Google hesaplarındaki geçiş anahtarlarının kullanıcı deneyimini tasarlama

Google Hesaplarına daha iyi güvenlik ve daha iyi bir kullanıcı deneyimi sunma.

Silvia Convento
Silvia Convento
Kort Jacinic
Mahkeme Jacinic
Mitchell Galavan'dan filmler
Mitchell Galavan
Twitter

Geçiş anahtarları, online hesaplar oluşturmayı ve bu hesaplarda şifre girmeden oturum açmayı sağlayan basit ve cihazlar arası güvenli bir kimlik doğrulama teknolojisidir. Bir hesaba giriş yapmak için kullanıcılara, cihazlarındaki ekran kilidini kullanmalarını (örneğin, parmak izi sensörüne dokunmak) isteyen bir istem gösterilir.

Google, geçiş anahtarlarını dünyaya sunmak için Apple ve Microsoft ile birlikte yıllardır FIDO Alliance ile çalışıyor. 2022'de geçiş anahtarları için platform desteğini kullanıma sunduk. Bu sayede Android ve Chrome kullanıcılarının, tüm cihazlarından uygulamalarda ve web sitelerinde sorunsuz şekilde oturum açabilmesini sağladık. Mayıs 2023'te şifre anahtarlarıyla Google Hesaplarında oturum açmayı etkinleştirerek geçiş anahtarlarının güvenliğini ve rahatlığını kullanıcılarımıza sunduk.

Google olarak benzersiz bir konumdayız. Hem geçiş anahtarları için altyapı üzerinde çalışıyoruz hem de geçiş anahtarlarının kullanıldığı en büyük hizmetlerden biriyiz. Google Hesapları için geçiş anahtarlarını dikkatli bir şekilde ve kasıtlı olarak kullanıma sunuyoruz. Böylece sonuçları ölçebilir ve bu geri bildirimi kullanarak şifre anahtarı altyapısını ve Google hesabı deneyimini iyileştirmeye devam edebiliriz.

Kullanıcıları şifre anahtarlarına geçirme

Şifreler, kişiselleştirilmiş online deneyimlerin ortaya çıkmasından bu yana standart oturum açma yöntemi olmuştur. Şifre anahtarlarının şifresiz deneyimini nasıl sunuyoruz?

Araştırmalar, kimlik doğrulama söz konusu olduğunda kullanıcıların en çok kolaylık sağlamaya önem verdiğini göstermektedir. Ancak oturum açtıktan sonra gerçek deneyime sorunsuz ve hızlı bir şekilde geçiş yapılmasını istiyorlar.

Yine de geçiş anahtarlarına geçiş için bellekte değişiklik yapmak gerekir ve kullanıcıların geçiş yapmaya değer olduğuna ikna olmaları gerekir.

Google.com için geçiş anahtarlarının kullanıcı deneyimi, kimlik doğrulama sürecinin her adımında iki ilkeyi vurgulamak için stratejik olarak tasarlanmıştır: kullanım kolaylığı ve güvenlik.

Kolay yoldan ilerleme

Çoğu kullanıcı, şifre anahtarlarını ilk kez görür
Çoğu kullanıcı, geçiş anahtarlarını ilk kez görür.

Kullanıcıların gördüğü ilk şifre anahtarı ekranı hafiftir ve kolayca kullanılır. Başlıkta "Oturum açma işlemini kolaylaştırın" ifadesiyle kullanıcı avantajına odaklanılıyor.

Gövde metninde, "Geçiş anahtarları ile artık işlemi gerçekleştiren kişinin gerçekten siz olduğunu doğrulamak için parmak izinizi, yüzünüzü veya ekran kilidinizi kullanabilirsiniz" açıklaması yer alır.

Çizim, mesajı, sayfa tarafından sunulan değer teklifine dayandırmak amacıyla oluşturulmuştur. Mavi renkli büyük birincil işlem, kullanıcıyı devam etmeye davet ediyor. "Şimdi değil" seçeneği, kullanıcıların şu anda etkinleştirmeyi veya devre dışı bırakmayı seçmelerine olanak tanıyarak kontrolün kullanıcıya bırakılmasını sağlayan ikincil bir işlem olarak eklenmiştir. Ayrıca, devam etmeden önce geçiş anahtarlarını daha iyi anlamak isteyen en meraklı kullanıcılar için "Daha fazla bilgi" seçeneği sunulur.

Oturum açma sırasında kullanıcılara geçiş anahtarlarını tanıtmak için kullanılan sayfaların birçok yinelemesini inceledik. Buna güvenlik, teknoloji ve geçiş anahtarlarının diğer yönlerini vurgulayan içerikler denendi. Ancak kolaylık, en çok ilgi çeken unsur oldu. Google'ın içerik stratejisi, çizimi ve etkileşim tasarımı, geçiş anahtarlarını uygulamaya ilişkin bu temel ilkeyi gösterir.

"Geçiş anahtarları" terimini bilinen güvenlik deneyimleriyle ilişkilendirme

Geçiş anahtarları çoğu kullanıcı için yeni bir terimdir. Bu nedenle, aşinalık sağlamak için kullanıcıları bu terimle kasıtlı olarak nazikçe gösteriyoruz. Şirket içi araştırmaların rehberliğinde, geçiş anahtarlarını güvenlikle stratejik olarak ilişkilendiriyoruz.

Oturum açma akışında, belirgin olmayan gövde kopyası konumunda "şifre anahtarı" kelimesi kullanılır. Şifre anahtarı kullanımını etkinleştiren bilinen güvenlik deneyimleriyle tutarlı bir şekilde entegre edilmiştir: parmak izi, yüz tarama ve diğer cihaz ekran kilidi özellikleri.

Araştırmamız, birçok kullanıcının biyometri ile güvenlik arasında ilişkilendirildiğini gösteriyor. Şifre anahtarları biyometri gerektirmese de (örneğin, geçiş anahtarı, cihaz PIN'iyle birlikte kullanılabilir). Ancak kullanıcıların şifre anahtarı güvenlik avantajlarına dair algısını güçlendirmek için geçiş anahtarlarını biyometri ile ilişkilendirme özelliğinden yararlanıyoruz.

"Daha fazla bilgi" başlığının arkasındaki ek içerikler, kullanıcılar için çok sayıda değerli bilgi içerir. Örneğin, kullanıcılara hassas biyometrik verilerinin kişisel cihazlarında kaldığına ve geçiş anahtarı oluştururken veya kullanırken hiçbir zaman depolanmayacağına ya da paylaşılmayacağına dair güvence verir. Çoğu kullanıcı geçiş anahtarlarının kullanım kolaylığını cazip bulsa da yalnızca birkaç kullanıcı test sırasında biyometrik unsuru dikkate aldığı için bu yaklaşımı benimsedik.

Kullanıcıyla ilgili olduğunda geçiş anahtarlarını kullanıma sunma

Google'ın buluşsal yöntemleri, giriş ekranını kimin göreceğini dikkatli bir şekilde belirler. Kullanıcının iki adımlı doğrulamayı etkinleştirip etkinleştirmediği ve bu hesaba aynı cihazdan düzenli olarak erişip erişmediği bu faktörlerden bazılarıdır.

İlk olarak geçiş anahtarlarıyla başarılı olma olasılığı en yüksek olan kullanıcılar seçilir. Zaman içinde daha fazla kullanıcı kullanıma sunulacaktır. (Bugün isteyen herkes g.co/passkeys adresine giderek başlayabilir).

Belirli kullanıcılardan, kullanıcı adı ve şifreyle oturum açtıktan sonra geçiş anahtarı oluşturmaları istenir. Kullanıcı yolculuğunda bu noktayı seçmemizin birkaç nedeni var:

  • Kullanıcı yeni oturum açtı, kimlik bilgilerini ve ikinci adımı biliyor.
  • Kullanıcının cihazında olduğundan eminiz. Yeni oturum açmıştır. Bu nedenle, büyük olasılıkla uzaklaşmış veya cihazını bir yere bırakmıştır.
  • İstatistiksel olarak, ilk oturum açma işleminde her zaman başarılı sonuç vermez. Bu nedenle, bir sonraki oturumda işinizi kolaylaştıracak bir mesajın somut bir değeri vardır.

Şifre anahtarlarını
şifrelere alternatif olarak konumlandırma ve henüz yenisi değildir

Yapılan ilk kullanıcı araştırması, birçok kullanıcının hâlâ yedek oturum açma yöntemi olarak şifre istediğini göstermektedir. Ayrıca tüm kullanıcılar şifre anahtarı kullanmak için gerekli teknolojiye sahip olmayabilir.

Bu nedenle, Google dahil sektör "şifresiz bir geleceğe" doğru ilerlerken Google, şifre anahtarlarını kasıtlı olarak şifreler için basit ve güvenli bir alternatif olarak konumlandırıyor. Google'ın kullanıcı arayüzü, şifre anahtarlarının faydalarına odaklanır ve şifrelerden kurtulmayı ima eden ifadelerden kaçınır.

Oluşturulma anı

Kullanıcılar kaydolmayı seçtiğinde, geçiş anahtarı oluşturabilmelerini sağlayan tarayıcıya özel bir kullanıcı arayüzü kalıcı penceresi görür.

Geçiş anahtarı, sektöre uyumlu simge ve bunu oluşturmak için kullanılan bilgilerle birlikte gösterilir. Buna görünen ad (kullanıcının gerçek adı gibi şifre anahtarınızın kolay adı) ve kullanıcı adı (hizmetinizdeki benzersiz bir addır. Burada e-posta adresi de kullanılabilir.) Geçiş anahtarları simgesiyle çalışmak söz konusu olduğunda FIDO ortaklığı, başarısı kanıtlanmış geçiş anahtarları simgesini kullanmanızı önerir ve özelleştirmelerle bu simgenin kendinize ait hale getirilmesini teşvik eder.

Geçiş anahtarı simgesi, kullanıcının geçiş anahtarını kullanırken veya yönetirken ne göreceğine dair fikir vermek için kullanıcı yolculuğu boyunca tutarlı bir şekilde gösterilir. Şifre anahtarı simgesi hiçbir zaman bağlam veya destekleyici malzeme olmadan sunulmaz.

Kullanıcılar geçiş anahtarını oluşturduğunda bu sayfayı görür
Kullanıcılar geçiş anahtarını oluşturduğunda bu sayfayı görür.

Yukarıda, bir şifre anahtarı oluşturmak için kullanıcının ve platformun birlikte nasıl çalıştığını özetledik. Kullanıcı "Devam"ı tıkladığında, platforma bağlı olarak benzersiz bir kullanıcı arayüzü sunulur.

Bunu göz önünde bulundurarak, şirket içi araştırmalardan geçiş anahtarı oluşturulduktan sonra onay ekranının, sürecin bu adımında anlama ve sonuçlandırma açısından çok yararlı olabileceğini öğrendik.

Geçiş anahtarı oluşturulduktan sonra kullanıcılar bu sayfayı görür
Geçiş anahtarı oluşturulduktan sonra kullanıcılar bu sayfayı görür.

Onay ekranı, kullanıcıya geçiş anahtarlarını tanıtma ve kendi geçiş anahtarlarını oluşturma sürecini sona erdirmek için bilinçli olarak "duraklatma" oluşturulur. Kullanıcılar (muhtemelen) geçiş anahtarlarıyla ilk kez etkileşimde bulunduğu için bu sayfanın amacı, yolculuğun net bir şekilde tamamlanmasını sağlamaktır. Daha küçük bildirimler ve hatta içerik oluşturma sonrası e-posta gibi diğer araçları denedikten sonra, sadece yapılandırılmış, sabit bir uçtan uca deneyim sağlamak için bağımsız bir sayfa seçtik.

Kullanıcı burada "Devam"ı tıkladığında hedefine yönlendirilir.

Kullanıcılar tekrar oturum açtıklarında bu sayfayı görme olasılıkları yüksektir
Kullanıcılar tekrar oturum açtığında bu sayfayı görme olasılıkları yüksektir.

Oturum açılıyor

Bir kullanıcı tekrar oturum açmayı denediğinde bu sayfayla karşılaşır. Bu oyunda da aynı düzen, çizim ve birincil harekete geçirici mesaj kullanılarak yukarıda açıklanan ilk "yaratıcılık" deneyimi çağrıştırılır. Kullanıcı, geçiş anahtarlarını kaydettirmeye karar verdiğinde bu sayfa tanıdık gelmeli ve oturum açmak için hangi adımları uygulaması gerektiğini anlamalıdır.

Kullanıcı, oturum açmak için bu WebAuthn kullanıcı arayüzünü kullanır
Kullanıcı, oturum açmak için bu WebAuthn kullanıcı arayüzünü kullanır.

Aşinalık ilkesi burada da geçerlidir. Bilinçli olarak, bu yöntemde de aynı ikon, çizim, düzen ve metin kullanılır. WebAuthn kullanıcı arayüzündeki metinler kısa, geniş kapsamlı ve yeniden kullanılabilir durumda tutulur. Böylece herkes bu metni hem kimlik doğrulama hem de yeniden kimlik doğrulama için kullanabilir.

Şifre anahtarı yönetimi

Google Hesabı ayarları sayfalarına tamamen yeni bir sayfa eklemek, uyumlu, sezgisel ve tutarlı bir kullanıcı deneyimi sağlamak için dikkatli bir yaklaşım gerektiriyordu.

Bunu başarmak için gezinme, içerik, hiyerarşi, yapı ve Google Hesabı'nda var olan beklentilerle ilgili kalıpları analiz ettik.

Google Hesabı'ndaki şifre anahtarı yönetim sayfası
Google Hesabı'ndaki şifre anahtarı yönetim sayfası

Şifre anahtarlarını ekosisteme göre açıklayın

Anlaşılması mantıklı olacak üst düzey bir kategori sistemi oluşturmak için geçiş anahtarlarını ekosisteme göre açıklamaya karar verdik. Böylece kullanıcılar şifre anahtarının nerede oluşturulduğunu ve nerede kullanıldığını anlayabilir. Her kimlik sağlayıcının (Google, Apple ve Microsoft) ekosistemleri için bir adı vardır. Bu nedenle bu adları (sırasıyla Google Şifre Yöneticisi, iCloud anahtar zinciri ve Windows Hello) kullanmayı seçtik.

Bunu desteklemek için ürünün ne zaman oluşturulduğu, en son ne zaman kullanıldığı ve kullanıldığı işletim sistemi gibi ek meta veriler ekledik. Kullanıcı yönetimi işlemleri söz konusu olduğunda API yalnızca yeniden adlandırma, iptal etme ve oluşturmayı destekler.

Yeniden adlandırma, kullanıcıların şifre anahtarlarına kişisel olarak anlamlı adlar atamasına olanak tanır. Bu da belirli kullanıcı gruplarının bunları daha kolay takip etmesine ve anlamasına yardımcı olabilir.

Şifre anahtarının iptal edilmesi, kullanıcının kişisel kimlik bilgisi yöneticisinden (Google Şifre Yöneticisi gibi) silinmesine neden olmaz ancak yeniden ayarlanana kadar kullanılamaz hale gelir. Bu nedenle, geçiş anahtarını iptal etme işlemini temsil etmek için çöp kutusu veya sil simgesi yerine çarpı işaretini seçtik.

Hesaplarına geçiş anahtarı ekleme işlemini açıklarken "Geçiş anahtarı oluştur" ifadesi, "Geçiş anahtarı ekle" ifadesine kıyasla kullanıcılar arasında daha fazla yankı uyandırır. Bu, geçiş anahtarlarını somut donanım güvenlik anahtarlarından ayırt etmek için incelikli bir dil seçimidir (ancak şifre anahtarlarının bazı donanım güvenlik anahtarlarında depolanabileceğini unutmayın).

Ek içerik sağlama

Şirket içinde yapılan araştırma, geçiş anahtarlarını kullanmanın nispeten sorunsuz ve tanıdık bir deneyim olduğunu göstermiştir. Ancak her yeni teknolojide olduğu gibi, bazı kullanıcılar için uzun süren sorular ve endişeler olacaktır.

Teknolojinin ekran kilidinin arkasında nasıl çalıştığı, cihazı daha güvenli kılan şey ve Google'ın testlerde karşılaştığı en yaygın "acaba" senaryoları Google'ın şifre anahtarı Yardım Merkezi içeriğinde ele alınmıştır. Geçiş anahtarlarının kullanıma sunulmasıyla birlikte destek içeriğinin hazır olması, herhangi bir sitedeki kullanıcıların geçişini kolaylaştırmak için kritik öneme sahiptir.

Şifre anahtarlarından geri çekiliyor

Eski sisteme geri dönmek için kullanıcıdan şifre anahtarıyla kimlik doğrulaması yapması istendiğinde "başka bir yöntem dene"yi tıklamak yeterlidir. Ayrıca WebAuthn kullanıcı arayüzünden çıkıldığında, kullanıcılar geçiş anahtarlarını tekrar denemeye veya Google Hesaplarında geleneksel yollarla oturum açmaya yönlendirir.

Sonuç

Şifre anahtarlarının henüz ilk günlerindeyiz, bu nedenle kullanıcı deneyimini tasarlarken birkaç ilkeyi aklınızda bulundurun:

  • Şifre anahtarlarını, kullanıcıyla alakalı olduğunda kullanın.
  • Geçiş anahtarlarının avantajlarını vurgulayın.
  • Geçiş anahtarı kavramını tanıtmak için fırsatları kullanma.
  • Geçiş anahtarlarını şifre yerine alternatif olarak değil, alternatif olarak konumlandırın.

Google Hesapları için geçiş anahtarlarıyla ilgili olarak yaptığımız seçimler, en iyi uygulamalar ve şirket içi araştırmalardan elde edilmiştir. Gerçek dünyadaki kullanıcılardan yeni bilgiler edindikçe, kullanıcı deneyimini geliştirmeye devam edeceğiz.