امنیت بهتر و تجربه کاربری بهتر را به حسابهای Google میآورد.
Passkeys یک فناوری ساده و ایمن احراز هویت بین دستگاهی است که امکان ایجاد حسابهای آنلاین و ورود به آنها را بدون وارد کردن رمز عبور فراهم میکند. برای ورود به یک حساب کاربری، کاربران به سادگی از قفل صفحه در دستگاه خود استفاده کنند، مانند لمس حسگر اثر انگشت.
گوگل سالهاست که در کنار اپل و مایکروسافت با FIDO Alliance همکاری میکند تا کلیدهای عبور را به دنیا بیاورد. در سال 2022، ما پشتیبانی پلتفرمی را برای کلیدهای عبور راه اندازی کردیم تا کاربران Android و Chrome بتوانند به طور یکپارچه به برنامه ها و وب سایت ها در همه دستگاه های خود وارد شوند. در مه 2023، ما ورود به حسابهای Google را با کلیدهای عبور فعال کردیم و امنیت و راحتی کلیدهای عبور را برای کاربران خود به ارمغان آوردیم.
گوگل در موقعیت منحصر به فردی قرار دارد، زیرا ما هر دو روی زیرساخت کلیدهای عبور کار می کنیم و یکی از بزرگترین سرویس هایی هستیم که از آنها استفاده می کند. ما کلیدهای عبور را برای حسابهای Google با دقت و عمد منتشر میکنیم، بنابراین میتوانیم نتایج را اندازهگیری کنیم و از آن بازخورد برای ادامه بهبود زیرساخت کلید عبور و تجربه حساب Google استفاده کنیم.
انتقال کاربران به کلیدهای عبور
گذرواژهها از زمان ظهور تجربیات آنلاین شخصیشده، روش استاندارد ورود به سیستم بودهاند. چگونه تجربه بدون رمز عبور رمز عبور را معرفی کنیم؟
تحقیقات نشان میدهد که وقتی صحبت از احراز هویت میشود، کاربران برای راحتی بیشتر ارزش قائل هستند. آنها خواهان انتقال آرام و سریع به تجربه واقعی هستند که تنها پس از ورود به سیستم انجام می شود.
با این حال، انتقال به کلیدهای عبور نیازمند تغییر حافظه عضلانی است و کاربران باید متقاعد شوند که ارزش تغییر را دارد.
تجربه کاربری کلیدهای عبور برای Google.com به صورت استراتژیک طراحی شده است تا در هر مرحله از فرآیند احراز هویت بر دو اصل تأکید کند: سهولت استفاده و امنیت.
پیشرو با راحتی
اولین صفحه کلید عبوری که کاربران می بینند، سبک و قابل هضم است. هدر روی مزیت کاربر تمرکز دارد و میگوید «ورود خود را ساده کنید».
نسخه اصلی توضیح میدهد که «هم اکنون با کلیدهای عبور میتوانید از اثر انگشت، قفل صفحه یا قفل صفحه برای تأیید اینکه واقعاً شما هستید، استفاده کنید».
هدف از این تصویر، پایهگذاری پیام در ارزش پیشنهادی صفحه است. اکشن اصلی آبی بزرگ کاربر را به ادامه دعوت می کند. "اکنون نه" به عنوان یک اقدام ثانویه گنجانده شده است تا به کاربران اجازه دهد انتخاب کنند که در این زمان شرکت کنند یا نه و کنترل را به کاربر واگذار می کند. و "بیشتر بیاموزید" برای کنجکاوترین کاربرانی که دوست دارند کلیدهای عبور را قبل از ادامه بهتر درک کنند، ارائه شده است.
ما تکرارهای زیادی از صفحاتی را که برای معرفی کاربران به کلیدهای عبور در حین ورود به سیستم مورد استفاده قرار میگرفتند، بررسی کردیم. این شامل آزمایش محتوایی بود که بر امنیت، فناوری و سایر جنبههای کلیدهای عبور تأکید میکرد - اما راحتی واقعاً چیزی بود که بیشتر طنین انداز شد. استراتژی محتوا، تصویر و طراحی تعامل Google این اصل اصلی را برای اجرای کلیدهای عبور ما نشان می دهد.
ارتباط اصطلاح "کلیدهای عبور" با تجربیات امنیتی آشنا
کلیدهای عبور یک اصطلاح جدید برای اکثر کاربران است، بنابراین ما عمداً به آرامی کاربران را در معرض این اصطلاح قرار می دهیم تا آشنایی بیشتری داشته باشند. با هدایت تحقیقات داخلی، ما به طور استراتژیک کلیدهای عبور را با امنیت مرتبط می کنیم.
کلمه "passkey" در سراسر جریان ورود به سیستم در موقعیت کمتر برجسته کپی بدن گنجانده شده است. این به طور مداوم در میان تجارب امنیتی آشنا قرار دارد که استفاده از کلید عبور را امکانپذیر میسازد: اثر انگشت، اسکن چهره یا سایر قفل صفحه دستگاه.
تحقیقات ما نشان داده است که بسیاری از کاربران بیومتریک را با امنیت مرتبط میدانند. در حالی که کلیدهای عبور نیازی به بیومتریک ندارند (مثلاً می توان از یک رمز عبور با پین دستگاه استفاده کرد)، ما به دنبال ارتباط کلیدهای عبور با بیومتریک هستیم تا درک کاربر از مزایای امنیتی کلیدهای عبور را تقویت کنیم.
محتوای اضافی پشت "بیشتر بیاموزید" اطلاعات ارزشمند زیادی برای کاربران دارد، از جمله به کاربران اطمینان می دهد که داده های حساس و بیومتریک آنها در دستگاه شخصی آنها باقی می ماند و هرگز در هنگام ایجاد یا استفاده از کلیدهای عبور ذخیره یا به اشتراک گذاشته نمی شود. ما این رویکرد را اتخاذ کردیم زیرا اکثر کاربران جنبه راحتی کلیدهای عبور را جذاب میدانستند، اما تنها تعداد کمی از آنها عنصر بیومتریک را در طول آزمایش در نظر گرفتند.
معرفی کلیدهای عبور زمانی که مربوط به کاربر است
اکتشافی گوگل به دقت تعیین می کند که چه کسی صفحه مقدماتی را ببیند. برخی از عوامل این است که آیا کاربر تأیید دو مرحلهای را فعال کرده است و آیا آنها به طور منظم از همان دستگاه به آن حساب دسترسی دارند یا خیر.
کاربرانی که به احتمال زیاد با کلیدهای عبور موفق می شوند ابتدا انتخاب می شوند و به مرور زمان کاربران بیشتری معرفی می شوند (البته، امروز هر کسی می تواند از g.co/passkeys شروع به کار کند).
پس از ورود به سیستم با نام کاربری و رمز عبور، از کاربران منتخب خواسته می شود که یک رمز عبور ایجاد کنند. چند دلیل وجود دارد که ما این نقطه را در سفر کاربر انتخاب کردیم:
- کاربر به تازگی وارد سیستم شده است، از اعتبار و مرحله دوم خود آگاه است.
- ما مطمئن هستیم که کاربر در دستگاه خود است—او به تازگی وارد سیستم شده است، بنابراین بعید است که از دستگاه خود خارج شده یا دستگاه خود را زمین گذاشته باشد.
- از نظر آماری، ورود به سیستم همیشه در بار اول موفقیت آمیز نیست – بنابراین پیامی در مورد آسانتر کردن آن دفعه بعد ارزش ملموسی دارد.
قرار دادن کلیدهای عبور به عنوان جایگزینی برای
رمز عبور و هنوز جایگزین نشده است
تحقیقات اولیه کاربران نشان می دهد که بسیاری از کاربران همچنان رمزهای عبور را به عنوان یک روش ورود به سیستم پشتیبان می خواهند. و همه کاربران فناوری لازم برای پذیرش کلیدهای عبور را ندارند.
بنابراین در حالی که صنعت، از جمله گوگل، به سمت «آینده بدون رمز عبور» در حال حرکت است، گوگل عمداً کلیدهای عبور را به عنوان جایگزینی ساده و امن برای رمزهای عبور قرار می دهد. رابط کاربری گوگل بر مزایای کلیدهای عبور تمرکز دارد و از زبانی که به معنای خلاص شدن از شر رمزهای عبور است اجتناب می کند.
لحظه خلقت
هنگامی که کاربران انتخاب می کنند که ثبت نام کنند، یک مدال رابط کاربری خاص مرورگر را می بینند که به آنها امکان می دهد یک رمز عبور ایجاد کنند.
رمز عبور خود با نماد صنعت تراز و اطلاعات استفاده شده برای ایجاد آن نشان داده می شود. این شامل نام نمایشی (نامی مناسب برای رمز عبور شما، مانند نام واقعی کاربر) و نام کاربری (یک نام منحصر به فرد در سرویس شما – یک آدرس ایمیل میتواند در اینجا عالی عمل کند). وقتی صحبت از کار با نماد کلیدهای عبور به میان میآید، اتحاد FIDO استفاده از نماد رمزهای عبور اثبات شده را توصیه میکند - و تشویق میکند که با سفارشیسازیها، آن را برای خودتان بسازید.
نماد کلیدهای عبور به طور مداوم در طول سفر کاربر نشان داده می شود تا با آنچه کاربر هنگام استفاده یا مدیریت کلید عبور می بیند آشنا شود. نماد رمز عبور هرگز بدون زمینه یا مطالب پشتیبانی ارائه نمی شود.
در بالا، نحوه کار کاربر و پلتفرم برای ایجاد یک رمز عبور را توضیح دادیم. وقتی کاربر روی «ادامه» کلیک میکند، بسته به پلتفرم، یک رابط کاربری منحصربهفرد برایش نمایش داده میشود.
با در نظر گرفتن این موضوع، ما از طریق تحقیقات داخلی دریافتیم که یک صفحه تایید پس از ایجاد رمز عبور می تواند از نظر درک و بسته شدن در این مرحله از فرآیند بسیار مفید باشد.
صفحه تأیید یک «مکث» عمدی برای پایان دادن به سفر معرفی کاربر به کلیدهای عبور و گذراندن فرآیند ایجاد یکی از آنهاست. از آنجایی که (احتمالاً) اولین بار است که کاربر با کلیدهای عبور درگیر می شود، هدف این صفحه فراهم کردن بسته شدن واضح برای سفر است. ما یک صفحه مستقل را پس از آزمایش برخی ابزارهای دیگر مانند اعلانهای کوچکتر و حتی یک ایمیل پس از ایجاد انتخاب کردیم – صرفاً برای ارائه یک تجربه ساختیافته و پایدار.
هنگامی که کاربر روی "ادامه" در اینجا کلیک کرد، به مقصد خود آورده می شود.
ورود به سیستم
دفعه بعد که کاربر سعی می کند وارد سیستم شود، با این صفحه مورد استقبال قرار می گیرد. این از همان چیدمان، تصویر، و فراخوان اولیه برای عمل استفاده میکند تا اولین تجربه «آفرینش» را که در بالا ذکر شد، القا کند. هنگامی که کاربر برای ثبت نام در کلیدهای عبور انتخاب کرد، این صفحه باید احساس آشنایی داشته باشد و تشخیص دهد که برای ورود به سیستم چه مراحلی را باید انجام دهد.
همین اصل آشنایی در اینجا نیز صادق است. به عمد، این از همان نماد نگاری، تصویرسازی، طرحبندی و متن استفاده میکند. متن درون رابط کاربری WebAuthn مختصر، گسترده و قابل استفاده مجدد است – بنابراین همه میتوانند از آن هم برای احراز هویت و هم برای احراز هویت مجدد استفاده کنند.
مدیریت کلیدهای عبور
معرفی یک صفحه کاملاً جدید در صفحات تنظیمات حساب Google مستلزم بررسی دقیق برای اطمینان از تجربه کاربری منسجم، بصری و سازگار است.
برای رسیدن به این هدف، الگوهای مربوط به پیمایش، محتوا، سلسله مراتب، ساختار و انتظارات ایجاد شده را که در سراسر حساب Google وجود داشت، تجزیه و تحلیل کردیم.
کلیدهای عبور را بر اساس اکوسیستم توصیف کنید
برای ایجاد یک سیستم دستهبندی سطح بالا که درک آن منطقی باشد، به توصیف کلیدهای عبور بر اساس اکوسیستم پرداختیم. به این ترتیب، کاربر می تواند تشخیص دهد که رمز عبور در کجا ایجاد شده است و کجا از آن استفاده می شود. هر ارائهدهنده هویت (گوگل، اپل و مایکروسافت) یک نام برای اکوسیستم خود دارد، بنابراین ما انتخاب کردیم که از آنها استفاده کنیم (به ترتیب Google Password Manager، iCloud keychain و Windows Hello).
برای پشتیبانی از این امر، ما متادیتای اضافی را اضافه کردیم، مانند زمان ایجاد، آخرین استفاده از آن و سیستم عامل خاصی که در آن استفاده شده است. از نظر اقدامات مدیریت کاربر، API فقط از تغییر نام، لغو و ایجاد پشتیبانی می کند.
تغییر نام به کاربران این امکان را میدهد تا نامهای معنادار شخصی را به کلیدهای عبور اختصاص دهند، که میتواند به گروههای خاصی از کاربران کمک کند تا آنها را راحتتر پیگیری و درک کنند.
ابطال کلید عبور آن را از مدیر اعتبار شخصی کاربر (مانند Google Password Manager) حذف نمی کند، اما تا زمانی که دوباره راه اندازی نشود، آن را غیرقابل استفاده می کند. به همین دلیل است که به جای نماد حذف یا حذف، یک ضربدر را برای نشان دادن عمل ابطال کلید عبور انتخاب کردیم.
هنگام توصیف اقدام افزودن کلید عبور به حساب کاربری آنها، عبارت "Create Paskey" در مقایسه با "Add a Paskey" در بین کاربران طنین انداز بهتری داشت. این یک انتخاب زبان ظریف برای تشخیص کلیدهای عبور از کلیدهای امنیتی محسوس و سخت افزاری است (البته باید توجه داشت که کلیدهای عبور را می توان در برخی از کلیدهای امنیتی سخت افزاری ذخیره کرد ).
ارائه محتوای اضافی
تحقیقات داخلی نشان داد که استفاده از کلیدهای عبور یک تجربه نسبتاً یکپارچه و آشنا است. با این حال، مانند هر فناوری جدید، سؤالات و نگرانی های طولانی مدتی برای برخی از کاربران وجود دارد.
نحوه عملکرد این فناوری در پشت قفل صفحه، چه چیزی آن را ایمنتر میکند و رایجترین سناریوهای «چه میشد اگر» Google در آزمایش با آن مواجه شد، در محتوای مرکز راهنمای Google با کلید عبور مورد بررسی قرار میگیرد. داشتن محتوای پشتیبانی آماده با راه اندازی کلیدهای عبور برای انتقال آسان برای کاربران در هر سایتی حیاتی است.
عقب افتادن از کلیدهای عبور
هنگامی که از کاربر خواسته می شود با یک رمز عبور احراز هویت کند، بازگشت به سیستم قدیمی به سادگی کلیک روی "راه دیگری را امتحان کنید" است. علاوه بر این، با خروج از رابط کاربری WebAuthn، کاربران در مسیری قرار میگیرند تا رمز عبور خود را دوباره امتحان کنند یا به روشهای سنتی وارد حساب Google خود شوند.
نتیجه گیری
ما هنوز در روزهای اولیه رمز عبور هستیم، بنابراین هنگام طراحی تجربه کاربری، چند اصل را در نظر داشته باشید:
- وقتی کلیدهای عبور مربوط به کاربر است، معرفی کنید.
- مزایای کلیدهای عبور را برجسته کنید.
- از فرصت ها برای ایجاد آشنایی با مفهوم کلیدهای عبور استفاده کنید.
- کلیدهای عبور را به عنوان جایگزینی برای رمزهای عبور و نه جایگزینی قرار دهید.
انتخابهایی که ما برای کلیدهای عبور حسابهای Google انجام دادیم با بهترین روشها و تحقیقات داخلی مشخص شد و با کسب اطلاعات بینش جدید از کاربران در دنیای واقعی، به تکامل تجربه کاربر ادامه خواهیم داد.