Google アカウントのパスキーのユーザー エクスペリエンスを設計する

Google アカウントのセキュリティとユーザー エクスペリエンスを向上させます。

シルビア・コンベント
Silvia Convento
コート ジャシニック
Court Jacinic
ミッチェル・ギャラバン
Mitchell Galavan
X

パスキーは、オンライン アカウントを作成して、パスワードを入力せずにログインできる、シンプルで安全なクロスデバイス認証技術です。アカウントにログインする際は、指紋認証センサーに触れるなど、デバイスの画面ロックを使用するよう求めるメッセージがユーザーに表示されます。

Google は、何年もの間、Apple や Microsoft とともに FIDO Alliance と協力して、パスキーを世界に届けています。Google は 2022 年にパスキーのプラットフォーム サポートをロールアウトしました。これにより、AndroidChrome のユーザーがすべてのデバイスのアプリやウェブサイトにシームレスにログインできるようになります。2023 年 5 月、Google はパスキーを使用した Google アカウントへのログインを有効にし、パスキーのセキュリティと利便性をユーザーの皆様にお届けしました。

Google は、パスキーのインフラストラクチャの開発に取り組んでおり、パスキーを使用する最大規模のサービスの一つであるため、独自の立場にあります。Google は、Google アカウントのパスキーを慎重かつ意図的に展開しています。結果を測定し、そのフィードバックを使用して、パスキー インフラストラクチャと Google アカウントのエクスペリエンスを継続的に改善しています。

ユーザーのパスキーへの移行

パスワードは、パーソナライズされたオンライン エクスペリエンスが登場して以来、標準的なログイン方法となっています。パスキーのパスワードレス エクスペリエンスを導入するにはどうすればよいですか?

調査によると、認証に関してユーザーが最も重視するのは利便性です。ログイン後にしか得られない、実際のエクスペリエンスへのスムーズで迅速な移行が求められています。

それでも、パスキーへの移行には記憶力の変更が必要であり、ユーザーは切り替える価値があると確信する必要があります。

Google.com のパスキーのユーザー エクスペリエンスは、認証プロセスの各ステップで使いやすさとセキュリティの 2 つの原則を重視して、戦略的に設計されています。

利便性を最優先する

ほとんどのユーザーにとって、パスキーが表示されるのは今回が初めてです
ほとんどのユーザーにとって、パスキーが表示されるのは今回が初めてです。

最初に表示されるパスキーの画面は、軽量でわかりやすくなっています。ヘッダーはユーザーにとってのメリットに重点を置いて、「ログインを簡素化」と記載しています。

本文には「パスキーを使用すると、指紋認証、顔認証、画面ロックを使用して本人確認ができるようになりました」と記載されています。

このイラストは、ページによって示される価値提案にメッセージを根拠として示すことを目的としています。大きい青色のメイン アクションがユーザーに続行を促す。「後で」はサブアクションとして含まれており、ユーザーはこの時点でオプトインするかどうかを選択でき、ユーザーは自分で選択できます。先に進む前に、パスキーについての理解を深めたい、特に好奇心が強いユーザー向けに [詳細] が用意されています。

ログイン時にユーザーにパスキーを紹介するために使用されるページを何度も繰り返しました。パスキーのセキュリティやテクノロジーなどに重点を置いたコンテンツを試してみましたが、最も共感を呼んだのは利便性でした。Google のコンテンツ戦略、イラスト、インタラクション デザインは、パスキーの実装に関するこの基本原則を示しています。

「パスキー」という用語を使い慣れたセキュリティ エクスペリエンスと関連付ける

パスキーは、ほとんどのユーザーにとって新しい用語であるため、親しみやすくするために、パスキーという用語を意図的に紹介しています。Google では、内部調査に基づいて、パスキーとセキュリティを戦略的に関連付けています。

「パスキー」という単語は、ログインフロー全体で目立たない位置の本文に含まれています。指紋認証、顔認証、その他のデバイスの画面ロックなど、パスキーを使用できるおなじみのセキュリティ エクスペリエンスに常に組み込まれています。

Google の調査によると、多くのユーザーが生体認証システムをセキュリティと関連付けています。パスキーは生体認証を必要としませんが(たとえば、パスキーはデバイスの PIN で使用できます)、パスキーと生体認証を関連付けることで、パスキーのセキュリティ上のメリットに対するユーザーの認識を高めることに注力しています。

「詳細」の背後にある追加コンテンツには、ユーザーにとって機密性の高い生体認証データが個人のデバイスにとどまり、パスキーの作成時または使用時に保存または共有されないという安心感など、ユーザーにとって有益な情報が数多く含まれています。このアプローチを採用したのは、ほとんどのユーザーがパスキーの利便性面に魅力を感じていたものの、テスト時に生体認証要素を考慮に入れたのはわずかだったためです。

ユーザーに関連する場合にパスキーを表示する

Google のヒューリスティックにより、導入画面を誰が見るかが慎重に決定されます。たとえば、ユーザーが 2 段階認証プロセスを有効にしているかどうかや、ユーザーが同じデバイスからそのアカウントに定期的にアクセスしているかどうかなどです。

パスキーの使用に成功する可能性の高いユーザーが最初に選択され、時間の経過とともにより多くのユーザーが導入されます(ただし、今すぐ g.co/passkeys から開始できます)。

一部のユーザーは、ユーザー名とパスワードを使用してログインした後、パスキーの作成を求められます。ユーザー ジャーニーでこの段階を選んだ理由はいくつかあります。

  • ユーザーがログインしたばかりで、認証情報と 2 つ目の手順を認識している。
  • ユーザーはデバイスを使用していることが確信できます。ログインしたばかりなので、ユーザーが立ち去ったり、デバイスを落としたりすることはありません。
  • 統計的には、初回のログインが必ずしも成功するとは限りません。そのため、次回ログインを容易にするメッセージは具体的な価値があります。

パスキーをパスワードに代わるものとして位置づけ、
パスワードに代わるものとして位置付ける

最初のユーザー調査によると、多くのユーザーがバックアップ ログイン方法としてパスワードを求めていることが、依然として確認されています。また、すべてのユーザーがパスキーの導入に必要なテクノロジーを備えているわけではありません。

そのため、Google を含めた業界は「パスワードレスの未来」に向かって進んでいますが、Google はパスワードに代わるシンプルで安全な代替として、パスキーを意図的に位置付けています。Google の UI は、パスキーの利点に重点を置いて、パスワードをなくすと示唆する表現を避けています。

作成の瞬間

ユーザーが登録を選択すると、ブラウザ固有の UI モーダルが表示され、パスキーを作成できます。

パスキー自体には、業界に合わせたアイコンと、パスキーの作成に使用された情報が表示されます。これには、表示名(ユーザーの本名など、パスキーのわかりやすい名前)とユーザー名(サービスの一意の名前。メールアドレスが最適です)が含まれます。パスキー アイコンの使用に関しては、FIDO アライアンスは実績のあるパスキー アイコンの使用を推奨しており、カスタマイズして独自に作成することが推奨されています。

パスキーの使用時または管理時にユーザーに表示される内容を把握できるよう、ユーザー ジャーニー全体でパスキーのアイコンを一貫して表示しています。コンテキストや補足資料なしでパスキー アイコンが表示されることはありません。

ユーザーがパスキーを作成すると、このページが表示されます
ユーザーがパスキーを作成すると、このページが表示されます。

ここまで、ユーザーとプラットフォームが連携してパスキーを作成する仕組みについて説明しました。ユーザーが [続行] をクリックすると、プラットフォームによって異なる UI が表示されます。

それを念頭に置いて、内部調査により、パスキーの作成後の確認画面は、プロセスのこの段階での理解と終了の点で非常に役立つことがわかりました。

パスキーが作成されると、このページがユーザーに表示されます
パスキーが作成されると、このページがユーザーに表示されます。

確認画面は、ユーザーにパスキーを紹介し、独自のパスキーを作成するプロセスを予約するための、意図的に「一時停止」です。このページでは、ユーザーがパスキーを初めて使用する可能性が高いため、プロセスを明確に締めくくることを目的としています。構造化された安定したエンドツーエンドのエクスペリエンスを提供するため、小規模な通知や作成後のメールなどの他のツールを試した結果、スタンドアロン ページを選択しました。

ユーザーがここで [続行] をクリックすると、リンク先に移動します。

ユーザーが再度ログインすると、このページが表示される場合があります
ユーザーが再度ログインすると、このページが表示されることがあります。

ログイン

次回ユーザーがログインしようとすると、このページが表示されます。この例でも、前述した最初の「作成」時と同じように、レイアウト、イラスト、メインの行動を促すフレーズが使用されます。ユーザーがパスキーへの登録を選択したら、このページになじみがあり、ログインに必要な手順を理解できるはずです。

ユーザーはこの WebAuthn UI を使用してログインします
ユーザーはこの WebAuthn UI を使用してログインします。

ここでも同じことが当てはまります。意図的に同じアイコン、イラスト、レイアウト、テキストを使用しています。WebAuthn UI 内のテキストは簡潔で広範に使用でき、再利用が可能なため、誰でも認証と再認証の両方に使用できます。

パスキーの管理

Google アカウントの設定ページに新しいページを導入する場合は、一貫性があり直感的で一貫したユーザー エクスペリエンスを実現するために、慎重な検討が必要でした。

これを実現するために、Google アカウント全体に存在するナビゲーション、コンテンツ、階層、構造、確立された期待に関するパターンを分析しました。

Google アカウントのパスキー管理ページ
Google アカウントのパスキー管理ページ。

エコシステム別のパスキーについて説明する

概要レベルのカテゴリ システムを作成するため、エコシステム別にパスキーを記述することにしました。これにより、ユーザーはパスキーの作成場所と使用場所を認識できます。各 ID プロバイダ(Google、Apple、Microsoft)にはエコシステムの名前があるため、Google はこれらを使用することにしました(それぞれ Google パスワード マネージャー、iCloud キーチェーン、Windows Hello)。

これをサポートするために、作成日時、最後に使用された日時、使用された特定の OS などの追加メタデータを追加しました。ユーザー管理アクションに関しては、この API は名前の変更、取り消し、作成のみをサポートしています。

名前を変更すると、ユーザーはパスキーに個人的に意味のある名前を割り当てられるようになります。これにより、特定のユーザー コホートがパスキーを追跡して理解しやすくなります。

パスキーを無効にしても、そのパスキーはユーザーの個人用認証情報マネージャー(Google パスワード マネージャーなど)から削除されませんが、再度設定されるまで使用不可になります。そのため、パスキーを取り消すアクションを表すアイコンとして、ゴミ箱アイコンや削除アイコンではなく、× を採用しました。

アカウントにパスキーを追加する操作について説明する際、「パスキーを追加」よりも「パスキーを作成」というフレーズの方がユーザーの共感を呼んでいます。これは、パスキーと有形のハードウェア セキュリティ キーを区別するための微妙な言語の選択です(ただし、パスキーは一部のハードウェア セキュリティ キーに保存できることに注意してください)。

追加コンテンツの提供

社内調査によると、パスキーの使用は比較的シームレスで使い慣れたエクスペリエンスであることがわかっています。しかし、あらゆる新しいテクノロジーと同様に、一部のユーザーは残る疑問や懸念を抱えています。

画面ロックの仕組み、セキュリティの強化方法、Google がテストで遭遇した最も一般的な「What-If」シナリオについては、Google のパスキーに関するヘルプセンターのコンテンツをご覧ください。どのサイトのユーザーでも簡単に移行できるようにするには、パスキーのリリースとともにサポート コンテンツを用意することが重要です。

パスキーからフォールバックする

以前のシステムに戻すには、パスキーによる認証を求められたときに [別の方法を試す] をクリックするだけで済みます。また、WebAuthn UI を終了すると、ユーザーはパスキーをもう一度試すか、従来の方法で Google アカウントにログインします。

まとめ

パスキーはまだ初期段階にあるため、ユーザー エクスペリエンスを設計する際は、次の原則に留意してください。

  • ユーザーに関連するパスキーを導入する。
  • パスキーのメリットを説明します。
  • 機会を利用してパスキーのコンセプトを学びましょう。
  • パスキーはパスワードの代わりとし、代わりのものとして位置付ける。

Google アカウントのパスキーに関する選択は、ベスト プラクティスと内部調査に基づいて行われました。Google は、実際のユーザーから新しい分析情報を得て、ユーザー エクスペリエンスを継続的に進化させていきます。