通行密钥 (Passkey) 是一种简单且安全的跨设备身份验证技术,用户无需输入密码即可创建在线帐号并登录。如要登录帐号,用户只需要按照屏幕上的提示,使用设备的屏幕锁定功能,比如触摸指纹传感器。
多年来,Google 一直与 FIDO 联盟、Apple 和 Microsoft 合作,将通行密钥推广至全球。2022 年,我们推出了对通行密钥的平台支持,以便 Android 和 Chrome 用户在其所有设备上无缝登录应用和网站。2023 年 5 月,我们启用了“使用通行密钥登录 Google 帐号”功能,让用户得以享受通行密钥的安全性和便利性。
Google 处于一个独特的位置,我们既致力于开发通行密钥的基础设施,又是使用通行密钥的最大服务商之一。我们正在对 Google 帐号谨慎且有计划地推出通行密钥,以便衡量其效果,并根据这些反馈信息持续改进通行密钥基础设施和 Google 帐号体验。
自个性化在线体验问世以来,密码一直是标准的登录方式。我们如何引入通行密钥的无密码体验呢?
研究表明,在身份验证方面,用户最看重便利性。他们希望顺利、快速地过渡到真正的用户体验,而这只有在成功登录后才能实现。
尽管如此,改用通行密钥仍需要改变肌肉记忆,并且需要让用户确信改用通行密钥是值得的。
Google.com 通行密钥的用户体验经过战略性设计,在身份验证流程的每一步都强调两个原则:易用性和安全性。
用户首次看到的通行密钥屏幕采用浅色模式,且简单易懂。标题为“简化登录流程”,强调用户可享受的好处。
正文写道:“借助通行密钥,您现在可以通过指纹识别、面部识别或屏幕锁定功能来验证自己的身份。”
页面中的插图旨在将页面所传达的核心价值主张具体化。蓝色的大型主要操作按钮鼓励用户进行下一步操作。“以后再说”次要操作按钮可让用户自主选择是否要立即启用这一功能,从而赋予用户控制权。另外,对于那些最感兴趣且希望在采取行动之前更深入了解通行密钥的用户,页面还提供“了解详情”链接。
我们对用于在用户登录过程中介绍通行密钥的页面进行了多次迭代。我们尝试过展示强调通行密钥的安全性、技术和其他方面的内容,但最终发现便捷性最能引起用户的共鸣。因此,Google 在实现通行密钥这一过程中的内容策略、插图以及互动设计都围绕这一核心原则展开。
对于大多数用户来说,通行密钥是一个新术语,因此我们有意逐步引导用户熟悉这一概念。在内部研究的指导下,我们正以策略性的方式将通行密钥与安全性进行关联。
在整个登录流程中,“通行密钥”一词会出现在不太显眼的正文位置。该词语始终位于用户熟悉,且支持通行密钥的安全体验中,比如指纹识别、面部扫描或其他设备屏幕锁定功能。
我们的研究表明,许多用户会将生物识别与安全性联系起来。虽然通行密钥不一定需要生物识别(例如,通行密钥可与设备 PIN 码搭配使用),但我们倾向于将通行密钥与生物识别相关联,以提高用户对通行密钥的安全优势的认知。
“了解详情”所附加的内容可为用户提供大量有价值的信息,包括向用户保证:在创建或使用通行密钥时,他们的敏感生物识别数据会保留在个人设备上,并且绝不会被存储或共享。我们之所以采用这种方法,是因为在测试期间大多数用户都喜欢通行密钥带来的便利性,但只有少数用户考虑到了生物识别这一要素。
Google 的启发式算法会仔细确定哪些用户将看到通行密钥的介绍屏幕。其中一些因素包括用户是否启用了两步验证,以及他们是否经常从同一设备访问该帐号。
Google 会优先选择那些最有可能成功过渡至通行密钥的用户,然后随着时间的推移引入更多用户(不过,任何人都可以访问 g.co/passkeys 立即开始使用此功能)。
被选中的用户在使用用户名和密码登录后,系统会提示他们创建通行密钥。我们选择用户体验历程的这一阶段引入通行密钥有以下几点原因:
初步用户调查表明,许多用户仍然希望将密码用作备用登录方法。而且,并非所有用户都具备采用通行密钥所需的技术。
因此,虽然 Google 在内的整个行业正在走向“无密码的未来”,但 Google 却有意将通行密钥作为一种简单而安全的密码替代方案。Google 的界面着重强调通行密钥的优势,并避免使用那些暗示要彻底淘汰密码的措辞。
当用户选择注册时,他们会看到一个特定于浏览器的界面模态框,通过该模态框即可创建通行密钥。
通行密钥本身会显示行业统一的图标以及用于创建通行密钥的信息。此类信息包括显示名称(通行密钥的易记名称,例如用户的真实姓名)和用户名(您服务中的唯一标识名,电子邮件地址非常适合)。在处理通行密钥图标时,FIDO 联盟建议使用经过验证的通行密钥图标,同时鼓励对图标进行自定义以展示个人风格。
通行密钥图标在整个用户体验历程中会一直显示,以便用户熟悉在使用或管理通行密钥时将会看到的内容。通行密钥图标绝不会在没有上下文或支持材料的情况下单独出现。
我们在上文中概述了用户和平台如何协同创建通行密钥。当用户点击“继续”时,他们将根据所使用的平台看到一个独特的界面。
有鉴于此,我们通过内部研究了解到,创建通行密钥后显示确认屏幕有助于用户在此步骤获得更好的理解,并确认操作已完成。
确认屏幕是一个有意为之的“暂停”,目的是结束向用户介绍通行密钥并引导其完成创建的过程。鉴于这可能是用户第一次接触通行密钥,该页面旨在为整个体验历程画上清晰的句号。在尝试了其他一些工具,如小型通知提示,甚至于在创建后发送电子邮件等方法之后,我们选择了独立的页面设计方式,以提供一个结构清晰、稳定的端到端用户体验。
用户点击此处的“继续”后,将会转到目标页面。
当用户下次尝试登录时,他们将会看到与首次创建通行密钥时相同的布局、插图以及主要行动号召,以唤起上述用户最初创建通行密钥时的经历。一旦用户选择注册通行密钥,此页面会让用户感到亲切,并且识别出他们需要采取哪些步骤来进行登录。
WebAuthn 界面同样运用了熟悉性原则,特意采用了相同的图标、插图、布局和文本。该界面中的文本具有简洁、通用且可重复使用的特点。这样一来,无论是进行身份验证还是重新验证,都能采用这一设计。
要在 Google 帐号设置页面中推出一个全新的页面,您需要慎重考虑,以确保提供连贯、直观且一致的用户体验。
为了实现这一点,我们分析了整个 Google 帐号中存在的导航、内容、层次结构、结构和既定期望的模式。
为了创建一个便于理解的高级类别系统,我们决定根据生态系统来描述通行密钥。这样,用户就能识别出通行密钥是在哪里创建的,并了解其适用范围。每个身份提供方(Google、Apple 和 Microsoft)都有其生态系统名称,因此我们选择使用这些官方名称(分别为 Google 密码管理器、iCloud 钥匙串和 Windows Hello)。
为了支持生态系统描述,我们添加了其他元数据,例如创建时间、上次使用时间以及使用的特定操作系统。在用户管理操作方面,API 仅支持重命名、撤销和创建功能。
重命名功能可让用户为通行密钥指定具有个人意义的名称,这有助于特定用户群体更轻松地跟踪和理解通行密钥。
撤消通行密钥不会将其从用户的个人凭据管理器(例如 Google 密码管理器)中删除,但会使其无法使用,直到重新设置为止。因此,我们选择叉号(而非垃圾桶或删除图标)来表示撤消通行密钥的操作。
在描述向帐号添加通行密钥的操作时,与“添加通行密钥”相比,“创建通行密钥”的表述更能引起用户的共鸣。这是一种微妙的语言选择,用于区分通行密钥与实体的硬件安全密钥(但需要注意的是,通行密钥可以存储在一些硬件安全密钥中)。
内部研究表明,使用通行密钥是一种相对顺畅且熟悉的体验。然而,与任何新技术一样,一些用户会有持续存在的问题和疑虑。
在 Google 的通行密钥帮助中心内容中,我们探讨了屏幕锁定功能背后的技术、提高安全性的因素,以及 Google 在测试过程中遇到的一些最常见的“假设”场景。推出通行密钥时,请准备充分的支持内容以帮助任何网站上的用户实现轻松过渡。
还原至旧系统的方法非常简单,只需在要求用户使用通行密钥进行身份验证时点击“尝试其他方式”即可。此外,退出 WebAuthn 界面将引导用户进入新路径,以便用户重新尝试使用通行密钥,或以传统方式登录 Google 帐号。
我们仍处于通行密钥的早期阶段,因此在设计用户体验时,请牢记以下几点原则:
我们在为 Google 帐号选择通行密钥时参考了最佳实践和内部研究,并且我们会不断从现实世界中获得新的数据洞见,以不断改进用户体验。
