkey. Quando l'utente fa clic su "Continua", visualizzerà un'interfaccia utente unica a seconda della piattaforma.

Tenendo conto di questo, abbiamo scoperto attraverso una ricerca interna che una schermata di conferma dopo la creazione della passkey può essere molto utile per la comprensione e la chiusura in questa fase del processo.

Una volta creata la passkey, gli utenti vedranno questa pagina
Una volta creata la passkey, gli utenti vedranno questa pagina.

La schermata di conferma consiste in una "pausa" intenzionale per prenotare il percorso di introduzione di un utente alle passkey e del processo di creazione di una delle proprie passkey. Poiché è (probabilmente) la prima volta che un utente utilizza le passkey, questa pagina mira a chiudere chiaramente il percorso. Abbiamo scelto una pagina autonoma dopo aver provato alcuni altri strumenti, come le notifiche più piccole e persino un'email di post-creazione, il che basta per fornire un'esperienza end-to-end strutturata e stabile.

Quando l'utente fa clic su"Continua" qui, viene indirizzato alla destinazione.

Quando gli utenti accedono di nuovo, probabilmente vedranno questa pagina
Quando gli utenti accedono di nuovo, è probabile che vedano questa pagina.

Accesso…

La prossima volta che un utente tenterà di accedere verrà accolto con questa pagina. Questa funzionalità utilizza lo stesso layout, la stessa illustrazione e lo stesso invito all'azione per evocare la prima esperienza di "creazione" descritta sopra. Dopo che l'utente avrà scelto di registrarsi alle passkey, questa pagina dovrebbe risultare familiare e riconoscerà i passaggi necessari per accedere.

L'utente utilizzerà questa UI WebAuthn per accedere
L'utente utilizzerà questa UI WebAuthn per accedere.

Vale lo stesso principio di familiarità. Utilizza intenzionalmente la stessa iconografia, la stessa illustrazione, lo stesso layout e lo stesso testo. Il testo all'interno dell'interfaccia utente di WebAuthn è breve, ampio e riutilizzabile, perciò tutti possono utilizzarlo sia per l'autenticazione che per la riautenticazione.

Gestione passkey

L'introduzione di una pagina completamente nuova nelle pagine delle impostazioni dell'Account Google richiedeva un'attenta considerazione per garantire un'esperienza utente coerente, intuitiva e coerente.

Per raggiungere questo obiettivo, abbiamo analizzato i pattern relativi a navigazione, contenuti, gerarchia, struttura e aspettative stabilite in tutto l'Account Google.

Pagina di gestione delle passkey nell'Account Google
Pagina di gestione delle passkey nell'Account Google.

Descrivere le passkey per ecosistema

Per creare un sistema di categorie di alto livello che fosse logico da capire, abbiamo deciso di descrivere le passkey in base all'ecosistema. In questo modo, l'utente può riconoscere dove è stata creata una passkey e dove viene usata. Ogni provider di identità (Google, Apple e Microsoft) ha un nome per il proprio ecosistema, quindi abbiamo scelto di utilizzarli (rispettivamente Gestore delle password di Google, portachiavi iCloud e Windows Hello).

A supporto di ciò, abbiamo aggiunto metadati aggiuntivi, ad esempio la data di creazione, l'ultimo utilizzo e il sistema operativo specifico su cui è stato utilizzato. Per quanto riguarda le azioni di gestione degli utenti, l'API supporta solo la ridenominazione, la revoca e la creazione.

La ridenominazione consente agli utenti di assegnare nomi significativi alle passkey, che potrebbero aiutare determinate coorti di utenti a tenerne traccia e a comprenderle più facilmente.

La revoca di una passkey non la elimina dal gestore delle credenziali personali dell'utente (come Gestore delle password di Google), ma la rende inutilizzabile finché non viene configurata di nuovo. Ecco perché abbiamo scelto una croce, invece di un'icona Cestino o Elimina, per rappresentare l'azione di revoca di una passkey.

Quando descrivi l'azione di aggiungere una passkey al loro account, la frase "Crea passkey" è più adatta agli utenti rispetto ad "Aggiungere una passkey". Si tratta di una scelta linguistica discreta per distinguere le passkey dai token di sicurezza hardware tangibili (anche se va specificato che le passkey possono essere memorizzate su alcuni token di sicurezza hardware).

Fornire contenuti aggiuntivi

Da una ricerca interna è emerso che l'uso delle passkey è un'esperienza relativamente fluida e familiare. Tuttavia, come per ogni nuova tecnologia, alcuni utenti potrebbero presentarsi domande e preoccupazioni insistenti.

Il funzionamento della tecnologia dietro il blocco schermo, i fattori che la rendono più sicura e gli scenari ipotetici più comuni riscontrati da Google durante i test sono descritti nei contenuti del Centro assistenza relativi alle passkey di Google. Disporre di contenuti di assistenza pronti con il lancio delle passkey è fondamentale per una facile transizione per gli utenti su qualsiasi sito.

Ritirare il consenso dalle passkey

Il ripristino del sistema precedente è semplice come fare clic su "Prova un altro metodo" quando a un utente viene chiesto di autenticarsi con una passkey. Inoltre, se esci dall'interfaccia utente di WebAuthn, gli utenti intraprenderanno un percorso per riprovare a utilizzare la passkey o accedere al proprio Account Google in modi tradizionali.

Conclusione

Siamo ancora agli inizi delle passkey, quindi quando progetti l'esperienza utente tieni a mente alcuni principi:

  • Introduci le passkey quando sono pertinenti per l'utente.
  • Evidenzia i vantaggi delle passkey.
  • Sfrutta le opportunità per acquisire familiarità con il concetto di passkey.
  • Posiziona le passkey come alternativa alle password e non sostitutive.

Le scelte che abbiamo fatto per le passkey per gli Account Google si basano su best practice e ricerche interne e continueremo a migliorare l'esperienza utente man mano che otteniamo nuovi insight dagli utenti nel mondo reale.