การออกแบบประสบการณ์ของผู้ใช้พาสคีย์ในบัญชี Google

มอบการรักษาความปลอดภัยที่ดีกว่าเดิมและประสบการณ์ของผู้ใช้ที่ดีกว่าเดิมให้กับบัญชี Google

ซิลเวีย คอนแวนโต
Silvia Convento
แบบ Jacinic ในสนาม
แจ็กซินิกในศาล
มิตเชลล์ กาลาวัน
Mitchell Galavan
X

พาสคีย์เป็นเทคโนโลยีการตรวจสอบสิทธิ์ข้ามอุปกรณ์ที่ปลอดภัยและใช้งานง่าย ที่ช่วยให้สร้างบัญชีออนไลน์และลงชื่อเข้าใช้บัญชีได้โดยไม่ต้องป้อนรหัสผ่าน ในการลงชื่อเข้าใช้บัญชี ระบบจะแสดงข้อความให้ผู้ใช้ใช้การล็อกหน้าจอบนอุปกรณ์ เช่น การแตะเซ็นเซอร์ลายนิ้วมือ

Google ทำงานร่วมกับ FIDO Alliance มาหลายปี ควบคู่ไปกับ Apple และ Microsoft เพื่อนำพาสคีย์ออกไปทั่วโลก ในปี 2022 เราได้เปิดตัวการรองรับแพลตฟอร์ม พาสคีย์ เพื่อให้ผู้ใช้ Android และ Chrome ลงชื่อเข้าใช้แอปและเว็บไซต์บนอุปกรณ์ทั้งหมดได้อย่างราบรื่น ในเดือนพฤษภาคม 2023 เราได้เปิดใช้การลงชื่อเข้าใช้บัญชี Google ด้วยพาสคีย์ที่ช่วยยกระดับความปลอดภัยและความสะดวกสบายของพาสคีย์ให้ผู้ใช้ของเรา

Google อยู่ในตำแหน่งที่ต่างไปจากเดิม เนื่องจากเราทั้ง 2 ฝ่ายกำลังพัฒนาโครงสร้างพื้นฐานสำหรับพาสคีย์ และเป็นหนึ่งในบริการที่ใหญ่ที่สุดที่ใช้พาสคีย์ดังกล่าว เรากำลังเปิดตัวพาสคีย์สำหรับบัญชี Google อย่างรอบคอบและระมัดระวัง เพื่อให้สามารถวัดผลลัพธ์และใช้ความคิดเห็นดังกล่าวในการปรับปรุงโครงสร้างพื้นฐานของพาสคีย์และประสบการณ์การใช้งานบัญชี Google ต่อไป

การเปลี่ยนให้ผู้ใช้ไปใช้พาสคีย์

รหัสผ่านคือวิธีการลงชื่อเข้าใช้มาตรฐานมานับตั้งแต่ประสบการณ์ออนไลน์ที่ปรับเปลี่ยนในแบบของผู้ใช้ตั้งแต่แรกเริ่ม เราจะแนะนำการใช้งานพาสคีย์แบบไม่ใช้รหัสผ่านได้อย่างไร

การวิจัยชี้ให้เห็นว่าเมื่อพูดถึงการตรวจสอบสิทธิ์ ผู้ใช้ให้ความสำคัญกับความสะดวกสบายมากที่สุด ลูกค้าต้องการเปลี่ยนไปใช้ประสบการณ์จริงที่ราบรื่นและรวดเร็ว ซึ่งจะเกิดขึ้นหลังจากลงชื่อเข้าใช้เท่านั้น

อย่างไรก็ตาม การเปลี่ยนไปใช้พาสคีย์จำเป็นต้องมีการเปลี่ยนความจำของกล้ามเนื้อ และผู้ใช้ต้องมั่นใจว่าคุ้มค่าที่จะเปลี่ยน

ประสบการณ์ของผู้ใช้พาสคีย์สำหรับ Google.com ได้รับการออกแบบเชิงกลยุทธ์เพื่อเน้นหลักการ 2 ประการในทุกขั้นตอนของการตรวจสอบสิทธิ์ ได้แก่ การใช้งานง่ายและความปลอดภัย

นำหน้าอย่างสะดวกสบาย

สำหรับผู้ใช้ส่วนใหญ่ นี่จะเป็นครั้งแรกที่ผู้ใช้เห็นพาสคีย์
สำหรับผู้ใช้ส่วนใหญ่ นี่จะเป็นครั้งแรกที่ผู้ใช้เห็นพาสคีย์

หน้าจอพาสคีย์แรกที่ผู้ใช้เห็นมีน้ำหนักเบาและเข้าใจง่าย ส่วนหัวมุ่งเน้นที่ประโยชน์ของผู้ใช้โดยพูดว่า "ทำให้การลงชื่อเข้าใช้ง่ายขึ้น"

เนื้อความมีข้อความระบุว่า "ตอนนี้พาสคีย์จะทำให้คุณใช้ลายนิ้วมือ ใบหน้า หรือการล็อกหน้าจอเพื่อยืนยันตัวตนได้"

ภาพประกอบนี้มีจุดประสงค์เพื่อให้ข้อความแสดงคุณค่าที่นำเสนอในหน้าเว็บ การกระทำหลักสีน้ำเงินขนาดใหญ่เชิญผู้ใช้ให้ดำเนินการต่อ ส่วน "ไว้ทีหลัง" จะรวมไว้เป็นการดำเนินการรองเพื่อให้ผู้ใช้เลือกว่าจะเลือกใช้หรือไม่ในเวลานี้ โดยให้ผู้ใช้เป็นผู้ควบคุม และ "ดูข้อมูลเพิ่มเติม" ก็มีให้ใช้งานสำหรับผู้ใช้ที่อยากรู้อยากเห็นมากที่สุด และต้องการทำความเข้าใจพาสคีย์ให้ดียิ่งขึ้นก่อนที่จะดำเนินการต่อ

เราสำรวจหน้าเว็บหลายๆ หน้าซ้ำๆ เพื่อแนะนำให้ผู้ใช้ใช้พาสคีย์ระหว่างการลงชื่อเข้าใช้ ซึ่งรวมถึงการทดลองใช้เนื้อหาที่เน้นความปลอดภัย เทคโนโลยี และแง่มุมอื่นๆ ของพาสคีย์ แต่ความสะดวกก็ถือเป็นสิ่งที่โดนใจมากที่สุด กลยุทธ์เนื้อหา ภาพประกอบ และการออกแบบการโต้ตอบของ Google แสดงให้เห็นถึงหลักการสำคัญนี้ในการปรับใช้พาสคีย์

การเชื่อมโยงคำว่า "พาสคีย์" กับประสบการณ์ด้านความปลอดภัยที่คุ้นเคย

พาสคีย์เป็นคำศัพท์ใหม่สำหรับผู้ใช้ส่วนใหญ่ เราจึงตั้งใจที่จะให้ผู้ใช้รู้สึกคุ้นเคยกับคำดังกล่าว เราเชื่อมโยงพาสคีย์กับการรักษาความปลอดภัยอย่างมีกลยุทธ์ โดยอิงตามการวิจัยภายใน

จะมีคำว่า "พาสคีย์" อยู่ด้วยตลอดขั้นตอนการลงชื่อเข้าใช้ในตำแหน่งคัดลอกเนื้อหาที่มีความโดดเด่นน้อยลง โดยรหัสผ่านนี้จะอยู่อย่างสม่ำเสมอท่ามกลางการใช้งานด้านความปลอดภัยที่คุ้นเคย ซึ่งช่วยให้สามารถใช้พาสคีย์ได้ เช่น ลายนิ้วมือ การสแกนใบหน้า หรือการล็อกหน้าจออุปกรณ์แบบอื่นๆ

งานวิจัยของเราแสดงให้เห็นว่าผู้ใช้หลายคนเชื่อมโยงข้อมูลไบโอเมตริกกับความปลอดภัย แม้ว่าพาสคีย์จะไม่ต้องใช้ข้อมูลไบโอเมตริก (เช่น พาสคีย์ใช้กับ PIN ของอุปกรณ์ได้ เป็นต้น) เรากำลังพัฒนาการเชื่อมโยงพาสคีย์กับข้อมูลไบโอเมตริกเพื่อให้ผู้ใช้รับรู้ถึงประโยชน์ด้านความปลอดภัยของพาสคีย์

ส่วนเนื้อหาเพิ่มเติมที่อยู่เบื้องหลัง "ดูข้อมูลเพิ่มเติม" มีข้อมูลที่เป็นประโยชน์จำนวนมากสำหรับผู้ใช้ ซึ่งรวมถึงการให้ความมั่นใจแก่ผู้ใช้ว่าข้อมูลไบโอเมตริกที่มีความละเอียดอ่อนจะยังคงอยู่ในอุปกรณ์ส่วนตัว และจะไม่มีการจัดเก็บหรือแชร์เมื่อมีการสร้างหรือใช้พาสคีย์ เราใช้แนวทางนี้เนื่องจากผู้ใช้ส่วนใหญ่พบว่าการใช้พาสคีย์เป็นเรื่องสะดวก มีเพียงไม่กี่รายการที่คำนึงถึงองค์ประกอบข้อมูลไบโอเมตริกระหว่างการทดสอบ

ขอแนะนำพาสคีย์เมื่อเกี่ยวข้องกับผู้ใช้

การเรียนรู้ของ Google จะพิจารณาอย่างรอบคอบว่าใครจะเห็นหน้าจอแนะนำบ้าง ปัจจัยบางประการ ได้แก่ การที่ผู้ใช้เปิดใช้การยืนยันแบบ 2 ขั้นตอนหรือไม่ และเข้าถึงบัญชีดังกล่าวเป็นประจำจากอุปกรณ์เดียวกันหรือไม่

ระบบจะเลือกผู้ใช้ที่มีแนวโน้มจะประสบความสําเร็จมากที่สุดเมื่อใช้พาสคีย์ก่อน จากนั้นเมื่อเวลาผ่านไประบบจะแนะนำผู้ใช้จำนวนมากขึ้น (แต่ทุกคนจะเริ่มต้นใช้งานได้ที่ g.co/passkeys ในวันนี้)

ผู้ใช้ที่เลือกจะได้รับข้อความแจ้งให้สร้างพาสคีย์หลังจากลงชื่อเข้าใช้ด้วยชื่อผู้ใช้และรหัสผ่าน เหตุผล 2-3 ข้อที่เราเลือกจุดนี้ในเส้นทางของผู้ใช้มีดังนี้

  • ผู้ใช้เพิ่งลงชื่อเข้าใช้ ระบบจึงรับรู้ข้อมูลเข้าสู่ระบบและขั้นตอนที่ 2
  • เรามั่นใจว่าผู้ใช้กำลังใช้อุปกรณ์อยู่ เพียงแต่เพิ่งลงชื่อเข้าใช้ จึงไม่มีแนวโน้มที่ผู้ใช้จะเดินออกไปหรือวางอุปกรณ์ลง
  • ในเชิงสถิติแล้ว การลงชื่อเข้าใช้อาจไม่สำเร็จในครั้งแรกเสมอไป ดังนั้น ข้อความที่พูดถึงการทำให้ง่ายขึ้นในครั้งถัดไปคือการลงชื่อเข้าใช้ที่มีคุณค่าที่จับต้องได้

การกำหนดพาสคีย์ไว้เพื่อเป็นทางเลือกให้กับ
รหัสผ่านและไม่ได้เป็นการเปลี่ยนใหม่

การศึกษาวิจัยผู้ใช้เบื้องต้นแสดงให้เห็นว่าผู้ใช้หลายคนยังต้องการใช้รหัสผ่านเป็นวิธีการลงชื่อเข้าใช้สำรอง และผู้ใช้เพียงบางรายจะไม่มีเทคโนโลยีที่จำเป็นในการใช้พาสคีย์

ดังนั้นขณะที่อุตสาหกรรมต่างๆ อย่าง Google เองก็กำลังก้าวเข้าสู่ "อนาคตที่ไม่ต้องใช้รหัสผ่าน" แต่ Google ตั้งใจวางจุดยืนให้พาสคีย์เป็นทางเลือกอื่นที่เรียบง่ายและปลอดภัยกว่าการใช้รหัสผ่าน UI ของ Google เน้นประโยชน์ของพาสคีย์ และหลีกเลี่ยงภาษาที่สื่อเป็นนัยว่าเลิกใช้รหัสผ่าน

ช่วงเวลาแห่งการสร้างสรรค์

เมื่อผู้ใช้เลือกลงทะเบียน ก็จะเห็นโมดัล UI เฉพาะเบราว์เซอร์ซึ่งช่วยให้ผู้ใช้สร้างพาสคีย์ได้

พาสคีย์เองจะแสดงพร้อมไอคอนที่สอดคล้องกับอุตสาหกรรมและข้อมูลที่ใช้ในการสร้างพาสคีย์ ซึ่งรวมถึงชื่อที่แสดง (ชื่อที่จำง่ายสำหรับพาสคีย์ เช่น ชื่อจริงของผู้ใช้) และชื่อผู้ใช้ (ชื่อเฉพาะบนบริการของคุณ โดยที่อยู่อีเมลจะทำงานได้ดีที่นี่) เมื่อพูดถึงการทำงานกับไอคอนพาสคีย์ พาร์ทเนอร์ของ FIDO แนะนำให้ใช้ไอคอนพาสคีย์ที่พิสูจน์แล้ว และสนับสนุนการสร้างพาสคีย์ในแบบของคุณเองด้วยการปรับแต่งต่างๆ

ไอคอนพาสคีย์จะแสดงตลอดเส้นทางของผู้ใช้เพื่อสร้างความคุ้นเคยกับสิ่งที่ผู้ใช้จะเห็นเมื่อใช้หรือจัดการพาสคีย์ จะไม่มีการแสดงไอคอนพาสคีย์โดยไม่มีบริบทหรือข้อมูลสนับสนุน

เมื่อผู้ใช้สร้างพาสคีย์ ผู้ใช้จะเห็นหน้านี้
เมื่อสร้างพาสคีย์ ผู้ใช้จะเห็นหน้านี้

ด้านบนเราได้อธิบายเกี่ยวกับวิธีที่ผู้ใช้และแพลตฟอร์มทำงานร่วมกันเพื่อสร้างพาสคีย์ เมื่อผู้ใช้คลิก "ดำเนินการต่อ" ก็จะเห็น UI ที่ไม่ซ้ำโดยขึ้นอยู่กับแพลตฟอร์ม

ด้วยเหตุนี้ เราจึงเรียนรู้จากการวิจัยภายในว่า หน้าจอยืนยันเมื่อสร้างพาสคีย์จะเป็นประโยชน์อย่างมากในแง่ของการทำความเข้าใจและการปิดการขายในขั้นตอนนี้

เมื่อสร้างพาสคีย์แล้ว ผู้ใช้จะเห็นหน้านี้
เมื่อสร้างพาสคีย์แล้ว ผู้ใช้จะเห็นหน้านี้

หน้าจอยืนยันเป็นการ "หยุดชั่วคราว" เพื่อจองขั้นตอนการแนะนำให้ผู้ใช้ใช้พาสคีย์และทำขั้นตอนการสร้างพาสคีย์เอง เนื่องจากเป็น (มีแนวโน้ม) ครั้งแรกที่ผู้ใช้มีส่วนร่วมกับพาสคีย์ หน้านี้จึงมีจุดประสงค์เพื่อจะได้ปิดเส้นทางได้อย่างชัดเจน เราเลือกหน้าเว็บแบบแยกเดี่ยวหลังจากลองใช้เครื่องมืออื่นๆ เช่น การแจ้งเตือนขนาดเล็ก และแม้กระทั่งอีเมลหลังการสร้าง เพื่อให้คุณได้รับประสบการณ์การใช้งานที่มั่นคงและมั่นคง

เมื่อผู้ใช้คลิก "ดำเนินการต่อ" ที่นี่ ระบบจะนำผู้ใช้ไปยังปลายทางของผู้ใช้

เมื่อผู้ใช้ลงชื่อเข้าใช้อีกครั้ง ผู้ใช้อาจจะเห็นหน้านี้
เมื่อผู้ใช้ลงชื่อเข้าใช้อีกครั้ง ผู้ใช้มีแนวโน้มที่จะเห็นหน้านี้

กำลังลงชื่อเข้าใช้

ครั้งถัดไปที่ผู้ใช้พยายามลงชื่อเข้าใช้ ผู้ใช้จะเห็นหน้านี้ ซึ่งจะใช้เลย์เอาต์ ภาพประกอบ และคำกระตุ้นให้ดำเนินการหลักเดียวกันเพื่อให้เกิดประสบการณ์ "การสร้างสรรค์" ครั้งแรกตามที่ระบุไว้ข้างต้น เมื่อผู้ใช้เลือกที่จะลงทะเบียนพาสคีย์แล้ว หน้านี้จะรู้สึกคุ้นเคยและผู้ใช้จะจดจำขั้นตอนที่ต้องทำเพื่อลงชื่อเข้าใช้

ผู้ใช้จะใช้ WebAuthn UI นี้เพื่อลงชื่อเข้าใช้
ผู้ใช้จะใช้ WebAuthn UI นี้เพื่อลงชื่อเข้าใช้

หลักความคุ้นเคยกับการใช้งานก็มีผลบังคับใช้เช่นกัน โดยเจตนาจะใช้รูปแบบการตีความ สัญลักษณ์ ภาพประกอบ เลย์เอาต์ และข้อความเดียวกัน ข้อความภายใน UI ของ WebAuthn จะยังกระชับ กว้าง และนํากลับมาใช้ซ้ำได้ ทุกคนจึงใช้ทั้งข้อความข้างต้นในการตรวจสอบสิทธิ์และตรวจสอบสิทธิ์ซ้ำ

การจัดการพาสคีย์

การเปิดตัวหน้าใหม่ทั้งหน้าในหน้าการตั้งค่าบัญชี Google นั้นจำเป็นต้องพิจารณาอย่างรอบคอบเพื่อให้ผู้ใช้ได้รับประสบการณ์การใช้งานที่สอดคล้อง ง่ายดาย และสอดคล้องกัน

เพื่อบรรลุเป้าหมายนี้ เราได้วิเคราะห์รูปแบบเกี่ยวกับการนําทาง เนื้อหา ลําดับชั้น โครงสร้าง และความคาดหวังที่มีอยู่ในบัญชี Google

หน้าการจัดการพาสคีย์ในบัญชี Google
หน้าการจัดการพาสคีย์ในบัญชี Google

อธิบายพาสคีย์ตามระบบนิเวศ

เพื่อสร้างระบบหมวดหมู่ระดับสูงที่ควรเข้าใจว่าเราได้อธิบายพาสคีย์โดยระบบนิเวศ วิธีนี้จะช่วยให้ผู้ใช้จดจำได้ว่าจะสร้างพาสคีย์ที่ใดและใช้พาสคีย์ดังกล่าวที่ไหน ผู้ให้บริการข้อมูลประจำตัวแต่ละราย (Google, Apple และ Microsoft) จะมีชื่อสำหรับระบบนิเวศของตัวมันเอง เราจึงเลือกใช้ชื่อผู้ให้บริการเหล่านั้น (เครื่องมือจัดการรหัสผ่านบน Google, พวงกุญแจ iCloud และ Windows Hello ตามลำดับ)

เราจึงเพิ่มข้อมูลเมตาเพิ่มเติม เช่น เวลาที่สร้าง เวลาที่มีการใช้งานครั้งล่าสุด และระบบปฏิบัติการที่เฉพาะเจาะจงที่ใช้งาน API รองรับเฉพาะการเปลี่ยนชื่อ การเพิกถอน และการสร้าง ในแง่ของการดำเนินการการจัดการผู้ใช้

การเปลี่ยนชื่อจะทำให้ผู้ใช้กำหนดชื่อที่มีความหมายต่อพาสคีย์ได้ ซึ่งช่วยให้ผู้ใช้กลุ่มประชากรตามรุ่นบางกลุ่มติดตามและเข้าใจได้ง่ายขึ้น

การเพิกถอนพาสคีย์จะไม่ลบพาสคีย์ออกจากเครื่องมือจัดการข้อมูลเข้าสู่ระบบส่วนตัวของผู้ใช้ (เช่น เครื่องมือจัดการรหัสผ่านบน Google) แต่จะทำให้ไม่สามารถใช้พาสคีย์ได้จนกว่าจะตั้งค่าอีกครั้ง เราจึงเลือกเครื่องหมายกากบาทแทนไอคอนถังขยะหรือลบ เพื่อแสดงถึงการดำเนินการเพิกถอนพาสคีย์

เมื่ออธิบายการดำเนินการเพิ่มพาสคีย์ลงในบัญชี วลี "สร้างพาสคีย์" จะตรงใจผู้ใช้มากกว่าเมื่อเทียบกับ "เพิ่มพาสคีย์" นี่เป็นทางเลือกภาษาที่ไม่ซับซ้อนเพื่อแยกพาสคีย์ออกจากคีย์ความปลอดภัยแบบฮาร์ดแวร์ที่จับต้องได้ (แต่โปรดทราบว่าสามารถจัดเก็บพาสคีย์ไว้ในคีย์ความปลอดภัยแบบฮาร์ดแวร์บางอัน)

การให้เนื้อหาเพิ่มเติม

งานวิจัยภายในแสดงให้เห็นว่าการใช้พาสคีย์เป็นประสบการณ์ที่คุ้นเคยและราบรื่น แต่เช่นเดียวกับเทคโนโลยีใหม่อื่นๆ ผู้ใช้บางรายอาจมีคำถามและข้อกังวลที่ครุ่นคิดอยู่บ่อยๆ

วิธีการทำงานของเทคโนโลยีหลังจากล็อกหน้าจอ สิ่งที่ทำให้แอปปลอดภัยยิ่งขึ้น และสถานการณ์ "จะเกิดอะไรขึ้นหาก" ที่พบบ่อยที่สุดที่ Google พบในการทดสอบ โปรดดูเนื้อหาในศูนย์ช่วยเหลือเกี่ยวกับพาสคีย์ของ Google การมีเนื้อหาการสนับสนุนให้พร้อมก่อนเปิดใช้พาสคีย์เป็นสิ่งสำคัญเพื่อให้ผู้ใช้ในทุกเว็บไซต์เปลี่ยนไปใช้งานได้ง่าย

ถอยกลับจากพาสคีย์

การเปลี่ยนกลับไปใช้ระบบเดิมทำได้ง่ายๆ เพียงคลิก "ลองวิธีอื่น" เมื่อมีการขอให้ผู้ใช้ตรวจสอบสิทธิ์ด้วยพาสคีย์ นอกจากนี้ การออกจาก UI ของ WebAuthn จะเป็นการเริ่มเส้นทางให้ผู้ใช้ลองใช้พาสคีย์อีกครั้ง หรือลงชื่อเข้าใช้บัญชี Google ด้วยวิธีดั้งเดิม

บทสรุป

เรายังอยู่ในช่วงแรกๆ ของการใช้พาสคีย์ ดังนั้นเมื่อออกแบบประสบการณ์ของผู้ใช้ ให้คำนึงถึงหลักการบางประการดังนี้

  • แนะนำพาสคีย์เมื่อเกี่ยวข้องกับผู้ใช้
  • ไฮไลต์ประโยชน์ของพาสคีย์
  • ใช้โอกาสเพื่อสร้างความคุ้นเคยกับแนวคิดของพาสคีย์
  • วางพาสคีย์ไว้เป็นทางเลือกแทนรหัสผ่าน และไม่ใช้แทน

ตัวเลือกที่เราใช้สำหรับพาสคีย์สำหรับบัญชี Google ได้รับข้อมูลจากแนวทางปฏิบัติแนะนำและการวิจัยภายใน และเราจะพัฒนาประสบการณ์ของผู้ใช้ต่อไปเมื่อได้รับข้อมูลเชิงลึกใหม่ๆ จากผู้ใช้จริง