Thiết kế trải nghiệm người dùng cho khoá truy cập trên Tài khoản Google

Mang đến khả năng bảo mật tốt hơn và trải nghiệm người dùng tốt hơn cho tài khoản Google.

Silvia Convento
Silvia Convento
Court Jacinic
Court Jacinic
Mitchell Galavan
Mitchell Galavan
X

Khoá truy cập là một công nghệ xác thực trên nhiều thiết bị đơn giản và an toàn, cho phép tạo tài khoản trực tuyến và đăng nhập vào các tài khoản đó mà không cần nhập mật khẩu. Để đăng nhập vào một tài khoản, người dùng chỉ cần thấy lời nhắc sử dụng phương thức khoá màn hình trên thiết bị, chẳng hạn như chạm vào cảm biến vân tay.

Google đã hợp tác với Liên minh FIDO trong nhiều năm, cùng với Apple và Microsoft để mang mã xác thực đến với thế giới. Năm 2022, chúng tôi đã triển khai tính năng hỗ trợ nền tảng cho khoá truy cập để người dùng AndroidChrome có thể đăng nhập liền mạch vào các ứng dụng và trang web trên tất cả thiết bị của họ. Vào tháng 5 năm 2023, chúng tôi đã bật tính năng đăng nhập vào Tài khoản Google bằng khoá truy cập, mang đến cho người dùng sự an toàn và tiện lợi của khoá truy cập.

Google có một vị thế đặc biệt vì chúng tôi vừa làm việc trên cơ sở hạ tầng cho khoá truy cập, vừa là một trong những dịch vụ lớn nhất sử dụng khoá truy cập. Chúng tôi sẽ triển khai khoá truy cập cho Tài khoản Google một cách cẩn thận và có chủ ý để có thể đo lường kết quả và sử dụng ý kiến phản hồi đó nhằm tiếp tục cải thiện cơ sở hạ tầng khoá truy cập và trải nghiệm Tài khoản Google.

Chuyển người dùng sang khoá truy cập

Mật khẩu là phương thức đăng nhập tiêu chuẩn kể từ khi các trải nghiệm trực tuyến được cá nhân hoá ra đời. Làm cách nào để giới thiệu trải nghiệm không cần mật khẩu của khoá truy cập?

Nghiên cứu cho thấy rằng khi nói đến việc xác thực, người dùng coi trọng tính tiện lợi nhất. Họ muốn quá trình chuyển đổi sang trải nghiệm thực tế diễn ra suôn sẻ và nhanh chóng, chỉ sau khi đăng nhập.

Tuy nhiên, việc chuyển đổi sang khoá truy cập đòi hỏi phải thay đổi trí nhớ cơ bắp và người dùng cần được thuyết phục rằng việc chuyển đổi là đáng giá.

Trải nghiệm người dùng về khoá truy cập cho Google.com được thiết kế một cách chiến lược để nhấn mạnh hai nguyên tắc ở mọi bước của quy trình xác thực: dễ sử dụng và bảo mật.

Dẫn đầu bằng sự tiện lợi

Đối với hầu hết người dùng, đây sẽ là lần đầu tiên họ nhìn thấy khoá truy cập
Đây sẽ là lần đầu tiên hầu hết người dùng nhìn thấy khoá truy cập.

Màn hình khoá truy cập đầu tiên mà người dùng nhìn thấy sẽ nhẹ nhàng và dễ hiểu. Tiêu đề tập trung vào lợi ích của người dùng, với nội dung "Đơn giản hoá quá trình đăng nhập".

Nội dung giải thích: "Giờ đây, với khoá truy cập, bạn có thể sử dụng vân tay, khuôn mặt hoặc phương thức khoá màn hình để xác minh danh tính của mình".

Hình minh hoạ này nhằm giúp thông điệp gắn liền với tuyên bố giá trị mà trang đưa ra. Hành động chính màu xanh dương lớn mời người dùng tiếp tục. "Không phải bây giờ" được đưa vào dưới dạng một hành động phụ để cho phép người dùng chọn có đồng ý hay không tại thời điểm này, để người dùng có quyền kiểm soát. Ngoài ra, chúng tôi còn cung cấp phần "Tìm hiểu thêm" cho những người dùng tò mò nhất muốn tìm hiểu rõ hơn về khoá truy cập trước khi tiếp tục.

Chúng tôi đã khám phá nhiều vòng lặp của những trang dùng để giới thiệu cho người dùng khoá truy cập trong quá trình đăng nhập. Điều này bao gồm việc thử nội dung nhấn mạnh tính bảo mật, công nghệ và các khía cạnh khác của khoá truy cập, nhưng sự tiện lợi thực sự là yếu tố được quan tâm nhiều nhất. Chiến lược nội dung, hình minh hoạ và thiết kế tương tác của Google minh hoạ nguyên tắc cốt lõi này trong việc triển khai khoá truy cập.

Liên kết thuật ngữ "khoá truy cập" với các trải nghiệm bảo mật quen thuộc

Khoá truy cập là một thuật ngữ mới đối với hầu hết người dùng, vì vậy, chúng tôi cố tình giới thiệu từ từ cho người dùng để họ làm quen. Dựa trên nghiên cứu nội bộ, chúng tôi đang liên kết khoá truy cập với tính bảo mật một cách có chiến lược.

Từ "khoá truy cập" được đưa vào quy trình đăng nhập ở vị trí nội dung ít nổi bật hơn. Phương thức này luôn nằm trong số các phương thức bảo mật quen thuộc cho phép sử dụng khoá truy cập: vân tay, quét khuôn mặt hoặc phương thức khoá màn hình khác của thiết bị.

Nghiên cứu của chúng tôi cho thấy nhiều người dùng liên kết thông tin sinh trắc học với tính bảo mật. Mặc dù khoá truy cập không yêu cầu dữ liệu sinh trắc học (ví dụ: bạn có thể sử dụng khoá truy cập với mã PIN của thiết bị), nhưng chúng tôi đang nghiên cứu việc liên kết khoá truy cập với dữ liệu sinh trắc học để tăng cường nhận thức của người dùng về các lợi ích bảo mật của khoá truy cập.

Nội dung bổ sung phía sau phần "Tìm hiểu thêm" cung cấp nhiều thông tin có giá trị cho người dùng, chẳng hạn như giúp người dùng yên tâm rằng dữ liệu sinh trắc học nhạy cảm của họ vẫn nằm trên thiết bị cá nhân của họ và không bao giờ được lưu trữ hoặc chia sẻ khi tạo hoặc sử dụng khoá truy cập. Chúng tôi đã áp dụng phương pháp này vì hầu hết người dùng đều thấy khía cạnh tiện lợi của khoá truy cập rất hấp dẫn, nhưng chỉ một số ít người dùng cân nhắc đến thành phần sinh trắc học trong quá trình thử nghiệm.

Giới thiệu khoá truy cập khi khoá đó phù hợp với người dùng

Phương pháp phỏng đoán của Google sẽ xác định cẩn thận những người sẽ thấy màn hình giới thiệu. Một số yếu tố ảnh hưởng đến việc người dùng đã bật tính năng xác minh 2 bước hay chưa và liệu họ có thường xuyên truy cập vào tài khoản đó trên cùng một thiết bị hay không.

Những người dùng có nhiều khả năng thành công nhất với khoá truy cập sẽ được chọn trước tiên và theo thời gian, nhiều người dùng khác sẽ được giới thiệu (mặc dù bất kỳ ai cũng có thể bắt đầu tại g.co/passkeys ngay hôm nay).

Một số người dùng sẽ được nhắc tạo khoá truy cập sau khi đăng nhập bằng tên người dùng và mật khẩu. Chúng tôi chọn điểm này trong hành trình của người dùng vì một vài lý do:

  • Người dùng vừa đăng nhập, họ sẽ biết về thông tin đăng nhập và bước thứ hai của mình.
  • Chúng tôi chắc chắn rằng người dùng đang sử dụng thiết bị của họ – họ vừa đăng nhập, vì vậy, họ khó có thể rời đi hoặc đặt thiết bị xuống.
  • Theo số liệu thống kê, không phải lần đăng nhập đầu tiên nào cũng thành công. Vì vậy, một thông báo giúp người dùng dễ dàng đăng nhập hơn vào lần tới sẽ có giá trị hữu hình.

Định vị khoá truy cập thay thế cho
mật khẩu và chưa phải là mật khẩu thay thế

Nghiên cứu ban đầu về người dùng cho thấy nhiều người dùng vẫn muốn mật khẩu làm phương thức đăng nhập dự phòng. Và không phải người dùng nào cũng có công nghệ cần thiết để sử dụng khoá truy cập.

Vì vậy, mặc dù toàn ngành (kể cả Google) đang hướng đến một "tương lai không dùng mật khẩu", nhưng Google lại chủ ý định vị khoá truy cập là một phương án thay thế đơn giản và an toàn cho mật khẩu. Giao diện người dùng của Google tập trung vào các lợi ích của khoá truy cập và tránh sử dụng ngôn từ ngụ ý việc loại bỏ mật khẩu.

Khoảnh khắc sáng tạo

Khi chọn đăng ký, người dùng sẽ thấy một cửa sổ giao diện người dùng dành riêng cho trình duyệt cho phép họ tạo khoá truy cập.

Khoá truy cập sẽ xuất hiện cùng với biểu tượng phù hợp với ngành và thông tin dùng để tạo khoá truy cập đó. Thông tin này bao gồm tên hiển thị (tên thân thiện cho khoá truy cập, chẳng hạn như tên thật của người dùng) và tên người dùng (tên duy nhất trên dịch vụ của bạn – địa chỉ email có thể hoạt động hiệu quả ở đây). Khi xử lý biểu tượng khoá truy cập, liên minh FIDO khuyên bạn nên sử dụng biểu tượng khoá truy cập đã được chứng minh, đồng thời khuyến khích bạn tạo khoá truy cập của riêng mình bằng các cách tuỳ chỉnh.

Biểu tượng khoá truy cập xuất hiện nhất quán trên toàn bộ hành trình của người dùng để làm quen với những gì người dùng sẽ thấy khi sử dụng hoặc quản lý khoá truy cập. Biểu tượng khoá truy cập không bao giờ xuất hiện mà không có ngữ cảnh hoặc tài liệu hỗ trợ.

Khi tạo khoá truy cập, người dùng sẽ thấy trang này
Khi tạo khoá truy cập, người dùng sẽ thấy trang này.

Ở trên, chúng tôi đã trình bày cách người dùng và nền tảng phối hợp với nhau để tạo khoá truy cập. Khi người dùng nhấp vào "Tiếp tục", họ sẽ thấy một giao diện người dùng riêng biệt tuỳ thuộc vào nền tảng.

Do đó, thông qua nghiên cứu nội bộ, chúng tôi nhận thấy rằng màn hình xác nhận sau khi tạo khoá truy cập có thể rất hữu ích về mặt hiểu biết và kết thúc ở bước này của quy trình.

Sau khi bạn tạo khoá truy cập, người dùng sẽ thấy trang này
Sau khi khoá truy cập được tạo, người dùng sẽ thấy trang này.

Màn hình xác nhận là màn hình "tạm dừng" có chủ đích để kết thúc hành trình giới thiệu người dùng đến khoá truy cập và tạo khoá truy cập của riêng họ. Vì đây có thể là lần đầu tiên người dùng tương tác với khoá truy cập, nên trang này nhằm cung cấp thông tin rõ ràng về hành trình. Chúng tôi đã chọn một trang độc lập sau khi thử một số công cụ khác như thông báo nhỏ hơn và thậm chí là email sau khi tạo bài đăng – chỉ để cung cấp trải nghiệm toàn diện, ổn định và có cấu trúc.

Sau khi nhấp vào "Tiếp tục" tại đây, người dùng sẽ được đưa đến đích đến của họ.

Khi người dùng đăng nhập lại, có thể họ sẽ thấy trang này
Khi người dùng đăng nhập lại, họ có thể sẽ thấy trang này.

Đang đăng nhập

Lần tới khi người dùng cố gắng đăng nhập, họ sẽ thấy trang này. Trang này sử dụng cùng một bố cục, hình minh hoạ và lời kêu gọi hành động chính để gợi lại trải nghiệm "tạo" đầu tiên nêu trên. Sau khi người dùng chọn đăng ký khoá truy cập, trang này sẽ trở nên quen thuộc và họ sẽ nhận ra những bước cần thực hiện để đăng nhập.

Người dùng sẽ sử dụng giao diện người dùng WebAuthn này để đăng nhập
Người dùng sẽ sử dụng giao diện người dùng WebAuthn này để đăng nhập.

Nguyên tắc quen thuộc cũng áp dụng ở đây. Mục đích của việc này là sử dụng cùng một biểu tượng, hình minh hoạ, bố cục và văn bản. Văn bản trong giao diện người dùng WebAuthn được giữ ngắn gọn, rộng rãi và có thể sử dụng lại – vì vậy, mọi người đều có thể sử dụng văn bản này cho cả quá trình xác thực và xác thực lại.

Quản lý khoá truy cập

Việc giới thiệu một trang hoàn toàn mới trong các trang cài đặt Tài khoản Google đòi hỏi phải cân nhắc kỹ lưỡng để đảm bảo trải nghiệm người dùng nhất quán, trực quan và gắn kết.

Để đạt được điều này, chúng tôi đã phân tích các mẫu liên quan đến điều hướng, nội dung, hệ phân cấp, cấu trúc và các kỳ vọng đã thiết lập trên Tài khoản Google.

Trang quản lý khoá truy cập trong Tài khoản Google
Trang quản lý khoá truy cập trong Tài khoản Google.

Mô tả khoá truy cập theo hệ sinh thái

Để tạo một hệ thống danh mục cấp cao có thể hiểu được rằng chúng tôi đã quyết định mô tả khoá truy cập bằng hệ sinh thái. Bằng cách này, người dùng có thể nhận ra vị trí tạo và sử dụng khoá truy cập. Mỗi nhà cung cấp danh tính (Google, Apple và Microsoft) đều có tên cho hệ sinh thái của mình, vì vậy, chúng tôi đã chọn sử dụng các tên đó (tương ứng là Trình quản lý mật khẩu của Google, chuỗi khoá iCloud và Windows Hello).

Để hỗ trợ việc này, chúng tôi đã thêm siêu dữ liệu bổ sung, chẳng hạn như thời điểm tạo, thời điểm sử dụng gần đây nhất và hệ điều hành cụ thể mà siêu dữ liệu đó được sử dụng. Về các thao tác quản lý người dùng, API chỉ hỗ trợ việc đổi tên, thu hồi và tạo.

Việc đổi tên cho phép người dùng chỉ định tên có ý nghĩa cá nhân cho khoá truy cập, nhờ đó, một số nhóm người dùng cụ thể có thể theo dõi và hiểu rõ các tên đó dễ dàng hơn.

Việc thu hồi khoá truy cập sẽ không xoá khoá truy cập đó khỏi trình quản lý thông tin xác thực cá nhân của người dùng (chẳng hạn như Trình quản lý mật khẩu của Google), nhưng sẽ khiến khoá truy cập đó không sử dụng được cho đến khi được thiết lập lại. Đó là lý do chúng tôi chọn biểu tượng dấu thập, thay vì biểu tượng thùng rác hoặc xoá, để biểu thị hành động thu hồi khoá truy cập.

Khi mô tả hành động thêm khoá truy cập vào tài khoản, cụm từ "Tạo khoá truy cập" phù hợp hơn với người dùng so với "Thêm khoá truy cập". Đây là một lựa chọn ngôn ngữ tinh tế để phân biệt khoá truy cập với khoá bảo mật phần cứng hữu hình (mặc dù cần lưu ý rằng khoá truy cập có thể được lưu trữ trên một số khoá bảo mật phần cứng).

Cung cấp nội dung bổ sung

Nghiên cứu nội bộ cho thấy rằng việc sử dụng khoá truy cập là một trải nghiệm tương đối liền mạch và quen thuộc. Tuy nhiên, cũng giống như mọi công nghệ mới, một số người dùng sẽ luôn có những câu hỏi và mối lo ngại.

Nội dung về khoá truy cập của Google trong Trung tâm trợ giúp sẽ đề cập đến cách thức hoạt động của công nghệ này đằng sau tính năng khoá màn hình, những yếu tố giúp công nghệ này an toàn hơn và các trường hợp "nếu như" phổ biến nhất mà Google gặp phải trong quá trình thử nghiệm. Việc chuẩn bị sẵn nội dung hỗ trợ khi ra mắt khoá truy cập là rất quan trọng để người dùng dễ dàng chuyển đổi trên mọi trang web.

Quay lại từ khoá truy cập

Để hoàn nguyên về hệ thống cũ, bạn chỉ cần nhấp vào "thử cách khác" khi người dùng được yêu cầu xác thực bằng khoá truy cập. Ngoài ra, việc thoát khỏi giao diện người dùng WebAuthn sẽ đưa người dùng vào một lộ trình để thử lại khoá truy cập hoặc đăng nhập vào Tài khoản Google theo cách truyền thống.

Kết luận

Chúng ta vẫn đang ở giai đoạn đầu của khoá truy cập. Vì vậy, khi thiết kế trải nghiệm người dùng, hãy lưu ý một số nguyên tắc:

  • Giới thiệu khoá truy cập khi khoá đó phù hợp với người dùng.
  • Nêu bật các lợi ích của khoá truy cập.
  • Tận dụng các cơ hội để làm quen với khái niệm khoá truy cập.
  • Xem khoá truy cập là một phương thức thay thế cho mật khẩu chứ không phải là phương thức thay thế mật khẩu.

Các lựa chọn chúng tôi đưa ra cho khoá truy cập cho Tài khoản Google là dựa trên các phương pháp hay nhất và nghiên cứu nội bộ. Chúng tôi sẽ tiếp tục cải tiến trải nghiệm người dùng khi thu thập thông tin chi tiết mới từ người dùng trong thực tế.