Mang lại khả năng bảo mật tốt hơn và trải nghiệm người dùng tốt hơn cho Tài khoản Google.
Khoá truy cập là một công nghệ xác thực trên nhiều thiết bị đơn giản và an toàn, cho phép tạo tài khoản trực tuyến và đăng nhập vào các tài khoản đó mà không cần nhập mật khẩu. Để đăng nhập vào tài khoản, người dùng chỉ cần thấy lời nhắc sử dụng phương thức khoá màn hình trên thiết bị của họ, chẳng hạn như chạm vào cảm biến vân tay.
Google đã hợp tác với Liên minh FIDO trong nhiều năm, cùng với Apple và Microsoft, để mang khoá truy cập ra thế giới. Năm 2022, chúng tôi đã ra mắt tính năng hỗ trợ nền tảng cho khoá truy cập để người dùng Android và Chrome có thể đăng nhập liền mạch vào các ứng dụng và trang web trên mọi thiết bị của họ. Tháng 5 năm 2023, chúng tôi đã cho phép đăng nhập vào Tài khoản Google bằng khoá truy cập, mang đến sự bảo mật và sự thuận tiện của khoá truy cập cho người dùng.
Google đang ở một vị thế đặc biệt, vì cả hai chúng tôi đều đang phát triển cơ sở hạ tầng cho khoá truy cập và là một trong những dịch vụ lớn nhất sử dụng khoá truy cập. Chúng tôi sẽ triển khai khoá truy cập cho Tài khoản Google một cách cẩn thận và có chủ ý để có thể đo lường kết quả và sử dụng ý kiến phản hồi đó nhằm tiếp tục cải thiện cơ sở hạ tầng khoá truy cập và trải nghiệm Tài khoản Google.
Chuyển người dùng sang khoá truy cập
Mật khẩu đã trở thành phương thức đăng nhập tiêu chuẩn kể từ khi trải nghiệm trực tuyến được cá nhân hoá ra đời. Chúng tôi làm thế nào để triển khai tính năng khoá truy cập không cần mật khẩu?
Nghiên cứu chỉ ra rằng khi nói đến xác thực, người dùng coi trọng sự tiện lợi nhất. Họ muốn chuyển đổi suôn sẻ và nhanh chóng sang trải nghiệm thực, chỉ xuất hiện sau khi họ đăng nhập.
Tuy nhiên, việc chuyển đổi sang khoá truy cập đòi hỏi phải thay đổi bộ nhớ cơ và người dùng cần tin rằng họ nên chuyển sang sử dụng khoá truy cập.
Trải nghiệm người dùng khi sử dụng khoá truy cập trên Google.com đã được thiết kế một cách có chiến lược để nhấn mạnh 2 nguyên tắc trong mỗi bước của quy trình xác thực: tính dễ sử dụng và tính bảo mật.
Dẫn đầu nhờ sự thuận tiện
Màn hình khoá truy cập đầu tiên mà người dùng nhìn thấy rất đơn giản và dễ hiểu. Tiêu đề tập trung vào lợi ích dành cho người dùng, với nội dung "Đơn giản hoá quá trình đăng nhập".
Nội dung phần thân giải thích rằng "Giờ đây, với khoá truy cập, bạn có thể sử dụng vân tay, khuôn mặt hoặc phương thức khoá màn hình để xác minh danh tính của mình".
Hình minh hoạ này nhằm mục đích truyền tải thông điệp trong tuyên bố giá trị mà trang đưa ra. Hành động chính màu xanh dương lớn sẽ mời người dùng tiếp tục. "Để sau" được đưa vào làm hành động phụ để cho phép người dùng chọn có chọn sử dụng tại thời điểm này hay không, để người dùng nắm quyền kiểm soát. Đồng thời, tính năng "Tìm hiểu thêm" được cung cấp cho những người dùng tò mò nhất muốn hiểu rõ hơn về khoá truy cập trước khi tiếp tục.
Chúng tôi đã khám phá nhiều vòng lặp của những trang dùng để giới thiệu cho người dùng khoá truy cập trong quá trình đăng nhập. Trong đó có việc thử dùng nội dung nhấn mạnh tính bảo mật, công nghệ và các khía cạnh khác của khoá truy cập, nhưng sự tiện lợi thực sự là điều được hưởng lợi nhiều nhất. Chiến lược nội dung, hình minh hoạ và thiết kế tương tác của Google cho thấy nguyên tắc cốt lõi này khi chúng tôi triển khai khoá truy cập.
Liên kết thuật ngữ "khoá truy cập" với các trải nghiệm bảo mật quen thuộc
Khoá truy cập là một thuật ngữ mới đối với hầu hết người dùng. Vì vậy, chúng tôi chủ động giới thiệu cho người dùng thuật ngữ này một cách nhẹ nhàng để họ cảm thấy quen thuộc. Dựa trên định hướng nghiên cứu nội bộ, chúng tôi có chiến lược liên kết khoá truy cập với tính bảo mật.
Từ "khoá truy cập" được đưa vào quy trình đăng nhập ở vị trí nội dung ít nổi bật hơn. API này luôn nằm trong số các trải nghiệm bảo mật quen thuộc cho phép sử dụng khoá truy cập, chẳng hạn như vân tay, quét khuôn mặt hoặc phương thức khoá màn hình khác của thiết bị.
Nghiên cứu của chúng tôi cho thấy nhiều người dùng liên kết hệ thống nhận dạng sinh trắc học với tính bảo mật. Mặc dù khoá truy cập không yêu cầu hệ thống nhận dạng sinh trắc học (ví dụ: khoá truy cập có thể dùng với mã PIN thiết bị), nhưng chúng tôi đang xem xét việc kết hợp khoá truy cập với hệ thống nhận dạng sinh trắc học để tăng cảm nhận của người dùng về các lợi ích bảo mật của khoá truy cập.
Nội dung bổ sung phía sau phần "Tìm hiểu thêm" cung cấp nhiều thông tin có giá trị cho người dùng, trong đó có việc giúp người dùng yên tâm rằng dữ liệu sinh trắc học nhạy cảm của họ vẫn nằm trên thiết bị cá nhân của họ và không bao giờ được lưu trữ hoặc chia sẻ khi tạo hoặc sử dụng khoá truy cập. Chúng tôi áp dụng phương pháp này vì hầu hết người dùng nhận thấy khía cạnh tiện lợi của khoá truy cập, nhưng chỉ một số ít người tính đến phần tử sinh trắc học trong quá trình kiểm thử.
Ra mắt khoá truy cập khi có liên quan đến người dùng
Các phương pháp phỏng đoán của Google xác định cẩn thận những người sẽ nhìn thấy màn hình giới thiệu. Một số yếu tố là liệu người dùng đã bật tính năng xác minh 2 bước hay chưa và liệu họ có thường xuyên truy cập vào tài khoản đó trên cùng một thiết bị hay không.
Những người dùng có nhiều khả năng thành công nhất với khoá truy cập sẽ được chọn trước, và sau này sẽ có thêm nhiều người dùng được giới thiệu (tuy nhiên, bất cứ ai cũng có thể bắt đầu tại g.co/passkeys ngay hôm nay).
Một số người dùng sẽ được nhắc tạo khoá truy cập sau khi đăng nhập bằng tên người dùng và mật khẩu. Chúng tôi đã chọn điểm này trong hành trình của người dùng vì một vài lý do:
- Người dùng vừa đăng nhập, họ sẽ biết về thông tin đăng nhập và bước thứ hai của mình.
- Chúng tôi tin rằng người dùng đang sử dụng thiết bị của họ, vì họ vừa đăng nhập, nên có thể họ đã bỏ đi hoặc đặt thiết bị xuống.
- Về mặt thống kê, không phải lúc nào người dùng cũng thành công ngay từ lần đầu tiên đăng nhập – vì vậy, một thông điệp về cách giúp người dùng dễ dàng hơn vào lần tiếp theo sẽ có giá trị rõ ràng.
Định vị khoá truy cập thay thế cho
mật khẩu và chưa phải là mật khẩu thay thế
Nghiên cứu ban đầu về người dùng cho thấy nhiều người dùng vẫn muốn dùng mật khẩu làm phương thức đăng nhập dự phòng. Và không phải người dùng nào cũng có công nghệ cần thiết để sử dụng khoá truy cập.
Vì vậy, mặc dù toàn ngành (kể cả Google) đang hướng đến một "tương lai không dùng mật khẩu", nhưng Google lại chủ ý định vị khoá truy cập là một phương án thay thế đơn giản và an toàn cho mật khẩu. Giao diện người dùng của Google tập trung vào các lợi ích của khoá truy cập và tránh ngôn ngữ ngụ ý việc loại bỏ mật khẩu.
Thời điểm sáng tạo
Khi chọn đăng ký, người dùng sẽ thấy một phương thức giao diện người dùng dành riêng cho trình duyệt, cho phép họ tạo khoá truy cập.
Khoá truy cập sẽ xuất hiện cùng với biểu tượng điều chỉnh theo ngành và thông tin dùng để tạo khoá truy cập đó. Trong đó bao gồm tên hiển thị (tên thân thiện cho khoá truy cập, chẳng hạn như tên thật của người dùng) và tên người dùng (tên duy nhất trên dịch vụ của bạn – địa chỉ email có thể hoạt động hiệu quả tại đây). Khi xử lý biểu tượng khoá truy cập, liên minh FIDO khuyên bạn nên sử dụng biểu tượng khoá truy cập đã được chứng minh, đồng thời khuyến khích bạn tạo khoá truy cập của riêng mình bằng các cách tuỳ chỉnh.
Biểu tượng khoá truy cập xuất hiện một cách nhất quán trên toàn bộ hành trình của người dùng để làm quen với những gì người dùng sẽ thấy khi sử dụng hoặc quản lý khoá truy cập. Biểu tượng khoá truy cập không bao giờ xuất hiện nếu không có ngữ cảnh hoặc tài liệu hỗ trợ.
Ở trên, chúng tôi đã trình bày cách người dùng và nền tảng hoạt động cùng nhau để tạo khoá truy cập. Khi người dùng nhấp vào "Tiếp tục", họ sẽ thấy một giao diện người dùng riêng biệt tuỳ thuộc vào nền tảng.
Do đó, thông qua nghiên cứu nội bộ, chúng tôi đã biết được rằng màn hình xác nhận sau khi khoá truy cập được tạo có thể rất hữu ích về mặt hiểu và đóng ở bước này của quy trình.
Màn hình xác nhận là màn hình "tạm dừng" có chủ đích để kết thúc hành trình giới thiệu người dùng đến khoá truy cập và tạo khoá truy cập của riêng họ. Vì (có thể) đây là lần đầu tiên người dùng tương tác với khoá truy cập, trang này sẽ nhằm mục đích cung cấp thông tin rõ ràng về kết quả của hành trình. Chúng tôi đã chọn một trang độc lập sau khi thử một số công cụ khác như thông báo với kích thước nhỏ hơn và thậm chí là một email sau khi tạo — đơn giản là để cung cấp trải nghiệm có cấu trúc và ổn định từ đầu đến cuối.
Khi người dùng nhấp vào "Tiếp tục" tại đây, họ sẽ được đưa tới trang đích.
Đang đăng nhập
Lần tới khi người dùng cố gắng đăng nhập, họ sẽ được chào đón bằng trang này. Cách này sử dụng cùng một bố cục, hình minh hoạ và lời kêu gọi hành động chính để gợi lên trải nghiệm "tạo" đầu tiên nêu trên. Sau khi người dùng chọn đăng ký sử dụng khoá truy cập, trang này sẽ tạo cảm giác quen thuộc và họ sẽ biết những bước cần thực hiện để đăng nhập.
Nguyên tắc tương tự về độ quen thuộc cũng áp dụng cho trường hợp này. Chủ ý, tính năng này sử dụng cùng một hình tượng học, hình minh hoạ, bố cục và văn bản. Văn bản trong giao diện người dùng WebAuthn được giữ cho ngắn gọn, có phạm vi rộng và có thể sử dụng lại – vì vậy, mọi người đều có thể sử dụng văn bản này cho cả trường hợp xác thực và xác thực lại.
Quản lý khoá truy cập
Khi giới thiệu một trang hoàn toàn mới trong trang cài đặt Tài khoản Google, bạn cần xem xét cẩn thận để đảm bảo mang đến trải nghiệm gần gũi, trực quan và nhất quán cho người dùng.
Để đạt được điều này, chúng tôi đã phân tích các mẫu liên quan đến điều hướng, nội dung, hệ phân cấp, cấu trúc và đặt ra kỳ vọng tồn tại trên Tài khoản Google.
Mô tả khoá truy cập theo hệ sinh thái
Để tạo một hệ thống danh mục cấp cao có thể hiểu được rằng chúng tôi đã quyết định mô tả khoá truy cập bằng hệ sinh thái. Bằng cách này, người dùng có thể nhận ra vị trí tạo và sử dụng khoá truy cập. Mỗi nhà cung cấp danh tính (Google, Apple và Microsoft) đều có tên tương ứng cho hệ sinh thái của chúng. Vì vậy, chúng tôi đã chọn sử dụng các tên đó (Trình quản lý mật khẩu của Google, chuỗi khoá iCloud và Windows Hello tương ứng).
Để hỗ trợ việc này, chúng tôi đã thêm siêu dữ liệu bổ sung, chẳng hạn như thời điểm tạo, thời điểm sử dụng gần đây nhất và hệ điều hành cụ thể nơi siêu dữ liệu được sử dụng. Về thao tác quản lý người dùng, API này chỉ hỗ trợ đổi tên, thu hồi và tạo.
Việc đổi tên cho phép người dùng chỉ định tên có ý nghĩa cá nhân cho khoá truy cập, nhờ đó, một số nhóm người dùng cụ thể có thể theo dõi và hiểu rõ các tên đó dễ dàng hơn.
Việc thu hồi khoá truy cập sẽ không xoá khoá truy cập đó khỏi trình quản lý thông tin xác thực cá nhân của người dùng (chẳng hạn như Trình quản lý mật khẩu của Google), nhưng sẽ khiến khoá truy cập không sử dụng được cho đến khi bạn thiết lập lại. Đó là lý do chúng tôi chọn một dấu thập thay vì biểu tượng thùng rác hoặc xoá để thể hiện thao tác thu hồi khoá truy cập.
Khi mô tả hành động thêm khoá truy cập vào tài khoản, cụm từ "Tạo khoá truy cập" phù hợp hơn với người dùng so với "Thêm khoá truy cập". Đây là một lựa chọn ngôn ngữ tinh tế để phân biệt khoá truy cập với khoá bảo mật phần cứng hữu hình (mặc dù cần lưu ý rằng khoá truy cập có thể được lưu trữ trên một số khoá bảo mật phần cứng).
Cung cấp nội dung bổ sung
Nghiên cứu nội bộ cho thấy việc sử dụng khoá truy cập là một trải nghiệm tương đối liền mạch và quen thuộc. Tuy nhiên, cũng giống như mọi công nghệ mới, một số người dùng sẽ luôn có những câu hỏi và mối lo ngại.
Cách công nghệ này hoạt động đằng sau phương thức khoá màn hình, những yếu tố giúp tăng cường bảo mật và các tình huống "điều gì sẽ xảy ra nếu" phổ biến nhất mà Google gặp phải trong quá trình thử nghiệm đều được đề cập trong nội dung về khoá truy cập của Google trên Trung tâm trợ giúp. Việc chuẩn bị sẵn nội dung hỗ trợ khi khởi chạy khoá truy cập là rất quan trọng để giúp người dùng chuyển đổi dễ dàng trên bất kỳ trang web nào.
Quay lại sử dụng khoá truy cập
Để hoàn nguyên về hệ thống cũ, bạn chỉ cần nhấp vào "thử cách khác" khi người dùng được yêu cầu xác thực bằng khoá truy cập. Ngoài ra, việc thoát khỏi giao diện người dùng WebAuthn sẽ bắt đầu người dùng để thử lại khoá truy cập hoặc đăng nhập vào Tài khoản Google của họ theo các cách truyền thống.
Kết luận
Chúng ta vẫn đang ở giai đoạn đầu của khoá truy cập. Vì vậy, khi thiết kế trải nghiệm người dùng, hãy lưu ý một số nguyên tắc:
- Ra mắt khoá truy cập khi khoá truy cập liên quan đến người dùng.
- Làm nổi bật các lợi ích của khoá truy cập.
- Sử dụng các cơ hội để làm quen với khái niệm khoá truy cập.
- Đặt khoá truy cập thay thế cho mật khẩu chứ không phải là mật khẩu thay thế.
Các lựa chọn của chúng tôi về khoá truy cập cho Tài khoản Google dựa trên các phương pháp hay nhất và nghiên cứu nội bộ, đồng thời chúng tôi sẽ tiếp tục phát triển trải nghiệm người dùng khi thu thập thông tin chi tiết mới từ người dùng trong thế giới thực.