Mang đến khả năng bảo mật hiệu quả hơn và trải nghiệm tốt hơn cho người dùng cho Tài khoản Google.
![[Tên người]](https://web.dev/images/authors/mgalavan.jpg?hl=vi)
Khoá truy cập là một công nghệ xác thực đơn giản và an toàn trên nhiều thiết bị, cho phép tạo tài khoản trực tuyến và đăng nhập vào các tài khoản đó mà không cần nhập mật khẩu. Để đăng nhập vào tài khoản, người dùng chỉ cần thấy lời nhắc sử dụng phương thức khoá màn hình trên thiết bị của họ, chẳng hạn như chạm vào cảm biến vân tay.
Nhiều năm qua, Google đã hợp tác với Liên minh FIDO cùng với Apple và Microsoft để cung cấp khoá truy cập cho toàn thế giới. Năm 2022, chúng tôi ra mắt tính năng hỗ trợ khoá truy cập trên nền tảng để người dùng Android và Chrome có thể đăng nhập liền mạch vào các ứng dụng và trang web trên mọi thiết bị của họ. Tháng 5 năm 2023, chúng tôi đã cho phép người dùng đăng nhập vào Tài khoản Google bằng khoá truy cập, mang lại sự bảo mật và sự tiện lợi của khoá truy cập cho người dùng.
Google có một vị thế đặc biệt vì cả hai chúng tôi đều đang xây dựng cơ sở hạ tầng cho khoá truy cập và là một trong những dịch vụ lớn nhất sử dụng khoá này. Chúng tôi đang triển khai khoá truy cập cho Tài khoản Google một cách cẩn trọng và có chủ tâm để có thể đo lường kết quả và dùng ý kiến phản hồi đó để tiếp tục cải thiện cơ sở hạ tầng khoá truy cập và trải nghiệm của Tài khoản Google.
Chuyển người dùng sang khoá truy cập
Kể từ khi trải nghiệm trực tuyến được cá nhân hoá ra đời, mật khẩu đã trở thành phương thức đăng nhập tiêu chuẩn. Chúng tôi có thể cung cấp trải nghiệm không cần mật khẩu khi sử dụng khoá truy cập bằng cách nào?
Nghiên cứu chỉ ra rằng khi nói đến tính năng xác thực, người dùng coi trọng sự tiện lợi nhất. Họ muốn chuyển đổi nhanh chóng và suôn sẻ sang trải nghiệm thực tế. Điều này chỉ xuất hiện sau khi đăng nhập.
Tuy nhiên, việc chuyển đổi sang khoá truy cập yêu cầu thay đổi bộ nhớ cơ và người dùng cần phải thuyết phục rằng nên chuyển đổi.
Trải nghiệm người dùng khi sử dụng khoá truy cập cho Google.com đã được thiết kế chiến lược để nhấn mạnh 2 nguyên tắc trong mỗi bước của quy trình xác thực, đó là: dễ sử dụng và tính bảo mật.
Đi đầu thuận tiện
Màn hình khoá truy cập đầu tiên mà người dùng thấy là nhẹ và dễ hiểu. Tiêu đề tập trung vào lợi ích của người dùng, đó là "Đơn giản hoá việc đăng nhập".
Bản sao nội dung giải thích "Giờ đây, với khoá truy cập, bạn có thể sử dụng vân tay, khuôn mặt hoặc phương thức khoá màn hình để xác minh danh tính của mình".
Hình minh hoạ nhằm mục đích củng cố thông điệp trong tuyên bố giá trị do trang đưa ra. Thao tác chính lớn màu xanh dương mời người dùng tiếp tục. "Để sau" được đưa vào dưới dạng một hành động phụ để cho phép người dùng chọn có sử dụng hoặc không vào lúc này, để người dùng nắm quyền kiểm soát. Phần "Tìm hiểu thêm" được cung cấp cho những người dùng hiếu kỳ nhất muốn hiểu rõ hơn về khoá truy cập trước khi tiếp tục.
Chúng tôi đã khám phá nhiều lần lặp lại của các trang dùng để giới thiệu cho người dùng khoá truy cập trong quá trình đăng nhập. Bao gồm cả việc dùng thử nội dung nhấn mạnh tính bảo mật, công nghệ và các khía cạnh khác của khoá truy cập. Tuy nhiên, sự tiện lợi mới thực sự là yếu tố thu hút người dùng nhất. Chiến lược nội dung, hình minh hoạ và thiết kế tương tác của Google minh hoạ nguyên tắc cốt lõi này trong việc triển khai khoá truy cập.
Liên kết thuật ngữ "khoá truy cập" với các trải nghiệm bảo mật quen thuộc
Khoá truy cập là một thuật ngữ mới đối với hầu hết người dùng, vì vậy, chúng tôi đang chủ động để người dùng làm quen với khoá này. Dựa trên hướng dẫn nghiên cứu nội bộ, chúng tôi đang liên kết khoá truy cập với tính bảo mật một cách có chiến lược.
Từ "khoá truy cập" xuất hiện trong quy trình đăng nhập ở vị trí sao chép phần nội dung ít nổi bật hơn. Dịch vụ này nằm nhất quán giữa các trải nghiệm bảo mật quen thuộc cho phép sử dụng khoá truy cập: vân tay, tính năng quét khuôn mặt hoặc phương thức khoá màn hình khác của thiết bị.
Nghiên cứu của chúng tôi cho thấy nhiều người dùng liên quan đến hệ thống nhận dạng sinh trắc học với tính bảo mật. Mặc dù khoá truy cập không yêu cầu hệ thống nhận dạng sinh trắc học (ví dụ: bạn có thể sử dụng khoá truy cập với mã PIN của thiết bị), nhưng chúng tôi đang tìm cách liên kết khoá truy cập với hệ thống nhận dạng sinh trắc học để tăng cường nhận thức của người dùng về những lợi ích bảo mật của khoá truy cập.
Nội dung bổ sung phía sau "Tìm hiểu thêm" có nhiều thông tin có giá trị cho người dùng, giúp người dùng yên tâm rằng dữ liệu sinh trắc học nhạy cảm của họ vẫn được lưu trên thiết bị cá nhân của họ và không bao giờ được lưu trữ hoặc chia sẻ khi tạo hoặc sử dụng khoá truy cập. Chúng tôi áp dụng phương pháp này vì hầu hết người dùng nhận thấy ưu điểm thuận tiện của khoá truy cập, nhưng chỉ một số ít người dùng xét đến yếu tố sinh trắc học trong quá trình kiểm thử.
Đưa ra khoá truy cập khi phù hợp với người dùng
Phương pháp phỏng đoán của Google sẽ xác định kỹ lưỡng những người sẽ thấy màn hình giới thiệu. Một số yếu tố là liệu người dùng có bật tính năng xác minh hai bước hay không và họ có thường xuyên truy cập vào tài khoản đó từ cùng một thiết bị hay không.
Người dùng có nhiều khả năng thành công nhất với khoá truy cập sẽ được chọn trước, sau đó sẽ có thêm nhiều người dùng được giới thiệu (tuy nhiên, bất cứ ai cũng có thể bắt đầu tại g.co/passkeys ngay hôm nay).
Một số người dùng sẽ được nhắc tạo khoá truy cập sau khi đăng nhập bằng tên người dùng và mật khẩu. Sau đây là một số lý do mà chúng tôi chọn điểm này trong hành trình của người dùng:
- Người dùng vừa đăng nhập, họ biết thông tin đăng nhập và bước thứ hai của mình.
- Chúng tôi tin tưởng rằng người dùng vẫn đang sử dụng thiết bị của mình – họ vừa đăng nhập, vì vậy, không có khả năng họ bỏ đi hoặc đặt thiết bị xuống.
- Theo thống kê, không phải lúc nào người dùng cũng đăng nhập thành công trong lần đầu tiên. Vì vậy, thông báo về việc giúp người dùng dễ dàng đăng nhập vào lần tới sẽ có giá trị rõ ràng.
Định vị khoá truy cập là một giải pháp thay thế cho
mật khẩu chứ chưa phải là lựa chọn thay thế
Nghiên cứu ban đầu về người dùng cho thấy nhiều người dùng vẫn muốn sử dụng mật khẩu làm phương thức đăng nhập dự phòng. Và không phải người dùng nào cũng có công nghệ cần thiết để sử dụng khoá truy cập.
Vì vậy, trong khi toàn ngành nói đến Google, hướng đến một "tương lai không cần mật khẩu", thì Google chủ động định vị khoá truy cập làm một giải pháp thay thế đơn giản và an toàn cho mật khẩu. Giao diện người dùng của Google tập trung vào các lợi ích của khoá truy cập và tránh ngôn từ ngụ ý việc loại bỏ mật khẩu.
Khoảnh khắc sáng tạo
Khi chọn đăng ký, người dùng sẽ thấy một phương thức giao diện người dùng dành riêng cho trình duyệt cho phép họ tạo khoá truy cập.
Chính khoá truy cập sẽ xuất hiện với biểu tượng được căn chỉnh theo ngành và thông tin dùng để tạo khoá truy cập đó. Thông tin này bao gồm tên hiển thị (tên thân thiện cho khoá truy cập của bạn, như tên thật của người dùng) và tên người dùng (tên duy nhất trên dịch vụ – địa chỉ email có thể hoạt động hiệu quả ở đây). Khi làm việc với biểu tượng khoá truy cập, liên minh FIDO khuyên bạn nên sử dụng biểu tượng khoá truy cập đã được chứng minh và khuyến khích việc tuỳ chỉnh biểu tượng đó theo cách riêng.
Biểu tượng khoá truy cập xuất hiện nhất quán trong toàn bộ hành trình của người dùng để giúp người dùng làm quen với những nội dung mà người dùng sẽ thấy khi sử dụng hoặc quản lý khoá truy cập. Biểu tượng khoá truy cập không bao giờ được hiển thị nếu không có ngữ cảnh hoặc tài liệu hỗ trợ.
Ở trên, chúng tôi đã trình bày cách người dùng và nền tảng hoạt động cùng nhau để tạo khoá truy cập. Khi người dùng nhấp vào "Tiếp tục", họ sẽ thấy một giao diện người dùng riêng biệt tuỳ thuộc vào nền tảng.
Vì vậy, thông qua nghiên cứu nội bộ, chúng tôi đã tìm hiểu được rằng màn hình xác nhận sau khi tạo khoá truy cập có thể rất hữu ích giúp người dùng hiểu và đóng khoá truy cập ở bước này của quy trình.
Màn hình xác nhận là một màn hình "tạm dừng" có chủ ý để kết thúc hành trình giới thiệu người dùng sử dụng khoá truy cập và thực hiện quy trình tạo một khoá truy cập của riêng họ. Vì (có thể) là lần đầu tiên người dùng sử dụng khoá truy cập, nên trang này sẽ nhằm cung cấp thông tin rõ ràng về cách kết thúc hành trình. Chúng tôi đã chọn một trang độc lập sau khi thử một số công cụ khác như thông báo nhỏ hơn và thậm chí là email sau khi tạo, chỉ đơn giản là để cung cấp trải nghiệm có cấu trúc, ổn định cho đến cuối trang.
Khi người dùng nhấp vào "Tiếp tục" tại đây, họ sẽ được đưa đến điểm đến của mình.
Đang đăng nhập
Lần tới khi người dùng cố gắng đăng nhập, họ sẽ được chào đón bằng trang này. Cách này sử dụng cùng một bố cục, hình minh hoạ và lời kêu gọi hành động chính để gợi lên trải nghiệm "sáng tạo" đầu tiên nêu trên. Sau khi người dùng đã chọn đăng ký khoá truy cập, trang này sẽ cảm thấy quen thuộc và họ sẽ biết được các bước cần thực hiện để đăng nhập.
Nguyên tắc quen thuộc tương tự cũng áp dụng cho trường hợp này. Có chủ đích, việc này sử dụng cùng một biểu tượng, hình minh hoạ, bố cục và văn bản. Văn bản trong giao diện người dùng WebAuthn được đảm bảo ngắn gọn, rộng và dễ sử dụng lại, vì vậy, mọi người đều có thể sử dụng văn bản này cho cả mục đích xác thực và xác thực lại.
Quản lý khoá truy cập
Việc giới thiệu một trang hoàn toàn mới trên các trang cài đặt Tài khoản Google cần phải cân nhắc kỹ lưỡng để đảm bảo trải nghiệm người dùng liền mạch, trực quan và nhất quán.
Để đạt được điều này, chúng tôi đã phân tích các mẫu liên quan đến điều hướng, nội dung, hệ phân cấp, cấu trúc và những kỳ vọng đã thiết lập có trong Tài khoản Google.
Mô tả khoá truy cập theo hệ sinh thái
Để tạo một hệ thống danh mục cấp cao sao cho hợp lý, giúp chúng tôi hiểu rằng chúng tôi đã thiết lập việc mô tả khoá truy cập bằng hệ sinh thái. Bằng cách này, người dùng có thể nhận ra nơi tạo khoá truy cập và nơi sử dụng khoá truy cập. Mỗi nhà cung cấp danh tính (Google, Apple và Microsoft) đều có một tên cho hệ sinh thái của họ. Vì vậy, chúng tôi chọn sử dụng các tên đó (tương ứng với Trình quản lý mật khẩu của Google, chuỗi khoá iCloud và Windows Hello).
Để hỗ trợ việc này, chúng tôi thêm siêu dữ liệu bổ sung, chẳng hạn như thời điểm tạo, thời điểm sử dụng gần đây nhất và hệ điều hành cụ thể mà siêu dữ liệu đó được sử dụng. Đối với các thao tác quản lý người dùng, API chỉ hỗ trợ đổi tên, thu hồi và tạo.
Việc đổi tên này cho phép người dùng chỉ định tên có ý nghĩa cá nhân cho khoá truy cập, nhờ đó có thể giúp các nhóm người dùng cụ thể theo dõi và hiểu rõ các khoá truy cập dễ dàng hơn.
Việc thu hồi khoá truy cập sẽ không xoá khoá truy cập đó khỏi trình quản lý thông tin xác thực cá nhân của người dùng (như Trình quản lý mật khẩu của Google), nhưng sẽ không sử dụng được khoá truy cập cho đến khi bạn thiết lập lại khoá truy cập. Đó là lý do chúng tôi chọn dấu thập (thay vì biểu tượng thùng rác hoặc xoá) để thể hiện hành động thu hồi khoá truy cập.
Khi mô tả hành động thêm khoá truy cập vào tài khoản, cụm từ "Tạo khoá truy cập" phù hợp hơn với người dùng so với "Thêm khoá truy cập". Đây là một lựa chọn ngôn ngữ tinh tế để phân biệt khoá truy cập với khoá bảo mật phần cứng hữu hình (mặc dù bạn nên lưu ý rằng khoá truy cập có thể được lưu trữ trên một số khoá bảo mật phần cứng).
Cung cấp nội dung bổ sung
Nghiên cứu nội bộ cho thấy rằng việc sử dụng khoá truy cập là một trải nghiệm tương đối liền mạch và quen thuộc. Tuy nhiên, giống như bất kỳ công nghệ mới nào, một số người dùng vẫn có những câu hỏi và mối lo ngại còn sót lại.
Cách công nghệ hoạt động đằng sau phương thức khoá màn hình, những yếu tố giúp phương thức này bảo mật hơn và những tình huống "điều gì sẽ xảy ra nếu" phổ biến nhất mà Google gặp phải trong quá trình kiểm thử đều có trong nội dung trên Trung tâm trợ giúp về khoá truy cập của Google. Việc chuẩn bị sẵn nội dung hỗ trợ khi khởi chạy khoá truy cập là rất quan trọng để người dùng dễ dàng chuyển đổi trên mọi trang web.
Quay lại sử dụng khoá truy cập
Việc quay lại hệ thống cũ cũng đơn giản như việc nhấp vào "thử cách khác" khi người dùng được yêu cầu xác thực bằng khoá truy cập. Ngoài ra, khi thoát khỏi giao diện người dùng WebAuthn, người dùng sẽ được đưa vào một đường dẫn để thử lại khoá truy cập hoặc đăng nhập vào Tài khoản Google của họ theo các cách truyền thống.
Kết luận
Vì chúng tôi vẫn đang sử dụng khoá truy cập, nên khi thiết kế trải nghiệm người dùng, hãy lưu ý một số nguyên tắc sau đây:
- Ra mắt khoá truy cập khi phù hợp với người dùng.
- Làm nổi bật lợi ích của khoá truy cập.
- Sử dụng các cơ hội để làm quen với khái niệm khoá truy cập.
- Đặt khoá truy cập thay cho mật khẩu chứ không phải là phương án thay thế.
Chúng tôi đã đưa ra những lựa chọn khoá truy cập cho Tài khoản Google dựa trên các phương pháp hay nhất và nghiên cứu nội bộ. Chúng tôi sẽ tiếp tục cải thiện trải nghiệm người dùng khi có được thông tin chi tiết mới từ người dùng trong thực tế.