Concevoir l'expérience utilisateur des clés d'accès sur les comptes Google

Amélioration de la sécurité et de l'expérience utilisateur pour les comptes Google

Silvia Convento
Silvia Convento
Court Jacinic
Court Jacinic
Mitchell Galavan
Mtchell Galavan
X

Les clés d'accès sont une technologie d'authentification inter-appareil sécurisée simple et sécurisée qui permet de créer des comptes en ligne et de s'y connecter sans saisir de mot de passe. Pour se connecter à un compte, les utilisateurs sont simplement invités à utiliser le verrouillage de l'écran sur leur appareil, par exemple en touchant le lecteur d'empreinte digitale.

Google collabore depuis des années avec l'Alliance FIDO, aux côtés d'Apple et de Microsoft, pour proposer des clés d'accès dans le monde entier. En 2022, nous avons déployé la compatibilité avec les plates-formes pour les clés d'accès afin que les utilisateurs d'Android et de Chrome puissent se connecter facilement aux applications et aux sites Web sur tous leurs appareils. En mai 2023, nous avons activé la connexion aux comptes Google avec clés d'accès, offrant ainsi à nos utilisateurs la sécurité et la commodité des clés d'accès.

Google se situe dans une position unique, car nous travaillons tous deux sur l'infrastructure des clés d'accès et nous faisons partie des principaux services qui les utilisent. Nous déployons soigneusement et délibérément les clés d'accès pour les comptes Google afin de pouvoir mesurer les résultats et utiliser vos commentaires pour continuer à améliorer l'infrastructure des clés d'accès et l'expérience utilisateur des comptes Google.

Migrer les utilisateurs vers des clés d'accès

Les mots de passe sont la méthode de connexion standard depuis l'avènement des expériences en ligne personnalisées. Comment introduisons-nous l’expérience sans mot de passe des clés d’accès ?

Des études indiquent qu'en ce qui concerne l'authentification, ce sont les utilisateurs qui accordent le plus d'importance à la simplicité. Ils veulent une transition rapide et fluide vers l'expérience réelle, qui n'intervient qu'après la connexion.

Pourtant, la transition vers les clés d'accès nécessite de modifier la mémoire musculaire, et les utilisateurs doivent être convaincus que cette transition vaut la peine.

L'expérience utilisateur des clés d'accès sur Google.com a été conçue de manière stratégique pour mettre l'accent sur deux principes à chaque étape du processus d'authentification: la facilité d'utilisation et la sécurité.

Diriger en toute simplicité

Pour la plupart des utilisateurs, ce sera la première fois qu'ils verront des clés d'accès
Pour la plupart des utilisateurs, ce sera la première fois qu'ils verront des clés d'accès.

Le premier écran de clé d'accès que les utilisateurs voient est léger et facile à digérer. L'en-tête met l'accent sur l'avantage pour l'utilisateur, en disant "Simplifiez votre connexion".

Le corps du message explique : "Avec les clés d'accès, vous pouvez désormais confirmer votre identité à l'aide de votre empreinte digitale, de votre visage ou du verrouillage de l'écran."

L'illustration vise à ancrer le message dans la proposition de valeur de la page. La grande action principale bleue invite l'utilisateur à continuer. "Pas maintenant" est inclus en tant qu'action secondaire pour permettre aux utilisateurs de choisir d'activer ou non cette fonctionnalité pour le moment, leur laissant le contrôle. La section "En savoir plus" est proposée aux utilisateurs les plus curieux qui souhaitent mieux comprendre les clés d'accès avant de continuer.

Nous avons exploré de nombreuses itérations des pages utilisées pour présenter les clés d'accès aux utilisateurs lors de la connexion. Il s'agissait, entre autres, de tester des contenus mettant l'accent sur la sécurité, la technologie et d'autres aspects des clés d'accès, mais la facilité d'utilisation constituait en réalité ce qui plaisait le plus. La stratégie de contenu, les illustrations et les interactions de Google illustrent ce principe fondamental dans l'implémentation des clés d'accès.

Associer le terme "clés d'accès" à des expériences de sécurité familières

Les clés d'accès sont un nouveau terme pour la plupart des utilisateurs. Nous les présentons donc intentionnellement aux utilisateurs pour qu'ils se familiarisent avec ce terme. Guidés par des recherches internes, nous associons stratégiquement les clés d'accès à la sécurité.

Le mot "clé d'accès" est inclus tout au long du flux de connexion, à l'emplacement le moins visible du corps du message. Il s'intègre systématiquement aux fonctionnalités de sécurité familières qui permettent l'utilisation des clés d'accès: empreinte digitale, scan du visage ou verrouillage d'écran d'un autre appareil.

Nos recherches ont montré que de nombreux utilisateurs associent la biométrie à la sécurité. Bien que les clés d'accès ne nécessitent pas l'authentification biométrique (par exemple, une clé d'accès peut être utilisée avec un code d'appareil), nous nous appuyons sur l'association des clés d'accès à la biométrie pour améliorer la perception des utilisateurs sur leurs avantages en termes de sécurité.

Le contenu supplémentaire de la section "En savoir plus" offre de nombreuses informations précieuses pour les utilisateurs, y compris des informations sur le fait que leurs données biométriques sensibles restent sur leur appareil personnel et ne sont jamais stockées ni partagées lors de la création ou de l'utilisation de clés d'accès. Nous avons adopté cette approche, car la plupart des utilisateurs ont trouvé l'aspect pratique des clés d'accès intéressant, mais seuls quelques-uns ont pris en compte l'élément biométrique lors des tests.

Présenter les clés d'accès lorsque cela est pertinent pour l'utilisateur

L'heuristique de Google détermine avec soin qui verra l'écran d'introduction. Voici quelques-uns de ces facteurs : si la validation en deux étapes est activée pour l'utilisateur et s'il accède régulièrement à ce compte depuis le même appareil.

Les utilisateurs les plus susceptibles d'utiliser des clés d'accès sont sélectionnés en premier. Au fil du temps, d'autres utilisateurs seront ajoutés (toutefois, tout le monde peut se lancer dès aujourd'hui sur g.co/passkeys).

Certains utilisateurs sont invités à créer une clé d'accès après s'être connectés avec un nom d'utilisateur et un mot de passe. Il y a plusieurs raisons pour lesquelles nous avons choisi ce point du parcours utilisateur:

  • L'utilisateur vient de se connecter, il a connaissance de ses identifiants et de la deuxième étape.
  • Nous sommes convaincus que l'utilisateur est sur son appareil : il vient de se connecter. Il est donc peu probable qu'il soit parti ou ait posé son appareil.
  • Statistiquement, la première connexion n'aboutit pas toujours. Par conséquent, un message expliquant comment simplifier la prochaine fois aura donc une valeur tangible.

Positionnement des clés d'accès comme une alternative aux mots de passe
et non comme des clés de remplacement

Une étude initiale montre que de nombreux utilisateurs souhaitent toujours utiliser les mots de passe comme méthode de connexion de secours. De plus, tous les utilisateurs ne disposeront pas de la technologie nécessaire pour adopter les clés d'accès.

Ainsi, alors que le secteur, y compris Google, s'oriente vers un "avenir sans mots de passe", Google positionne intentionnellement les clés d'accès comme une alternative simple et sécurisée aux mots de passe. L'interface utilisateur de Google se concentre sur les avantages des clés d'accès et évite les formulations qui impliquent la suppression des mots de passe.

Le moment de la création

Lorsque les utilisateurs choisissent de s'inscrire, ils voient une fenêtre modale d'interface utilisateur spécifique au navigateur qui leur permet de créer une clé d'accès.

La clé d'accès elle-même est représentée par une icône adaptée au secteur et des informations utilisées pour la créer. Cela inclut le nom à afficher (un nom convivial pour votre clé d'accès, comme le vrai nom de l'utilisateur) et le nom d'utilisateur (un nom unique sur votre service, une adresse e-mail peut parfaitement convenir ici). Pour utiliser l'icône des clés d'accès, l'alliance FIDO recommande d'utiliser l'icône éprouvée des clés d'accès et vous encourage à la personnaliser en ajoutant des personnalisations.

L'icône des clés d'accès s'affiche de manière cohérente tout au long du parcours utilisateur afin que l'utilisateur se familiarise avec ce qu'il verra lorsqu'il utilise ou gère la clé d'accès. L'icône de clé d'accès n'est jamais présentée sans contexte ni documents de référence.

Les utilisateurs verront cette page lorsqu'ils créeront leur clé d'accès
Cette page s'affiche lorsque les utilisateurs créent leur clé d'accès.

Nous avons décrit ci-dessus comment l'utilisateur et la plate-forme fonctionnent ensemble pour créer une clé d'accès. Lorsque l'utilisateur clique sur "Continuer", une UI unique s'affiche en fonction de la plate-forme.

Dans cet esprit, nous avons appris grâce à des recherches internes qu'un écran de confirmation une fois la clé d'accès créée peut être très utile en termes de compréhension et de clôture à cette étape du processus.

Une fois la clé d'accès créée, les utilisateurs verront cette page
Une fois la clé d'accès créée, les utilisateurs verront cette page.

L'écran de confirmation est une "pause" délibérée permettant de réserver le processus visant à présenter les clés d'accès à un utilisateur et à en créer une. Comme c'est (probablement) la première fois qu'un utilisateur interagit avec des clés d'accès, cette page vise à boucler clairement le parcours. Nous avons choisi une page autonome après avoir essayé d'autres outils tels que des notifications plus petites et même un e-mail de post-création, simplement pour fournir une expérience de bout en bout structurée et stable.

Lorsque l'utilisateur clique sur"Continuer", il est redirigé vers la page de destination.

Lorsque les utilisateurs se reconnecteront, ils verront probablement cette page
Lorsque les utilisateurs se reconnecteront, ils verront probablement cette page.

Connexion

La prochaine fois qu'un utilisateur tentera de se connecter, cette page s'ouvrira à lui. Elle utilise la même mise en page, la même illustration et la même incitation à l'action principale pour évoquer la première expérience de "création" décrite ci-dessus. Une fois que l'utilisateur a choisi d'activer des clés d'accès, cette page doit lui sembler familière et lui indiquer la procédure à suivre pour se connecter.

L'utilisateur utilisera cette interface utilisateur WebAuthn pour se connecter
L'utilisateur se connectera via l'interface utilisateur WebAuthn.

Le même principe de familiarité s'applique ici. Intentionnellement, cela utilise la même iconographie, la même illustration, la même mise en page et le même texte. Le texte de l'interface utilisateur de WebAuthn est bref, vaste et réutilisable, de sorte que tout le monde peut l'utiliser à la fois pour l'authentification et la réauthentification.

Gestion des clés d'accès

L'introduction d'une toute nouvelle page dans les paramètres des comptes Google nécessitait une attention toute particulière pour garantir une expérience utilisateur cohérente, intuitive et cohérente.

Pour ce faire, nous avons analysé les modèles de navigation, de contenu, de hiérarchie et de structure, et nous avons défini les attentes qui existaient dans le compte Google.

Page de gestion des clés d'accès dans le compte Google
Page de gestion des clés d'accès dans le compte Google

Décrire les clés d'accès par écosystème

Pour créer un système de catégories de haut niveau qu'il serait logique de comprendre, nous avons décidé de décrire les clés d'accès par écosystème. De cette façon, un utilisateur peut reconnaître où une clé d'accès a été créée et où elle est utilisée. Chaque fournisseur d'identité (Google, Apple et Microsoft) possède un nom pour son écosystème. Nous avons donc choisi de les utiliser (le Gestionnaire de mots de passe de Google, le trousseau iCloud et Windows Hello, respectivement).

Pour ce faire, nous avons ajouté des métadonnées supplémentaires, telles que la date de création, la date de sa dernière utilisation et le système d'exploitation spécifique sur lequel elle était utilisée. En termes d'actions de gestion des utilisateurs, l'API ne permet que de renommer, de révoquer et de créer.

Le changement de nom permet aux utilisateurs d'attribuer des noms personnels pertinents à des clés d'accès, ce qui peut aider des cohortes spécifiques d'utilisateurs à les suivre et à les comprendre plus facilement.

La révocation d'une clé d'accès ne la supprime pas du gestionnaire d'identifiants personnels de l'utilisateur (comme le Gestionnaire de mots de passe de Google), mais la rend inutilisable tant qu'elle n'est pas reconfigurée. C'est pourquoi nous avons choisi une croix, au lieu d'une icône de corbeille ou de suppression, pour représenter l'action de révocation d'une clé d'accès.

Lorsqu'on décrit l'action consistant à ajouter une clé d'accès à leur compte, l'expression "Créer une clé d'accès" a mieux écho auprès des utilisateurs que "Ajouter une clé d'accès". Il s'agit d'un choix de langage subtil pour distinguer les clés d'accès des clés de sécurité matérielles tangibles (bien qu'il soit à noter que les clés d'accès peuvent être stockées sur certaines clés de sécurité matérielles).

Fournir du contenu supplémentaire

Des recherches internes ont montré que l'utilisation des clés d'accès est une expérience relativement fluide et familière. Toutefois, comme pour toute nouvelle technologie, des questions et des inquiétudes en suspens peuvent être posées par certains utilisateurs.

Le contenu du centre d'aide sur les clés d'accès de Google aborde le fonctionnement de la technologie derrière le verrouillage de l'écran, ce qui le rend plus sécurisé et les scénarios de test les plus courants rencontrés par Google. Il est essentiel que le contenu d'assistance soit prêt pour le lancement des clés d'accès afin de faciliter la transition des utilisateurs sur n'importe quel site.

Abandon des clés d'accès

Pour revenir à l'ancien système, il suffit de cliquer sur "Essayer une autre méthode" lorsqu'un utilisateur est invité à s'authentifier avec une clé d'accès. En outre, lorsque vous quittez l'UI WebAuthn, les utilisateurs sont redirigés vers un chemin permettant de réessayer avec leur clé d'accès ou de se connecter à leur compte Google de manière traditionnelle.

Conclusion

L'utilisation des clés d'accès n'en est qu'à ses débuts. Par conséquent, lorsque vous concevez l'expérience utilisateur, gardez à l'esprit les principes suivants:

  • Introduisez les clés d'accès lorsque cela est pertinent pour l'utilisateur.
  • Mettez en avant les avantages des clés d'accès.
  • Exploitez les opportunités pour vous familiariser avec le concept des clés d'accès.
  • Positionnez les clés d'accès comme une alternative aux mots de passe, et non comme des clés de remplacement.

Les choix que nous avons faits concernant les clés d'accès pour les comptes Google se basent sur des bonnes pratiques et des études internes. Nous continuerons à faire évoluer l'expérience utilisateur à mesure que nous obtiendrons de nouveaux insights de la part des utilisateurs du monde réel.