ในโลกที่ความปลอดภัยทางดิจิทัลมีความสำคัญมากขึ้นเรื่อยๆ รหัสผ่านกลายเป็นจุดอ่อนที่น่ากังวล เนื่องจากใช้งานยาก มักไม่ปลอดภัย และเป็นสาเหตุที่ทำให้ผู้ใช้และนักพัฒนาแอปเกิดความหงุดหงิด แต่ข่าวดีก็คือพาสคีย์กำลังได้รับความนิยมในฐานะกลไกการตรวจสอบสิทธิ์ที่ปลอดภัยที่สุด ป้องกันฟิชชิงได้ และใช้งานง่ายที่สุด สำหรับนักพัฒนาแอป Android Credential Manager API จะช่วยแนะนําให้ผู้ใช้ใช้พาสคีย์ พร้อมทั้งยังคงรองรับกลไกการลงชื่อเข้าใช้แบบเดิม เช่น รหัสผ่าน

ในบล็อกนี้ เราจะพูดถึงแนวทางปฏิบัติแนะนำบางส่วนที่คุณควรทำตามขณะกระตุ้นให้ผู้ใช้เปลี่ยนไปใช้พาสคีย์

ทำความเข้าใจการตรวจสอบสิทธิ์ด้วยพาสคีย์

ก่อนที่จะไปดูคำแนะนำในการสนับสนุนให้เปลี่ยนไปใช้พาสคีย์ ต่อไปนี้คือภาพรวมของพื้นฐานการตรวจสอบสิทธิ์ด้วยพาสคีย์

• พาสคีย์: ข้อมูลเข้าสู่ระบบแบบเข้ารหัสที่ใช้แทนรหัสผ่าน พาสคีย์เชื่อมโยงกับกลไกการปลดล็อกอุปกรณ์ และเป็นวิธีการตรวจสอบสิทธิ์ที่แนะนำสำหรับแอปและเว็บไซต์
• Credential Manager: API ของ Jetpack ที่มีอินเทอร์เฟซ API แบบรวมสำหรับการโต้ตอบกับการตรวจสอบสิทธิ์ประเภทต่างๆ รวมถึงพาสคีย์ รหัสผ่าน และกลไกการลงชื่อเข้าใช้แบบรวม เช่น การลงชื่อเข้าใช้ด้วย Google

พาสคีย์ช่วยผู้ใช้ได้อย่างไร

ผู้ใช้จะได้รับประโยชน์ที่จับต้องได้หลายประการในแอปที่อนุญาตให้ใช้พาสคีย์เพื่อลงชื่อเข้าใช้ ไฮไลต์ของการใช้พาสคีย์สำหรับผู้ใช้มีดังนี้

• ประสบการณ์การลงชื่อเข้าใช้ที่ดีขึ้น: ผู้ใช้จะเห็น UI เดียวกันไม่ว่าจะใช้รหัสผ่าน พาสคีย์ หรือกลไกการลงชื่อเข้าใช้แบบรวมศูนย์ เช่น ลงชื่อเข้าใช้ด้วย Google
• ลดเวลาในการลงชื่อเข้าใช้: ผู้ใช้จะใช้กลไกการปลดล็อกโทรศัพท์ เช่น ข้อมูลไบโอเมตริก แทนการพิมพ์รหัสผ่าน ซึ่งจะช่วยให้ลงชื่อเข้าใช้ได้อย่างราบรื่น
• ความปลอดภัยที่ดียิ่งขึ้น: พาสคีย์ใช้วิทยาการเข้ารหัสคีย์สาธารณะเพื่อไม่ให้การละเมิดข้อมูลของผู้ให้บริการส่งผลกระทบต่อบัญชีที่ได้รับการปกป้องด้วยพาสคีย์ และอิงตาม API และโปรโตคอลมาตรฐานอุตสาหกรรมเพื่อให้มั่นใจว่าพาสคีย์จะไม่ตกเป็นเหยื่อของการโจมตีแบบฟิชชิง (อ่านเพิ่มเติมเกี่ยวกับการซิงค์และความปลอดภัยได้ที่นี่)
• ประสบการณ์การใช้งานที่รวมเป็นหนึ่งเดียวในอุปกรณ์ต่างๆ: ความสามารถในการซิงค์พาสคีย์ในอุปกรณ์ต่างๆ ช่วยให้ผู้ใช้ได้รับการตรวจสอบสิทธิ์ที่ง่ายขึ้นไม่ว่าอุปกรณ์ที่ใช้จะเป็นอะไรก็ตาม
• ไม่ต้องกังวลเรื่องรหัสผ่านที่ลืมอีกต่อไป

เราได้รับฟังความคิดเห็นจากแอปที่โดดเด่นหลายแอป ซึ่งเน้นย้ำถึงประสบการณ์การใช้งานที่ดียิ่งขึ้นด้วยพาสคีย์ X สังเกตเห็นว่าอัตราการเข้าสู่ระบบเพิ่มขึ้น2 เท่าหลังจากเพิ่มพาสคีย์ลงในขั้นตอนการตรวจสอบสิทธิ์ KAYAK ซึ่งเป็นเครื่องมือค้นหาการเดินทางพบว่าเวลาเฉลี่ยที่ผู้ใช้ใช้ในการลงชื่อสมัครใช้และลงชื่อเข้าใช้ลดลง 50% หลังจากที่รวมพาสคีย์เข้ากับขั้นตอนการตรวจสอบสิทธิ์ Zoho ซึ่งเป็นชุดซอฟต์แวร์บนระบบคลาวด์ที่ครอบคลุมซึ่งมุ่งเน้นด้านความปลอดภัยและประสบการณ์การใช้งานที่ราบรื่น เข้าสู่ระบบได้เร็วขึ้น 6 เท่าด้วยการใช้พาสคีย์ในแอป OneAuth Android

คุณจะได้อะไร

เมื่อย้ายข้อมูลแอปไปใช้พาสคีย์ คุณจะได้ใช้ประโยชน์จาก Credential Manager API ซึ่งเป็นมาตรฐานที่แนะนำสำหรับข้อมูลประจำตัวและการตรวจสอบสิทธิ์ใน Android

นอกเหนือจากพาสคีย์แล้ว Credential Manager API ยังรองรับกลไกการลงชื่อเข้าใช้แบบเดิม ซึ่งช่วยลดความซับซ้อนในการพัฒนาและบำรุงรักษาขั้นตอนการตรวจสอบสิทธิ์

สำหรับกลไกการลงชื่อเข้าใช้ทั้งหมดนี้ Credential Manager มี UI Bottom Sheet แบบผสานรวม ซึ่งช่วยให้คุณประหยัดความพยายามในการพัฒนาไปพร้อมๆ กับการมอบประสบการณ์ที่สอดคล้องกันให้แก่ผู้ใช้

คุณควรแจ้งให้ผู้ใช้ใช้พาสคีย์เมื่อใด

เมื่อทราบถึงประโยชน์ของพาสคีย์แล้ว เรามาพูดถึงวิธีที่คุณควรสนับสนุนให้ผู้ใช้ย้ายข้อมูลไปยังพาสคีย์กัน

ต่อไปนี้คือรายการโฟลว์ UX ที่คุณใช้โปรโมตพาสคีย์ได้

• การลงทะเบียนบัญชีผู้ใช้: แสดงข้อความแจ้งการสร้างพาสคีย์ในช่วงสำคัญ เช่น เมื่อผู้ใช้สร้างบัญชี

พรอมต์ตามบริบทระหว่างการสร้างบัญชี

• ลงชื่อเข้าใช้: เราขอแนะนำให้คุณกระตุ้นให้ผู้ใช้แจ้งพาสคีย์ในขณะที่ผู้ใช้ลงชื่อเข้าใช้ด้วย OTP, รหัสผ่าน หรือกลไกการลงชื่อเข้าใช้อื่นๆ

แจ้งให้สร้างพาสคีย์ระหว่างการลงชื่อเข้าใช้

• การกู้คืนบัญชี: เส้นทางของผู้ใช้ที่สำคัญ (CUJ) สำหรับการกู้คืนบัญชีเป็นเส้นทางที่สร้างความไม่สะดวกให้กับผู้ใช้มาโดยตลอด การแจ้งให้ผู้ใช้ใช้พาสคีย์ในระหว่างการกู้คืนบัญชีเป็นเส้นทางที่แนะนำ ผู้ใช้ที่ใช้พาสคีย์จะได้รับประสบการณ์การกู้คืนบัญชีที่คุ้นเคยเช่นเดียวกับการลงชื่อเข้าใช้

ขั้นตอนการกู้คืนบัญชี

• การรีเซ็ตรหัสผ่าน: นี่เป็นช่วงเวลาที่เหมาะที่สุดในการแจ้งให้ผู้ใช้สร้างพาสคีย์ หลังจากที่ผู้ใช้รู้สึกหงุดหงิดกับการรีเซ็ตรหัสผ่านแล้ว โดยปกติผู้ใช้จะเปิดรับความสะดวกและความปลอดภัยที่พาสคีย์มอบให้มากขึ้น

สร้างพาสคีย์เพื่อลงชื่อเข้าใช้ได้เร็วขึ้นในครั้งถัดไป

คุณควรสนับสนุนให้ผู้ใช้เปลี่ยนไปใช้พาสคีย์อย่างไร

การกระตุ้นให้ผู้ใช้เปลี่ยนจากรหัสผ่านไปใช้พาสคีย์ต้องมีกลยุทธ์ที่ชัดเจน แนวทางปฏิบัติแนะนำบางส่วนมีดังนี้

• คุณค่าที่นำเสนอที่ชัดเจน: ใช้พรอมต์ที่เรียบง่ายและมุ่งเน้นผู้ใช้เพื่ออธิบายประโยชน์ของพาสคีย์ ใช้ข้อความที่เน้นประโยชน์สำหรับผู้ใช้ เน้นย้ำสิทธิประโยชน์ต่อไปนี้
  • สิทธิประโยชน์ด้านความปลอดภัยที่ดียิ่งขึ้น เช่น ความปลอดภัยจากการฟิชชิง
  • ไม่ต้องพิมพ์รหัสผ่าน
  • ใช้พาสคีย์เดียวกันในอุปกรณ์/แพลตฟอร์มต่างๆ ได้
  • ประสบการณ์การตรวจสอบสิทธิ์ที่สอดคล้องกัน

ข้อความแจ้งพาสคีย์พร้อมคุณค่าที่นำเสนออย่างชัดเจน

• มอบประสบการณ์การใช้งานที่ราบรื่นให้แก่ผู้ใช้:
  • ใช้ UI แบบรวมที่ Credential Manager มีให้เพื่อแสดงตัวเลือกการลงชื่อเข้าใช้ทั้งหมดที่มี เพื่อให้ผู้ใช้เลือกวิธีการที่ต้องการได้โดยไม่ต้องจำว่าตนเองใช้วิธีการใดล่าสุด
  • ใช้ไอคอนพาสคีย์อย่างเป็นทางการเพื่อสร้างความคุ้นเคยของผู้ใช้และสร้างประสบการณ์ที่สอดคล้องกัน
  • ตรวจสอบว่าผู้ใช้สามารถกลับไปใช้วิธีการลงชื่อเข้าใช้แบบดั้งเดิมหรือวิธีการกู้คืน เช่น ชื่อผู้ใช้และรหัสผ่าน ในกรณีที่ไม่มีพาสคีย์หรือหากผู้ใช้ใช้อุปกรณ์อื่น
• ให้ความชัดเจนแก่ผู้ใช้เกี่ยวกับข้อมูลเข้าสู่ระบบภายใน UI การตั้งค่าของแอป: ตรวจสอบว่าผู้ใช้เข้าใจตัวเลือกการตรวจสอบสิทธิ์ของตนโดยแสดงข้อมูลที่เป็นประโยชน์เกี่ยวกับพาสคีย์แต่ละรายการในการตั้งค่าของแอป ดูข้อมูลเพิ่มเติมเกี่ยวกับการเพิ่มข้อมูลเมตาของเอกสารรับรองได้ที่เอกสารประกอบของ Credential Manager

ข้อมูลเมตาของพาสคีย์ในหน้าจอการตั้งค่าของแอป

• ให้ความรู้แก่ผู้ใช้: เสริมข้อความเพื่อนำพาสคีย์มาใช้ด้วยแหล่งข้อมูลด้านการศึกษาในแอปหรือลิงก์ที่อธิบายพาสคีย์อย่างละเอียด
• การเปิดตัวแบบค่อยเป็นค่อยไป: พิจารณาการเปิดตัวทีละขั้นเพื่อแนะนำพาสคีย์ให้กับกลุ่มย่อยของฐานผู้ใช้เพื่อรวบรวมความคิดเห็นและปรับปรุงประสบการณ์ของผู้ใช้ก่อนการเปิดตัวในวงกว้าง

กรณีศึกษาของนักพัฒนาแอป

ประสบการณ์ของนักพัฒนาแอปในโลกแห่งความเป็นจริงมักจะเน้นให้เห็นว่าตัวเลือกการออกแบบเล็กๆ น้อยๆ เช่น เวลาและสถานที่ที่จะแสดงข้อความแจ้งพาสคีย์ สามารถส่งผลต่อการยอมรับและความไว้วางใจของผู้ใช้ได้อย่างมาก หากต้องการดูตัวอย่างการใช้งานนี้ มาดูวิธีที่แอปยอดนิยมใช้กลยุทธ์ในการแสดงข้อความแจ้งพาสคีย์ในช่วงเวลาสำคัญในแอปเพื่อกระตุ้นการใช้งานให้มากขึ้นกัน

Uber

Uber โปรโมตพาสคีย์ในเส้นทางของผู้ใช้ต่างๆ อย่างต่อเนื่องควบคู่ไปกับกลยุทธ์ทางการตลาดเพื่อเร่งการใช้งานพาสคีย์

Uber กล่าวว่า "การลงทะเบียนพาสคีย์กว่า 90% มาจากการโปรโมตการสร้างพาสคีย์ในช่วงเวลาสำคัญภายในแอป เมื่อเทียบกับ CUJ การเริ่มต้นใช้งานและการตรวจสอบสิทธิ์" ซึ่งเน้นย้ำถึงประสิทธิภาพของกลยุทธ์เชิงรุก

บทเรียนและกลยุทธ์สำคัญจากการใช้งาน

• เสนอพาสคีย์โดยไม่รบกวนประสบการณ์หลักของผู้ใช้: Uber ได้เพิ่มประสบการณ์การตรวจสอบบัญชีใหม่ในการตั้งค่าบัญชีเพื่อเน้นประโยชน์ของพาสคีย์ ซึ่งส่งผลให้อัตราการใช้พาสคีย์สูง

ขั้นตอนการตรวจเช็คบัญชีผู้ใช้

• นำเสนอพาสคีย์ต่อผู้ใช้เชิงรุก: เราได้เรียนรู้ว่าไม่ควรรอให้ผู้ใช้ค้นพบพาสคีย์ด้วยตนเอง เนื่องจากหากพึ่งพาการยอมรับที่เกิดขึ้นเองตามธรรมชาติ การยอมรับก็จะช้าลงแม้ว่าจะมีข้อดีที่สังเกตได้ เช่น การลงชื่อเข้าใช้ที่เร็วขึ้นและอัตราการลงชื่อเข้าใช้สำเร็จที่เพิ่มขึ้นสำหรับผู้ใช้พาสคีย์
• ใช้สื่อเพิ่มเติมเพื่อโปรโมตพาสคีย์: Uber ยังทดลองโปรโมตพาสคีย์ผ่านแคมเปญอีเมลหรือแบนเนอร์ในหน้าจอบัญชีของผู้ใช้เพื่อไฮไลต์วิธีการลงชื่อเข้าใช้แบบใหม่ ซึ่งจะช่วยให้การลงชื่อเข้าใช้ครั้งถัดไปง่ายและปลอดภัยยิ่งขึ้น
• เคารพตัวเลือกของผู้ใช้: Uber ตระหนักว่าผู้ใช้บางรายอาจยังไม่พร้อมใช้พาสคีย์ จึงได้ใช้ตรรกะการถอยในขั้นตอนสำคัญ เช่น หน้าจอลงชื่อเข้าใช้และลงชื่อสมัครใช้ รวมถึงในบางบริบทก็เสนอพาสคีย์ควบคู่ไปกับวิธีการตรวจสอบสิทธิ์อื่นๆ ที่คุ้นเคย

Uber กล่าวว่า

"ที่ Uber เราเห็นว่าผู้ใช้ที่ใช้พาสคีย์ได้รับประสบการณ์การเข้าสู่ระบบที่รวดเร็ว ราบรื่น และปลอดภัยยิ่งขึ้น เราได้เพิ่มการแจ้งเตือนให้สร้างพาสคีย์ในช่วงเวลาสำคัญในประสบการณ์ของผู้ใช้ ได้แก่ การตั้งค่าบัญชี การลงชื่อสมัครใช้ และการเข้าสู่ระบบ เพื่อช่วยให้ผู้ใช้จำนวนมากขึ้นได้รับประโยชน์จากพาสคีย์ การติดต่อเชิงรุกเหล่านี้ช่วยเร่งการใช้พาสคีย์ได้อย่างมาก"

Ryan O’Laughlin วิศวกรซอฟต์แวร์อาวุโสของ Uber

Economic Times

Economic Times ซึ่งเป็นส่วนหนึ่งของระบบนิเวศ Times Internet ใช้ประสบการณ์ของผู้ใช้ที่ราบรื่นเป็นแรงจูงใจหลักให้ผู้ใช้เปลี่ยนไปใช้พาสคีย์

หลังจากเปิดตัวการกระตุ้นที่กำหนดเป้าหมายแล้ว Economic Times พบว่าอัตราการสร้างพาสคีย์ที่เสร็จสมบูรณ์เพิ่มขึ้นประมาณ 10% ภายในระยะเวลาการเปิดตัวครั้งแรก

บทเรียนและกลยุทธ์สำคัญจากการใช้งาน

• ข้อความแจ้งการสร้างพาสคีย์เชิงกลยุทธ์: ในตอนแรก Economic Times ได้แจ้งให้สร้างพาสคีย์อย่างจริงจังในโฟลว์ผู้ใช้หลายขั้นตอน แต่พบว่าแนวทางนี้ขัดขวางเส้นทางที่สำคัญต่อธุรกิจ เช่น การซื้อการสมัครใช้บริการหรือการปลดล็อกฟีเจอร์พรีเมียม และทำให้มีการละทิ้งรถเข็น
• แนวทางที่ปรับปรุงแล้ว: Economic Times ตัดสินใจโดยเจตนาที่จะนำข้อความแจ้งการสร้างพาสคีย์ออกจากโฟลว์ที่มีความละเอียดอ่อน (เช่น โฟลว์ขั้นตอนการชำระเงินสำหรับการสมัครใช้บริการ) เพื่อให้ความสำคัญกับการดำเนินการให้เสร็จสมบูรณ์ในทันที
• ข้อความแจ้งที่กำหนดเป้าหมาย: ข้อความแจ้งเหล่านี้จะรักษาการสร้างพาสคีย์อย่างมีกลยุทธ์ในพื้นที่ที่ผู้ใช้มีความตั้งใจที่จะลงชื่อเข้าใช้หรือจัดการการตรวจสอบสิทธิ์สูง เช่น ขั้นตอนการลงชื่อสมัครใช้ครั้งแรก หน้าลงชื่อเข้าใช้ที่ชัดเจน หรือส่วนการจัดการบัญชี
• ผลลัพธ์เชิงบวก: การปรับใช้ที่ได้รับการปรับปรุงนี้ส่งผลให้จำนวนการสร้างพาสคีย์เพิ่มขึ้น ซึ่งบ่งบอกถึงการยอมรับของผู้ใช้ที่แข็งแกร่งโดยไม่กระทบต่อประสบการณ์ของผู้ใช้ในขั้นตอนทางธุรกิจที่สำคัญ

หน้าจอการจัดการพาสคีย์

บทสรุป

การผสานรวมพาสคีย์กับ Credential Manager ของ Android ไม่ได้เป็นเพียงการนำเทคโนโลยีใหม่มาใช้ แต่เป็นการสร้างประสบการณ์ที่ปลอดภัย สะดวก และน่าพึงพอใจยิ่งขึ้นสำหรับผู้ใช้ การมุ่งเน้นที่การเปิดตัวพาสคีย์อัจฉริยะไม่ได้เพียงแค่รักษาความปลอดภัยของบัญชี แต่ยังสร้างความน่าเชื่อถือและเตรียมพร้อมกลยุทธ์การตรวจสอบสิทธิ์ของแอปพลิเคชันสำหรับอนาคตด้วย

โปรดทำตามหลักเกณฑ์ด้าน UX ขณะติดตั้งใช้งานการตรวจสอบสิทธิ์ด้วยพาสคีย์กับCredential Manager เพื่อมอบประสบการณ์การใช้งานที่ดีที่สุดและราบรื่นให้แก่ผู้ใช้ ดูเอกสารได้เลยวันนี้

• ตัวอย่างที่มีแนวทางปฏิบัติแนะนำด้าน UX
• ลงชื่อเข้าใช้ผู้ใช้ด้วย Credential Manager
• เอกสารอ้างอิง API - androidx.credentials
• การตรวจสอบสิทธิ์ของผู้ใช้ด้วยพาสคีย์
• ศูนย์ความปลอดภัยของ Google - พาสคีย์
• บล็อกความปลอดภัยของ Google: ความปลอดภัยของพาสคีย์ในเครื่องมือจัดการรหัสผ่านบน Google