Progettare l'esperienza utente delle passkey sugli Account Google

Migliorare la sicurezza e l'esperienza utente degli Account Google.

Silvia Convento
Silvia Convento
Court Jacinic
Court Jacinic
Mitchell Galavan
Mitchell Galavan
X

Le passkey sono una tecnologia di autenticazione cross-device semplice e sicura che consente di creare account online e di accedervi senza inserire una password. Per accedere a un account, agli utenti viene semplicemente chiesto di utilizzare il blocco schermo sul proprio dispositivo, ad esempio toccando il sensore di impronte digitali.

Google collabora con FIDO Alliance da anni, insieme ad Apple e Microsoft, per rendere disponibili le passkey in tutto il mondo. Nel 2022 abbiamo implementato il supporto delle passkey per le piattaforme in modo che gli utenti di Android e Chrome possano accedere facilmente ad app e siti web su tutti i loro dispositivi. A maggio 2023 abbiamo consentito l'accesso agli Account Google con passkey, offrendo agli utenti la sicurezza e la praticità delle passkey.

Google si trova in una posizione unica, in quanto stiamo lavorando sia all'infrastruttura per le passkey sia a uno dei più grandi servizi che le utilizzano. Stiamo implementando le passkey per gli Account Google in modo accurato e deliberato, in modo da poter misurare i risultati e utilizzare questo feedback per continuare a migliorare l'infrastruttura delle passkey e l'esperienza dell'Account Google.

Transizione degli utenti alle passkey

Le password sono il metodo di accesso standard dall'avvento delle esperienze online personalizzate. Come introdurre l'esperienza senza password delle passkey?

Le ricerche indicano che, quando si tratta di autenticazione, gli utenti apprezzano maggiormente la comodità. Vogliono una transizione rapida e agevole all'esperienza reale, che avviene solo dopo l'accesso.

Tuttavia, il passaggio alle passkey richiede di cambiare la memoria muscolare e gli utenti devono essere convinti che valga la pena effettuare il passaggio.

L'esperienza utente delle passkey per Google.com è stata progettata strategicamente per sottolineare due principi in ogni fase della procedura di autenticazione: facilità d'uso e sicurezza.

Un'esperienza di prim'ordine

Per la maggior parte degli utenti, sarà la prima volta che vedranno le passkey
Per la maggior parte degli utenti, sarà la prima volta che vedranno le passkey.

La prima schermata della passkey che gli utenti visualizzano è leggera e facile da comprendere. L'intestazione è incentrata sul vantaggio per gli utenti, con la dicitura "Semplifica l'accesso".

Il testo del corpo spiega: "Con le passkey puoi usare la tua impronta, il tuo volto o il blocco schermo per verificare la tua identità".

L'illustrazione ha lo scopo di basare il messaggio sulla proposta di valore fatta dalla pagina. L'azione principale blu di grandi dimensioni invita l'utente a procedere. L'opzione "Non ora" è inclusa come azione secondaria per consentire agli utenti di scegliere se attivare o meno la funzionalità al momento, lasciando loro il controllo. L'opzione "Scopri di più" è rivolta agli utenti più curiosi che vogliono comprendere meglio le passkey prima di procedere.

Abbiamo esplorato molte iterazioni delle pagine utilizzate per introdurre gli utenti alle passkey durante l'accesso. Abbiamo provato contenuti che mettevano in evidenza la sicurezza, la tecnologia e altri aspetti delle passkey, ma è stata la praticità a fare la differenza. La strategia per i contenuti, le illustrazioni e il design delle interazioni di Google dimostrano questo principio fondamentale per la nostra implementazione delle passkey.

Associazione del termine "passkey" ad esperienze di sicurezza familiari

Le passkey sono un nuovo termine per la maggior parte degli utenti, quindi stiamo intenzionalmente esponendoli gradualmente al termine per familiarizzarli. Sulla base di ricerche interne, stiamo associando strategicamente le passkey alla sicurezza.

La parola "passkey" è inclusa in tutto il flusso di accesso nella posizione meno in evidenza del testo. Si inserisce in modo coerente tra le esperienze di sicurezza familiari che consentono l'utilizzo delle passkey: impronta, scansione del volto o altro blocco schermo del dispositivo.

La nostra ricerca ha dimostrato che molti utenti associano la biometria alla sicurezza. Anche se le passkey non richiedono la biometria (ad esempio, una passkey può essere utilizzata con il PIN di un dispositivo), stiamo puntando sull'associazione delle passkey con la biometria per migliorare la percezione degli utenti dei vantaggi in termini di sicurezza delle passkey.

I contenuti aggiuntivi disponibili facendo clic su "Scopri di più" forniscono agli utenti molte informazioni utili, tra cui la certezza che i loro dati biometrici sensibili rimangano sul loro dispositivo personale e non vengano mai memorizzati o condivisi durante la creazione o l'utilizzo delle passkey. Abbiamo adottato questo approccio perché la maggior parte degli utenti ha trovato interessante l'aspetto della praticità delle passkey, ma solo pochi hanno preso in considerazione l'elemento biometrico durante i test.

Introduzione delle passkey quando sono pertinenti per l'utente

Le strategie di Google determinano con attenzione chi vedrà la schermata introduttiva. Alcuni fattori sono se un utente ha attivato la verifica in due passaggi e se accede regolarmente all'account dallo stesso dispositivo.

Gli utenti con maggiori probabilità di successo con le passkey vengono selezionati per primi e, nel tempo, verranno introdotti altri utenti (anche se chiunque può iniziare subito da g.co/passkeys).

Alcuni utenti vengono invitati a creare una passkey dopo aver eseguito l'accesso con un nome utente e una password. Ecco alcuni motivi per cui abbiamo scelto questo punto del percorso dell'utente:

  • L'utente ha appena eseguito l'accesso, conosce le sue credenziali e il secondo passaggio.
  • Siamo certi che l'utente sia sul suo dispositivo, dato che ha appena eseguito l'accesso, quindi è improbabile che sia andato via o abbia messo giù il dispositivo.
  • Dal punto di vista statistico, l'accesso non va sempre a buon fine la prima volta, quindi un messaggio che semplifica la procedura la volta successiva ha un valore tangibile.

Posizionare le passkey come alternativa alle
password e non ancora come sostitutive

La ricerca iniziale sugli utenti mostra che molti utenti vogliono ancora le password come metodo di accesso di riserva. Inoltre, non tutti gli utenti disporranno della tecnologia necessaria per adottare le passkey.

Pertanto, mentre il settore, incluso Google, si sta muovendo verso un "futuro senza password", Google sta posizionando intenzionalmente le passkey come un'alternativa semplice e sicura alle password. L'interfaccia utente di Google si concentra sui vantaggi delle passkey ed evita un linguaggio che implichi l'eliminazione delle password.

Il momento della creazione

Quando gli utenti scelgono di registrarsi, vedono una finestra modale dell'interfaccia utente specifica del browser che consente di creare una passkey.

La passkey stessa viene mostrata con l'icona allineata al settore e le informazioni utilizzate per crearla. Sono inclusi il nome visualizzato (un nome facile da ricordare per la passkey, ad esempio il nome reale dell'utente) e il nome utente (un nome univoco nel servizio; un indirizzo email può essere perfetto). Per quanto riguarda l'utilizzo dell'icona delle passkey, l'alleanza FIDO consiglia di utilizzare l'icona delle passkey comprovate e incoraggia a crearne una personalizzata con le personalizzazioni.

L'icona delle passkey viene mostrata in modo coerente durante il percorso dell'utente per creare familiarità con ciò che vedrà quando utilizza o gestisce la passkey. L'icona della passkey non viene mai presentata senza contesto o materiale di supporto.

Quando gli utenti creano la propria passkey, vedranno questa pagina
Quando gli utenti creano la passkey, vedono questa pagina.

Sopra abbiamo descritto il modo in cui l'utente e la piattaforma collaborano per creare una passkey. Quando l'utente fa clic su "Continua", verrà visualizzata un'interfaccia utente univoca, a seconda della piattaforma.

Tenendo conto di ciò, attraverso una ricerca interna abbiamo appreso che una schermata di conferma una volta creata la passkey può essere molto utile in termini di comprensione e chiusura in questa fase del processo.

Una volta creata la passkey, gli utenti vedranno questa pagina
Una volta creata la passkey, gli utenti vedranno questa pagina.

La schermata di conferma è una "pausa" deliberata per concludere il percorso di introduzione delle passkey a un utente e per consentirgli di creare una passkey personale. Poiché è (probabilmente) la prima volta che un utente utilizza le passkey, la finalità di questa pagina è fornire una chiusura chiara del percorso. Abbiamo scelto una pagina autonoma dopo aver provato altri strumenti, come notifiche più brevi e persino un'email di post-creazione, semplicemente per offrire un'esperienza end-to-end strutturata e stabile.

Dopo che l'utente fa clic su"Continua", viene reindirizzato alla pagina di destinazione.

Quando gli utenti accedono di nuovo, è probabile che vedano questa pagina
Quando gli utenti accedono di nuovo, è probabile che vedano questa pagina.

Accesso…

Al successivo tentativo di accesso, l'utente visualizzerà questa pagina. Vengono utilizzati lo stesso layout, la stessa illustrazione e lo stesso invito all'azione principale per rievocare la prima esperienza di "creazione" descritta sopra. Una volta che l'utente ha scelto di registrare le passkey, questa pagina dovrebbe risultargli familiare e saprà quali passaggi deve svolgere per accedere.

L'utente utilizzerà questa UI di WebAuthn per accedere
L'utente utilizzerà questa UI di WebAuthn per accedere.

In questo caso si applica lo stesso principio di familiarità. Vengono intenzionalmente utilizzati la stessa iconografia, illustrazione, layout e testo. Il testo all'interno dell'interfaccia utente WebAuthn è breve, ampio e riutilizzabile, in modo che tutti possano utilizzarlo sia per l'autenticazione che per la riautenticazione.

Gestione delle passkey

L'introduzione di una pagina completamente nuova nelle pagine delle impostazioni dell'Account Google richiede un'attenta valutazione per garantire un'esperienza utente coerente, intuitiva e coerente.

A questo scopo, abbiamo analizzato i modelli relativi a navigazione, contenuti, gerarchia, struttura e aspettative consolidate nell'Account Google.

Pagina di gestione delle passkey nell'Account Google
Pagina di gestione delle passkey nell'Account Google
.

Descrivere le passkey in base all'ecosistema

Per creare un sistema di categorie di alto livello che fosse logico da comprendere, abbiamo scelto di descrivere le passkey in base all'ecosistema. In questo modo, un utente può riconoscere dove è stata creata una passkey e dove viene utilizzata. Ogni provider di identità (Google, Apple e Microsoft) ha un nome per il proprio ecosistema, quindi abbiamo scelto di utilizzarli (rispettivamente Gestore delle password di Google, Portachiavi iCloud e Windows Hello).

Per supportare questa funzionalità, abbiamo aggiunto metadati aggiuntivi, ad esempio la data di creazione, l'ultima data di utilizzo e il sistema operativo specifico su cui è stato utilizzato. In termini di azioni di gestione degli utenti, l'API supporta solo la ridenominazione, la revoca e la creazione.

La ridenominazione consente agli utenti di assegnare alle passkey nomi significativi per loro, il che potrebbe aiutare determinate coorti di utenti a tenerne traccia e a comprenderle più facilmente.

La revoca di una passkey non la elimina dal gestore delle credenziali personale dell'utente (come il Gestore delle password di Google), ma la rende inutilizzabile finché non viene configurata di nuovo. Ecco perché abbiamo scelto una croce, anziché un'icona del cestino o di eliminazione, per rappresentare l'azione di revoca di una passkey.

Quando si descrive l'azione di aggiunta di una passkey all'account, la frase "Crea passkey" ha avuto un'eco migliore tra gli utenti rispetto a "Aggiungi una passkey". Si tratta di una scelta di linguaggio sottile per distinguere le passkey dai token di sicurezza hardware tangibili (anche se è opportuno notare che le passkey possono essere memorizzate su alcuni token di sicurezza hardware).

Fornire contenuti aggiuntivi

La ricerca interna ha dimostrato che l'utilizzo delle passkey è un'esperienza relativamente semplice e familiare. Tuttavia, come per qualsiasi nuova tecnologia, per alcuni utenti rimangono domande e dubbi.

Il funzionamento della tecnologia alla base del blocco schermo, cosa la rende più sicura e gli scenari "what if" più comuni rilevati da Google durante i test sono trattati nei contenuti del Centro assistenza Google sulle passkey. Avere dei contenuti di assistenza pronti per il lancio delle passkey è fondamentale per una transizione facile per gli utenti su qualsiasi sito.

Passaggio alle passkey di riserva

Per ripristinare il vecchio sistema, è sufficiente fare clic su "Prova un altro metodo" quando a un utente viene chiesto di autenticarsi con una passkey. Inoltre, se esci dall'interfaccia utente di WebAuthn, gli utenti inizieranno un percorso per provare di nuovo la passkey o accedere al loro Account Google con i metodi tradizionali.

Conclusione

Siamo ancora agli inizi delle passkey, quindi, quando progetti l'esperienza utente, tieni presente alcuni principi:

  • Presenta le passkey quando sono pertinenti per l'utente.
  • Metti in evidenza i vantaggi delle passkey.
  • Sfrutta le opportunità per far conoscere il concetto di passkey.
  • Presenta le passkey come un'alternativa alle password e non come un sostituto.

Le scelte che abbiamo fatto per le passkey per gli Account Google si basano su best practice e ricerche interne e continueremo a far evolvere l'esperienza utente man mano che acquisiamo nuovi approfondimenti dagli utenti nel mondo reale.