Progettare l'esperienza utente delle passkey sugli Account Google

Migliorare la sicurezza e l'esperienza utente degli Account Google.

Silvia Convento
Silvia Convento
Court Jacinic
Court Jacinic
Mitchell Galavan
Mitchell Galavan
X

Le passkey sono una tecnologia di autenticazione cross-device semplice e sicura che consente di creare account online e di accedervi senza inserire una password. Per accedere a un account, agli utenti viene semplicemente chiesto di utilizzare il blocco schermo sul dispositivo, ad esempio di toccare il sensore di impronte digitali.

Google lavora da anni con FIDO Alliance, insieme ad Apple e Microsoft, per portare le passkey in tutto il mondo. Nel 2022 abbiamo implementato il supporto della piattaforma per le passkey in modo che gli utenti di Android e Chrome possano accedere senza problemi alle app e ai siti web su tutti i loro dispositivi. A maggio 2023 abbiamo consentito l'accesso agli Account Google con passkey, offrendo agli utenti la sicurezza e la praticità delle passkey.

Google si trova in una posizione unica, poiché stiamo lavorando sull'infrastruttura delle passkey e siamo uno dei servizi più grandi che le utilizza. Stiamo implementando le passkey per gli Account Google in modo accurato e deliberato, in modo da poter misurare i risultati e utilizzare questo feedback per continuare a migliorare l'infrastruttura delle passkey e l'esperienza dell'Account Google.

Transizione degli utenti alle passkey

Le password hanno rappresentato il metodo di accesso standard fin dall'avvento delle esperienze online personalizzate. Come introduciamo l'esperienza senza password delle passkey?

Le ricerche indicano che, quando si tratta di autenticazione, gli utenti apprezzano maggiormente la comodità. Vogliono un passaggio facile e veloce all'esperienza reale, che avviene solo dopo l'accesso.

Tuttavia, il passaggio alle passkey richiede un cambiamento della memoria muscolare e gli utenti devono convinto che vale la pena cambiare.

L'esperienza utente delle passkey per Google.com è stata progettata in modo strategico per enfatizzare due principi in ogni fase del processo di autenticazione: facilità d'uso e sicurezza.

All'avanguardia con la comodità

Per la maggior parte degli utenti, sarà la prima volta che vedranno le passkey
Per la maggior parte degli utenti, è la prima volta che vede le passkey.

La prima schermata di passkey visualizzata dagli utenti è leggera e facile da comprendere. L'intestazione è incentrata sul vantaggio per gli utenti, con la dicitura "Semplifica l'accesso".

Il testo del corpo spiega: "Con le passkey puoi ora usare la tua impronta, il tuo volto o il blocco schermo per verificare la tua identità".

L'illustrazione ha lo scopo di basare il messaggio sulla proposta di valore espressa dalla pagina. L'azione principale blu grande invita l'utente a procedere. "Non ora" è inclusa come azione secondaria per consentire agli utenti di scegliere se attivare o meno in questo momento, lasciando loro il controllo. Inoltre, viene offerta la sezione "Scopri di più" per gli utenti più curiosi che vorrebbero capire meglio le passkey prima di procedere.

Abbiamo esplorato molte iterazioni delle pagine utilizzate per introdurre gli utenti alle passkey durante l'accesso. Ciò includeva provare contenuti che enfatizzavano la sicurezza, la tecnologia e altri aspetti delle passkey, ma la comodità era davvero ciò che fa più presa. La strategia per i contenuti, l'illustrazione e la progettazione dell'interazione di Google dimostrano questo principio fondamentale per la nostra implementazione delle passkey.

Associazione del termine "passkey" ad esperienze di sicurezza familiari

Le passkey sono un nuovo termine per la maggior parte degli utenti, pertanto mostriamo intenzionalmente gli utenti in modo discreto per creare familiarità. Guidati da una ricerca interna, stiamo associando le passkey alla sicurezza in modo strategico.

La parola "passkey" è inclusa in tutto il flusso di accesso nella posizione del body copy meno in evidenza. È costantemente inserita tra le familiari esperienze di sicurezza che consentono l'uso delle passkey: impronta, scansione del volto o blocco dello schermo di un altro dispositivo.

Le nostre ricerche hanno dimostrato che molti utenti associano la biometria alla sicurezza. Anche se le passkey non richiedono la biometria (una passkey può essere utilizzata con un PIN del dispositivo, ad esempio), ci stiamo orientando all'associazione tra passkey e biometria per aumentare la percezione da parte degli utenti dei vantaggi in termini di sicurezza delle passkey.

I contenuti aggiuntivi alla base della sezione "Scopri di più" contengono molte informazioni utili per gli utenti, ad esempio la rassicurazione sul fatto che i loro dati biometrici sensibili rimangono sul loro dispositivo personale e non vengono mai memorizzati o condivisi durante la creazione o l'utilizzo delle passkey. Abbiamo adottato questo approccio perché la maggior parte degli utenti riteneva interessante la convenienza delle passkey, ma solo alcuni hanno preso in considerazione l'elemento biometrico durante il test.

Introduzione delle passkey quando sono pertinenti per l'utente

L'euristica di Google determina con attenzione chi vedrà la schermata introduttiva. Alcuni dei fattori sono la possibilità per un utente di attivare o meno la verifica in due passaggi e l'accesso regolare all'account dallo stesso dispositivo.

Gli utenti che hanno maggiori probabilità di avere successo con le passkey vengono selezionati per primi e, nel tempo, verranno introdotti altri utenti (anche se chiunque può iniziare a usarli all'indirizzo g.co/passkeys oggi stesso).

Alcuni utenti vengono invitati a creare una passkey dopo aver eseguito l'accesso con un nome utente e una password. Ecco alcuni motivi per cui abbiamo scelto questo punto nel percorso dell'utente:

  • L'utente ha appena eseguito l'accesso, è a conoscenza delle sue credenziali e secondo passaggio.
  • Sappiamo che l'utente sta utilizzando il proprio dispositivo: ha appena eseguito l'accesso, quindi è improbabile che l'utente si sia allontanato o abbia appoggiato il dispositivo.
  • In base alle statistiche, non sempre l'accesso va a buon fine la prima volta, quindi un messaggio che agevola la procedura la prossima volta ha un valore tangibile.

Posizionamento delle passkey come alternativa alle
password e non ancora sostitutive

La ricerca iniziale sugli utenti mostra che molti utenti vogliono ancora password come metodo di accesso alternativo. Inoltre, non tutti gli utenti disporranno della tecnologia necessaria per adottare le passkey.

Di conseguenza, sebbene il settore, inclusa Google, si sta orientando verso un "futuro senza password", Google sta intenzionalmente posizionando le passkey come un'alternativa semplice e sicura alle password. L'UI di Google si concentra sui vantaggi delle passkey ed evita l'uso di linguaggio che implica la rimozione delle password.

Il momento della creazione

Quando gli utenti scelgono di registrarsi, vedono una finestra modale dell'interfaccia utente specifica del browser che consente di creare una passkey.

La passkey stessa viene mostrata con l'icona allineata al settore e le informazioni utilizzate per crearla. Sono inclusi il nome visualizzato (un nome semplice per la passkey, come il nome reale dell'utente) e il nome utente (un nome univoco per il servizio; un indirizzo email può funzionare perfettamente qui). Per quanto riguarda l'utilizzo dell'icona delle passkey, l'alleanza FIDO consiglia di utilizzare l'icona delle passkey comprovate e incoraggia a crearne una personalizzata con le personalizzazioni.

L'icona delle passkey viene mostrata in modo coerente durante il percorso dell'utente per creare una familiarità con ciò che l'utente vedrà quando utilizza o gestisce la passkey. L'icona della passkey non viene mai presentata senza contesto o materiale di supporto.

Quando gli utenti creano la propria passkey, vedranno questa pagina
Quando gli utenti creano la propria passkey, vedranno questa pagina.

Sopra, abbiamo descritto come l'utente e la piattaforma collaborano per creare una passkey. Quando l'utente fa clic su "Continua", verrà visualizzata un'interfaccia utente univoca, a seconda della piattaforma.

Tenendo conto di ciò, attraverso una ricerca interna abbiamo appreso che una schermata di conferma una volta creata la passkey può essere molto utile in termini di comprensione e chiusura in questa fase del processo.

Una volta creata la passkey, gli utenti vedranno questa pagina
Una volta creata la passkey, gli utenti vedranno questa pagina.

La schermata di conferma è una "pausa" deliberata per terminare il percorso di presentazione all'utente delle passkey e di creare una propria passkey. Poiché è (probabilmente) la prima volta che un utente interagisce con le passkey, questa pagina mira a fornire una chiara chiusura del percorso. Abbiamo scelto una pagina separata dopo aver provato altri strumenti, come notifiche più piccole e persino un'email post-creazione, per fornire semplicemente un'esperienza end-to-end strutturata e stabile.

Quando l'utente fa clic su"Continua" qui, viene indirizzato alla sua destinazione.

Quando gli utenti eseguiranno nuovamente l'accesso, probabilmente vedranno questa pagina.
È probabile che gli utenti visualizzino questa pagina quando accederanno di nuovo.

Accesso…

La prossima volta che un utente proverà ad accedere, verrà accolto con questa pagina. Questo approccio utilizza lo stesso layout, la stessa illustrazione e lo stesso invito all'azione principale per evocare la prima esperienza di "creazione" descritta sopra. Dopo che l'utente avrà scelto di registrarsi alle passkey, questa pagina dovrebbe essere familiare e riconoscere i passaggi da eseguire per accedere.

L'utente utilizzerà questa UI di WebAuthn per accedere
L'utente utilizzerà questa UI di WebAuthn per accedere.

In questo caso si applica lo stesso principio di familiarità. Usa deliberatamente la stessa iconografia, illustrazione, lo stesso layout e lo stesso testo. Il testo all'interno dell'interfaccia utente WebAuthn è breve, ampio e riutilizzabile, in modo che tutti possano utilizzarlo sia per l'autenticazione che per la riautenticazione.

Gestione delle passkey

L'introduzione di una pagina completamente nuova nelle pagine delle impostazioni dell'Account Google richiede un'attenta valutazione per garantire un'esperienza utente coerente, intuitiva e coerente.

A questo scopo, abbiamo analizzato i modelli relativi a navigazione, contenuti, gerarchia, struttura e aspettative consolidate nell'Account Google.

Pagina di gestione delle passkey nell'Account Google
Pagina di gestione delle passkey nell'Account Google.

Descrivere le passkey in base all'ecosistema

Per creare un sistema di categorie di alto livello che sarebbe logico da comprendere, abbiamo deciso di descrivere le passkey in base all'ecosistema. In questo modo, un utente può riconoscere dove è stata creata una passkey e dove viene utilizzata. Ogni provider di identità (Google, Apple e Microsoft) ha un nome per il proprio ecosistema, quindi abbiamo scelto di utilizzarlo (rispettivamente Gestore delle password di Google, portachiavi iCloud e Windows Hello).

A supporto di ciò, abbiamo aggiunto ulteriori metadati, ad esempio la data di creazione, l'ultimo utilizzo e il sistema operativo specifico su cui sono stati utilizzati. Per quanto riguarda le azioni di gestione degli utenti, l'API supporta solo la ridenominazione, la revoca e la creazione.

La ridenominazione consente agli utenti di assegnare nomi personali significativi alle passkey, il che potrebbe aiutare determinate coorti di utenti a monitorarle e comprenderle più facilmente.

La revoca di una passkey non ne comporta l'eliminazione dal gestore delle credenziali personali dell'utente (come Gestore delle password di Google), ma la rende inutilizzabile finché non viene configurata di nuovo. Ecco perché abbiamo scelto una croce, invece di un'icona a forma di cestino o di eliminazione, per rappresentare l'azione di revoca di una passkey.

Quando si descrive l'azione di aggiungere una passkey al proprio account, la frase "Crea una passkey" ha fatto più presa sugli utenti rispetto a "Aggiungi una passkey". Si tratta di una scelta linguistica discreta per distinguere le passkey dai token di sicurezza hardware tangibili (anche se va notato che le passkey possono essere archiviate su alcuni token di sicurezza hardware).

Fornire contenuti aggiuntivi

Una ricerca interna ha dimostrato che l'utilizzo delle passkey è un'esperienza relativamente semplice e familiare. Tuttavia, come per ogni nuova tecnologia, alcuni utenti rimangono in dubbio.

Il funzionamento della tecnologia alla base del blocco schermo, cosa lo rende più sicuro e gli scenari ipotetici più comuni che Google ha trovato durante i test sono trattati nei contenuti del Centro assistenza per le passkey di Google. Preparare i contenuti di assistenza con il lancio delle passkey è fondamentale per una transizione semplice per gli utenti su qualsiasi sito.

Rinuncia alle passkey

Per ripristinare il sistema precedente, basta fare clic su "Prova un altro metodo" quando a un utente viene chiesto di autenticarsi con una passkey. Inoltre, l'uscita dall'interfaccia utente di WebAuthn avvierà gli utenti su un percorso che consente di provare nuovamente la passkey o di accedere al proprio Account Google in modi tradizionali.

Conclusione

Le passkey sono ancora agli inizi, quindi quando progetti l'esperienza utente tieni a mente alcuni principi:

  • Introduci le passkey quando sono pertinenti per l'utente.
  • Evidenzia i vantaggi delle passkey.
  • Sfrutta le opportunità per acquisire familiarità con il concetto di passkey.
  • Posiziona le passkey come alternativa alle password e non come sostitutive.

Le scelte che abbiamo effettuato per le passkey per gli Account Google sono state basate su best practice e ricerche interne e continueremo a migliorare l'esperienza utente man mano che acquisiamo nuove informazioni dagli utenti nel mondo reale.