Projetar a experiência do usuário com chaves de acesso nas Contas do Google

Mais segurança e uma melhor experiência do usuário nas Contas do Google.

Convento da Silvia
Silvia Convento
Jacínic de quadra
Court Jacinic
Galavan
Mitchell Galavan
X

As chaves de acesso são uma tecnologia de autenticação entre dispositivos simples e segura que permite criar contas on-line e fazer login nelas sem precisar inserir uma senha. Para fazer login em uma conta, os usuários apenas recebem uma solicitação para usar o bloqueio de tela do dispositivo, como tocar no sensor de impressão digital.

O Google trabalha com a FIDO Alliance há anos, junto com a Apple e a Microsoft, para levar as chaves de acesso ao mundo todo. Em 2022, lançamos o suporte à plataforma para chaves de acesso para que os usuários do Android e do Chrome possam fazer login com facilidade em apps e sites em todos os dispositivos. Em maio de 2023, ativamos o login em Contas do Google com chaves de acesso, proporcionando a segurança e a conveniência das chaves de acesso para nossos usuários.

O Google tem uma posição única, já que trabalhamos na infraestrutura de chaves de acesso e somos um dos maiores serviços que as utilizam. Estamos lançando chaves de acesso para as Contas do Google com cuidado e deliberadamente. Assim, podemos medir os resultados e usar esse feedback para continuar melhorando a infraestrutura das chaves de acesso e a experiência da Conta do Google.

Como fazer a transição de usuários para chaves de acesso

As senhas são o método de login padrão desde o advento das experiências on-line personalizadas. Como introduzimos a experiência sem senha das chaves de acesso?

Pesquisas indicam que, quando se trata de autenticação, os usuários valorizam mais a conveniência. Eles querem uma transição suave e rápida para a experiência real, que só ocorre depois do login.

Ainda assim, a transição para chaves de acesso exige a mudança de memória muscular, e os usuários precisam ser convencidos de que vale a pena fazer a troca.

A experiência do usuário com chaves de acesso para o Google.com foi projetada para enfatizar dois princípios em cada etapa do processo de autenticação: facilidade de uso e segurança.

Liderando com conveniência

Para a maioria dos usuários, essa será a primeira vez que eles veem chaves de acesso
Para a maioria dos usuários, essa será a primeira vez que as chaves de acesso vão aparecer.

A primeira tela da chave de acesso que os usuários veem é leve e fácil de entender. O cabeçalho está se concentrando no benefício para o usuário, dizendo "Simplifique seu login".

O texto explica: "Com as chaves de acesso, agora é possível usar sua impressão digital, seu rosto ou o bloqueio de tela para confirmar sua identidade".

A ilustração tem como objetivo fundamentar a mensagem na proposta de valor feita pela página. A ação principal azul grande convida o usuário a continuar. "Agora não" é incluído como uma ação secundária para permitir que os usuários escolham se querem ou não ativar o recurso no momento, deixando o usuário no controle. Além disso, a opção "Saiba mais" é oferecida aos usuários mais curiosos que querem entender melhor as chaves de acesso antes de continuar.

Exploramos muitas iterações das páginas usadas para apresentar as chaves de acesso aos usuários durante o login. Isso incluiu testar conteúdos que enfatizavam a segurança, a tecnologia e outros aspectos das chaves de acesso. No entanto, a conveniência foi o que mais chamou a atenção. A estratégia de conteúdo, a ilustração e o design de interação do Google demonstram esse princípio fundamental para a implementação de chaves de acesso.

Associar o termo "chaves de acesso" a experiências de segurança conhecidas

"Chaves de acesso" são um novo termo para a maioria dos usuários. Por isso, estamos intencionalmente expondo os usuários ao termo para que eles se familiarizem. Com base em pesquisas internas, estamos associando estrategicamente chaves de acesso à segurança.

A palavra "chave de acesso" é incluída durante todo o fluxo de login na posição de cópia do corpo menos proeminente. Ela é consistentemente aninhada entre as experiências de segurança conhecidas que permitem o uso de chaves de acesso: impressão digital, reconhecimento facial ou outro bloqueio de tela do dispositivo.

Nossa pesquisa mostrou que muitos usuários associam biometria à segurança. Embora as chaves de acesso não exijam biometria (uma chave de acesso pode ser usada com um PIN do dispositivo, por exemplo), estamos começando a associar chaves de acesso à biometria para aumentar a percepção do usuário sobre os benefícios de segurança das chaves de acesso.

O conteúdo extra por trás da opção "Saiba mais" tem muitas informações valiosas para os usuários, incluindo a garantia de que os dados biométricos confidenciais permanecem no dispositivo pessoal e nunca são armazenados ou compartilhados ao criar ou usar chaves de acesso. Adotamos essa abordagem porque a maioria dos usuários achou o aspecto da conveniência das chaves de acesso atraente, mas apenas alguns levaram em consideração o elemento biométrico durante os testes.

Uso de chaves de acesso quando for relevante para o usuário

A heurística do Google determina cuidadosamente quem verá a tela introdutória. Alguns dos fatores são se um usuário ativou a verificação em duas etapas e se ele acessa essa conta regularmente no mesmo dispositivo.

Os usuários com maior probabilidade de ter sucesso com chaves de acesso são selecionados primeiro e, com o tempo, mais usuários serão introduzidos. No entanto, qualquer pessoa pode começar hoje em g.co/passkeys.

Alguns usuários precisam criar uma chave de acesso depois de fazer login com um nome de usuário e uma senha. Escolhemos esse ponto na jornada do usuário por alguns motivos:

  • O usuário acabou de fazer login, está ciente das credenciais e da segunda etapa.
  • Temos certeza de que o usuário está no dispositivo. Ele acabou de fazer login, então é provável que ele tenha saído ou deixado o dispositivo no chão.
  • Estatisticamente, o login nem sempre é bem-sucedido na primeira vez, portanto, uma mensagem para facilitar esse processo na próxima vez tem um valor tangível.

Posicionamento das chaves de acesso como uma alternativa às
senhas e ainda não uma substituição

Uma pesquisa inicial de usuários mostra que muitos usuários ainda querem senhas como um método de login alternativo. E nem todos os usuários terão a tecnologia necessária para adotar as chaves de acesso.

Então, mesmo que o setor, inclusive o Google, esteja avançando em direção a um "futuro sem senha", o Google está intencionalmente apresentando as chaves de acesso como uma alternativa simples e segura. A interface do Google se concentra nos benefícios das chaves de acesso e evita usar uma linguagem que implica o descarte de senhas.

Momento da criação

Quando os usuários optarem por se inscrever, vão aparecer um modal de interface específico do navegador que permite a criação de uma chave de acesso.

A chave de acesso é mostrada com o ícone alinhado ao setor e as informações usadas para criá-la. Isso inclui o nome de exibição (um nome fácil para sua chave de acesso, como o nome real do usuário) e o nome de usuário (um nome exclusivo no seu serviço (um endereço de e-mail pode funcionar muito bem aqui). Quando se trata de trabalhar com o ícone de chaves de acesso, a FIDO recomenda usar o ícone de chaves de acesso comprovadas e incentivar a personalização dele.

O ícone das chaves de acesso é mostrado de forma consistente em toda a jornada do usuário para criar uma familiaridade com o que o usuário vai encontrar ao usar ou gerenciar a chave de acesso. O ícone de chave de acesso nunca é apresentado sem contexto ou material de apoio.

Quando os usuários criarem a chave de acesso, eles verão esta página
Quando os usuários criarem a chave de acesso, eles vão encontrar esta página.

Acima, descrevemos como o usuário e a plataforma trabalham juntos para criar uma chave de acesso. Quando o usuário clica em "Continuar", uma interface exclusiva é exibida, dependendo da plataforma.

Com isso em mente, aprendemos por pesquisas internas que uma tela de confirmação quando a chave de acesso é criada pode ser muito útil em termos de compreensão e encerramento nessa etapa do processo.

Depois que a chave de acesso for criada, esta página vai aparecer para os usuários
Depois que a chave de acesso for criada, os usuários vão encontrar esta página.

A tela de confirmação é uma "pausa" deliberada para marcar a jornada de apresentar as chaves de acesso a um usuário e passar pelo processo de criação de uma própria. Como é provavelmente a primeira vez que um usuário interage com chaves de acesso, o objetivo desta página é indicar um encerramento claro para a jornada. Escolhemos uma página independente depois de testar outras ferramentas, como notificações menores, e até mesmo um e-mail pós-criação, simplesmente para fornecer uma experiência estruturada e estável.

Ao clicar em "Continuar", o usuário é direcionado ao destino.

Quando os usuários fizerem login novamente, eles provavelmente verão esta página
Quando os usuários fizerem login novamente, provavelmente verão esta página.

Fazendo login

Na próxima vez que um usuário tentar fazer login, essa página vai aparecer para ele. Esse elemento usa o mesmo layout, ilustração e call-to-action principal para invocar a primeira experiência de "criação" descrita acima. Depois que o usuário escolher se inscrever nas chaves de acesso, essa página deverá parecer familiar e ele reconhecerá as etapas necessárias para fazer login.

O usuário vai fazer login com essa interface do WebAuthn
O usuário utilizará a interface do WebAuthn para fazer login.

O mesmo princípio de familiaridade se aplica aqui. Intencionalmente, isso usa a mesma iconografia, ilustração, layout e texto. O texto na interface do WebAuthn é breve, amplo e reutilizável. Assim, todos podem usar isso para autenticação e reautenticação.

Gerenciamento de chaves de acesso

A introdução de uma nova página nas configurações da Conta do Google exigiu uma consideração cuidadosa para garantir uma experiência do usuário coesa, intuitiva e consistente.

Para isso, analisamos os padrões de navegação, conteúdo, hierarquia, estrutura e expectativas estabelecidas na Conta do Google.

Página de gerenciamento de chaves de acesso na Conta do Google
Página de gerenciamento de chaves de acesso na Conta do Google
.

Descrever as chaves de acesso por ecossistema

Para criar um sistema de categorias de alto nível que fosse lógico entender, decidimos descrever as chaves de acesso por ecossistema. Dessa forma, o usuário poderia reconhecer onde uma chave de acesso foi criada e onde ela é usada. Cada provedor de identidade (Google, Apple e Microsoft) tem um nome para o próprio ecossistema. Por isso, optamos por usá-los (Gerenciador de senhas do Google, Chaves do iCloud e Windows Hello, respectivamente).

Para oferecer suporte a isso, adicionamos outros metadados, como quando ele foi criado, quando foi usado pela última vez e o SO específico em que foi usado. Em termos de ações de gerenciamento de usuários, a API aceita apenas renomeações, revogação e criação.

A renomeação permite que os usuários atribuam nomes pessoais às chaves de acesso, o que pode ajudar coortes específicas de usuários a monitorar e entender essas chaves com mais facilidade.

A revogação de uma chave de acesso não a exclui do gerenciador de credenciais pessoais do usuário (como o Gerenciador de senhas do Google), mas a inutiliza até que seja configurada novamente. Por isso, escolhemos uma cruz, em vez de um ícone de lixeira ou exclusão, para representar a ação de revogar uma chave de acesso.

Ao descrever a ação de adicionar uma chave de acesso à conta, a frase "Criar chave de acesso" repercutiu melhor entre os usuários em comparação com "Adicionar uma chave de acesso". Essa é uma escolha de linguagem sutil para distinguir chaves de acesso de chaves de segurança de hardware tangíveis, embora seja importante observar que as chaves de acesso podem ser armazenadas em algumas chaves de segurança de hardware.

Como fornecer conteúdo adicional

Uma pesquisa interna mostrou que o uso de chaves de acesso é uma experiência relativamente simples e familiar. No entanto, como acontece com qualquer tecnologia nova, existem perguntas e preocupações remanescentes para alguns usuários.

A forma como a tecnologia funciona com o bloqueio de tela, o que a torna mais segura e os cenários "e se" mais comuns encontrados pelo Google em testes são abordados no conteúdo da Central de Ajuda sobre chaves de acesso do Google. Ter conteúdo de suporte pronto com o lançamento de chaves de acesso é fundamental para uma transição fácil para os usuários em qualquer site.

O uso das chaves de acesso

Reverter para o sistema antigo é tão simples quanto clicar em "Tentar de outro jeito" quando um usuário precisa fazer a autenticação com uma chave de acesso. Além disso, sair da interface do WebAuthn vai fazer com que os usuários tentem usar a chave de acesso novamente ou façam login na Conta do Google de maneiras tradicionais.

Conclusão

Ainda estamos no início do uso de chaves de acesso. Por isso, ao projetar a experiência do usuário, tenha em mente alguns princípios:

  • Apresente as chaves de acesso quando for relevante para o usuário.
  • Destaque os benefícios das chaves de acesso.
  • Use as oportunidades para conhecer melhor o conceito de chaves de acesso.
  • Posicionar as chaves de acesso como uma alternativa às senhas, não como substitutos.

As escolhas que fizemos para chaves de acesso para Contas do Google foram baseadas em práticas recomendadas e pesquisas internas. Vamos continuar melhorando a experiência do usuário à medida que recebermos novos insights dos usuários no mundo real.