Google 계정에 더 나은 보안과 더 나은 사용자 환경을 제공합니다.
패스키는 비밀번호를 입력하지 않고도 온라인 계정을 만들고 로그인할 수 있게 하는 간단한 안전한 교차 기기 인증 기술입니다. 계정에 로그인하려는 사용자에게는 지문 센서를 터치하는 등 기기의 화면 잠금을 사용하라는 메시지가 표시됩니다.
Google은 패스키를 전 세계에 제공하기 위해 Apple 및 Microsoft와 함께 수년간 FIDO Alliance와 협력해 왔습니다. 2022년 Google은 Android 및 Chrome 사용자가 모든 기기에서 앱과 웹사이트에 원활하게 로그인할 수 있도록 패스키에 대한 플랫폼 지원을 출시했습니다. 2023년 5월, Google은 사용자에게 패스키의 보안과 편의성을 제공하기 위해 패스키를 사용하는 Google 계정에 로그인할 수 있도록 설정했습니다.
Google은 패스키에 대한 인프라를 개발하는 동시에 패스키를 사용하는 최대 서비스 중 하나이므로 독보적인 위치에 있습니다. Google은 Google 계정의 패스키를 신중하고 고의적으로 출시하므로 결과를 측정하고 그 의견을 사용하여 패스키 인프라와 Google 계정 환경을 지속적으로 개선할 수 있습니다.
사용자를 패스키로 전환
비밀번호는 맞춤형 온라인 환경이 등장한 이래 표준 로그인 방법이 되어 왔습니다. 패스키의 비밀번호 없는 환경을 도입하려면 어떻게 해야 하나요?
연구에 따르면 인증에 있어 사용자는 편의성을 가장 중요하게 생각합니다. 사용자는 로그인한 후에만 실제 환경으로 원활하고 빠르게 전환하길 원합니다.
그래도 패스키로 전환하려면 머슬 메모리 변경이 필요하며 사용자는 전환할 가치가 있다고 확신해야 합니다.
Google.com의 패스키 사용자 환경은 인증 프로세스의 모든 단계에서 사용 편의성과 보안이라는 두 가지 원칙을 강조하기 위해 전략적으로 설계되었습니다.
편의성을 추구하는 리드
사용자에게 표시되는 첫 번째 패스키 화면은 가볍고 이해하기 쉽습니다. 헤더는 사용자 혜택에 중점을 두고 '로그인 간소화'라고 합니다.
본문 문구에는 '패스키를 사용하면 이제 지문, 얼굴 또는 화면 잠금을 사용하여 본인 인증을 할 수 있습니다.'라고 설명합니다.
페이지의 가치 제안에 근거를 둔 그림입니다. 커다란 파란색 기본 작업은 사용자가 계속 진행하도록 유도합니다. '나중에'는 사용자가 지금 선택할지 여부를 선택할 수 있는 보조 작업으로 포함되어 사용자가 제어할 수 있습니다. 또한 계속 진행하기 전에 패스키에 대해 더 자세히 알아보고자 하는 가장 호기심이 많은 사용자를 위해 '자세히 알아보기'가 제공됩니다.
로그인 중에 사용자에게 패스키를 소개하는 데 사용되는 페이지를 여러 번 살펴보았습니다. 여기에는 보안, 기술, 패스키의 기타 측면을 강조하는 콘텐츠를 시도하는 것도 포함되지만 편의성이 가장 큰 영향을 미쳤습니다. Google의 콘텐츠 전략, 삽화, 상호작용 디자인은 패스키 구현을 위한 이러한 핵심 원칙을 보여줍니다.
'패스키'라는 용어를 익숙한 보안 경험과 연결
패스키는 대다수 사용자를 대상으로 하는 새로운 용어이므로 사용자에게 익숙해지도록 의도적으로 용어를 부드럽게 노출합니다. Google은 내부 연구에 따라 패스키를 보안과 전략적으로 연결하고 있습니다.
'패스키'라는 단어는 로그인 과정 내내 눈에 잘 띄지 않는 본문 문구 위치에 포함됩니다. 또한 패스키 사용을 지원하는 친숙한 보안 환경(예: 지문, 얼굴 스캔 또는 기타 기기 화면 잠금) 사이에 일관되게 중첩됩니다.
연구에 따르면 많은 사용자가 생체 인식을 보안과 연관 짓는 것으로 나타났습니다. 패스키에는 생체 인식 (예: 패스키를 기기 PIN과 함께 사용할 수 있음)이 필요하지 않지만, Google에서는 패스키의 보안 이점에 대한 사용자의 인식을 높이기 위해 패스키와 생체 인식의 연결을 활용합니다.
'자세히 알아보기' 뒤에 있는 추가 콘텐츠에는 사용자에게 중요한 정보가 많이 포함되어 있습니다. 여기에는 민감한 생체 인식 데이터가 개인 기기에 보관되며 패스키를 만들거나 사용할 때 저장되거나 공유되지 않는다는 사용자 확신을 주는 내용도 포함됩니다. 이 접근 방식을 채택한 이유는 대부분의 사용자가 패스키의 편의성 측면을 매력적이라고 생각했지만 테스트 중에 생체 인식 요소를 고려한 사용자는 소수에 불과했기 때문입니다.
사용자와 관련된 패스키 도입
Google의 휴리스틱은 소개 화면을 볼 대상을 신중하게 결정합니다. 몇 가지 요인으로는 사용자가 2단계 인증을 사용 설정했는지 여부, 사용자가 동일한 기기에서 정기적으로 계정에 액세스하는지 여부 등이 있습니다.
패스키로 성공할 가능성이 가장 높은 사용자가 먼저 선택되고 시간이 지남에 따라 더 많은 사용자가 도입될 것입니다 (하지만 누구나 지금 g.co/passkeys에서 시작할 수 있습니다).
일부 사용자는 사용자 이름과 비밀번호로 로그인한 후 패스키를 생성하라는 메시지가 표시됩니다. 사용자 경험에서 이 포인트를 선택한 이유는 다음과 같습니다.
- 사용자가 방금 로그인했으며 사용자 인증 정보 및 2단계를 알고 있습니다.
- Google에서는 사용자가 자신의 기기를 사용하고 있다고 확신합니다. 사용자가 로그인한 지 얼마 되지 않아 사용자가 다른 곳으로 나갔거나 기기를 내려놓지 않았을 가능성이 높습니다.
- 통계적으로는 처음에 로그인에 성공하지 못할 때도 있습니다. 따라서 다음번에는 쉽게 로그인할 수 있도록 돕는 메시지가 실질적인 가치를 지닙니다.
패스키를 비밀번호의 대안으로 사용하고
아직 대체하지 않음
초기 사용자 연구에 따르면 여전히 비밀번호를 백업 로그인 방법으로 사용하고자 하는 것으로 나타났습니다. 또한 모든 사용자가 패스키를 채택하는 데 필요한 기술을 갖고 있는 것은 아닙니다.
따라서 Google을 포함한 업계는 '비밀번호 없는 미래'로 나아가는 동안 Google은 의도적으로 패스키를 비밀번호의 단순하고 안전한 대안으로 포지셔닝하고 있습니다. Google의 UI는 패스키의 이점에 중점을 두고 비밀번호 제거를 암시하는 언어를 피합니다.
창작의 순간
사용자가 등록을 선택하면 패스키를 만들 수 있는 브라우저별 UI 모달이 표시됩니다.
패스키 자체는 업계에 맞게 정렬된 아이콘 및 이를 만드는 데 사용된 정보와 함께 표시됩니다. 여기에는 표시 이름 (사용자의 실제 이름과 같이 패스키의 친숙한 이름)과 사용자 이름 (서비스상의 고유한 이름, 이메일 주소 사용 시 적합)이 포함됩니다. 패스키 아이콘을 사용할 때 FIDO 연합은 검증된 패스키 아이콘을 사용할 것을 권장하며 맞춤설정으로 패스키를 고유하게 만들 것을 권장합니다.
패스키 아이콘이 사용자 여정 전반에서 일관되게 표시되어 사용자가 패스키를 사용하거나 관리할 때 무엇이 표시되는지 알 수 있습니다. 패스키 아이콘은 맥락이나 보조 자료 없이는 표시되지 않습니다.
위에서 사용자와 플랫폼이 함께 작동하여 패스키를 생성하는 방법을 설명했습니다. 사용자가 '계속'을 클릭하면 플랫폼에 따라 고유한 UI가 표시됩니다.
이를 염두에 두고 내부 연구를 통해 패스키가 생성된 후 확인 화면이 이 프로세스의 단계에서 이해와 종료 측면에서 매우 유용할 수 있음을 배웠습니다.
확인 화면은 사용자에게 패스키를 소개하고 자체 패스키를 만드는 과정을 시작하기 위한 의도적인 '일시중지'입니다. 사용자가 패스키를 처음 사용할 때와 마찬가지로 이 페이지에서는 여정을 명확하게 종료하는 것을 목표로 합니다. 작은 알림이나 생성 후 이메일과 같은 다른 도구를 사용해 본 후에 독립형 페이지를 선택했습니다. 이는 체계적이고 안정적인 엔드 투 엔드 환경을 제공하기 위해서입니다.
사용자가 여기에서 '계속'을 클릭하면 목적지로 이동하게 됩니다.
로그인 중
다음에 사용자가 로그인하려고 하면 이 페이지가 표시됩니다. 여기서는 동일한 레이아웃, 삽화, 기본 클릭 유도 문구를 사용하여 위에서 설명한 첫 번째 '제작' 환경을 연상시킵니다. 사용자가 패스키 등록을 선택하면 이 페이지에 친숙하게 느껴지고 사용자는 로그인에 필요한 단계를 알 수 있을 것입니다.
익숙한 원칙이 여기에도 동일하게 적용됩니다. 의도적으로 동일한 아이콘, 일러스트레이션, 레이아웃, 텍스트를 사용합니다. WebAuthn UI 내의 텍스트는 간결하고 광범위하며 재사용 가능합니다. 따라서 누구나 인증과 재인증에 이 텍스트를 사용할 수 있습니다.
패스키 관리
Google 계정 설정 페이지에 완전히 새로운 페이지를 도입할 때는 일관되고 직관적이며 일관된 사용자 환경을 제공하기 위해 세심하게 고려해야 했습니다.
이를 위해 탐색, 콘텐츠, 계층 구조, 구조와 관련된 패턴을 분석하고 Google 계정 전반에 존재하는 기대치를 설정했습니다.
생태계별 패스키 설명
이해하기 쉽고 논리적인 상위 수준 카테고리 시스템을 만들기 위해 생태계별로 패스키를 설명하기로 했습니다. 이렇게 하면 사용자가 패스키가 생성된 위치와 사용되는 위치를 인식할 수 있습니다. 각 ID 공급업체 (Google, Apple, Microsoft)에는 해당 생태계의 이름이 있으므로 이러한 이름 (각각 Google 비밀번호 관리자, iCloud 키체인, Windows Hello)을 사용하기로 했습니다.
이를 지원하기 위해 추가 메타데이터(예: 생성 시간, 마지막 사용 시간, 메타데이터가 사용된 특정 OS)를 추가했습니다. 사용자 관리 작업 측면에서 API는 이름 변경, 취소, 만들기만 지원합니다.
이름을 바꾸면 사용자는 개인적으로 의미 있는 이름을 패스키에 할당할 수 있으므로 특정 사용자 집단이 패스키를 더 쉽게 추적하고 파악할 수 있습니다.
패스키를 취소해도 사용자의 개인 인증 관리자(예: Google 비밀번호 관리자)에서는 삭제되지 않지만 다시 설정할 때까지 사용할 수 없게 됩니다. 따라서 패스키 취소 작업을 나타내기 위해 휴지통이나 삭제 아이콘 대신 X 표시를 선택했습니다.
계정에 패스키를 추가하는 작업을 설명할 때 '패스키 만들기' 문구가 '패스키 추가'보다 사용자에게 더 큰 반응을 얻었습니다. 이는 패스키와 유형의 하드웨어 보안 키를 구분하기 위한 섬세한 언어 선택입니다 (단, 일부 하드웨어 보안 키에 패스키를 저장할 수 있음에 유의).
추가 콘텐츠 제공
내부 연구에 따르면 패스키 사용은 비교적 원활하고 친숙한 환경입니다. 그러나 여느 신기술과 마찬가지로 일부 사용자는 끊임없이 의문과 문제를 제기해야 합니다.
화면 잠금 뒤에서 이 기술이 작동하는 방식, 보안을 강화하는 방법, Google이 테스트 과정에서 발견한 가장 일반적인 '만약' 시나리오는 Google 패스키 고객센터 콘텐츠에서 다룹니다. 패스키 출시를 통해 지원 콘텐츠를 준비하는 것은 사용자가 모든 사이트의 사용자를 쉽게 전환할 수 있도록 하는 데 매우 중요합니다.
패스키에서 대체
이전 시스템으로 되돌리는 것은 사용자에게 패스키로 인증하라는 메시지가 표시될 때 '다른 방법 시도'를 클릭하는 것만큼 간단합니다. 또한 WebAuthn UI를 종료하면 사용자가 패스키를 다시 시도하거나 기존 방식으로 Google 계정에 로그인할 수 있는 경로로 시작됩니다.
결론
패스키는 아직 초기 단계이므로 사용자 환경을 설계할 때 몇 가지 원칙을 염두에 두어야 합니다.
- 사용자와 관련이 있을 때 패스키를 도입합니다.
- 패스키의 이점을 강조합니다.
- 기회를 활용하여 패스키의 개념을 익힙니다.
- 패스키를 비밀번호의 대체가 아닌 대안으로 포지셔닝하세요.
Google 계정의 패스키에 대한 Google의 선택은 권장사항과 내부 연구를 토대로 하며, Google은 실제 사용자로부터 새로운 정보를 얻음으로써 사용자 환경을 계속 발전시켜 나갈 것입니다.