在数字安全变得越来越重要的今天，密码已成为众所周知的薄弱环节，不仅使用起来很麻烦，而且往往不安全，让用户和开发者都感到沮丧。不过，好消息是：通行密钥正日益普及，成为最易于使用、最能防范钓鱼式攻击且最安全的身份验证机制。对于 Android 开发者，Credential Manager API 可帮助您引导用户使用通行密钥，同时确保继续支持传统登录机制（例如密码）。

在这篇博文中，我们将讨论一些最佳实践，帮助您鼓励用户改用通行密钥。

了解使用通行密钥进行身份验证

在深入了解有关鼓励用户改用通行密钥的建议之前，我们先来简要了解一下通行密钥身份验证的基础知识：

• 通行密钥：这些是可替代密码的加密凭据。通行密钥与设备解锁机制相关联，是建议的应用和网站身份验证方法。
• Credential Manager：一种 Jetpack API，可为与不同类型的身份验证（包括通行密钥、密码和联合登录机制（如“使用 Google 账号登录”））进行交互提供统一的 API 接口。

通行密钥对用户有何帮助？

在允许用户使用通行密钥登录的应用中，用户可以享受到多项实实在在的好处。用户使用通行密钥的优势如下：

• 改进的登录体验：无论用户使用密码、通行密钥还是联合登录机制（例如“使用 Google 账号登录”），都能获得相同的界面。
• 缩短登录时间：用户无需输入密码，只需使用手机解锁机制（例如生物识别信息）即可登录，从而获得顺畅的登录体验。
• 安全性更高：通行密钥使用公钥加密技术，因此服务提供商的数据泄露不会导致受通行密钥保护的账号受到威胁；通行密钥基于行业标准 API 和协议，可确保其不受钓鱼式攻击。（如需详细了解同步和安全，请点击此处）。
• 跨设备统一体验：由于通行密钥可在设备之间同步，因此无论用户使用哪种设备，都能享受简化的身份验证流程。
• 忘记密码不再是问题！

为了强调通行密钥带来的改进体验，我们采访了多款知名应用。X 发现，在身份验证流程中添加通行密钥后，登录成功率提高了 2 倍。旅游搜索引擎 KAYAK 发现，在将通行密钥纳入其身份验证流程后，用户注册和登录所需的平均时间缩短了 50%。Zoho 是一套全面的云端软件套件，专注于安全性和顺畅体验，通过在其 OneAuth Android 应用中采用通行密钥，将登录速度提升了 6 倍。

这对您有哪些好处？

将应用迁移为使用通行密钥时，您将利用 Credential Manager API，这是 Android 上身份和身份验证的推荐标准。

除了通行密钥之外，Credential Manager API 还支持传统的登录机制，从而简化了身份验证流程的开发和维护！

对于所有这些登录机制，Credential Manager 都会提供集成的底部工作表界面，从而节省您的开发工作量，同时为用户提供一致的体验。

何时应提示用户使用通行密钥？

既然我们已经了解通行密钥的优势，接下来就来讨论一下如何鼓励用户改用通行密钥。

以下列出了您可以在其中宣传通行密钥的用户体验流程：

• 用户账号注册：在重要时刻（例如用户创建账号时）引入通行密钥创建提示：

账号创建期间的上下文提示

• 登录：我们建议您鼓励用户在通过动态密码、密码或其他登录机制登录后立即提示用户创建通行密钥。

在登录期间提示创建通行密钥

• 账号恢复：账号恢复的关键用户历程 (CUJ) 一直以来都会给用户带来不便。建议在账号恢复期间提示用户采用通行密钥。采用通行密钥的用户在账号恢复时会获得与登录时类似的体验。

账号恢复流程

• 重设密码：这是提示用户创建通行密钥的绝佳时机；在重设密码的挫败感过后，用户通常会更愿意接受通行密钥带来的便利性和安全性。

创建通行密钥，以便下次更快登录

您应如何鼓励用户改用通行密钥？

若要鼓励用户从密码过渡到通行密钥，需要制定明确的策略。以下是一些推荐的最佳实践：

• 清晰的价值主张：使用简单且以用户为中心的提示来解释通行密钥的好处。使用突出显示用户益处的广告内容。强调以下优势：
  • 提升了安全性，例如可防范钓鱼式攻击。
  • 无需输入密码。
  • 能够在不同设备/平台之间使用相同的通行密钥。
  • 一致的身份验证体验。

包含明确价值主张的通行密钥提示

• 提供顺畅的用户体验：
  • 使用 Credential Manager 提供的统一界面显示所有可用的登录选项，让用户可以选择自己喜欢的方法，而无需记住上次使用的是哪种方法。
  • 使用官方通行密钥图标来帮助用户熟悉通行密钥，并打造一致的体验。
  • 确保在通行密钥不可用或用户使用其他设备时，用户可以回退到传统登录方法或恢复方法（例如用户名和密码）。
• 在应用的“设置”界面中清晰地向用户说明凭据：确保用户了解自己的身份验证选项，方法是在应用的设置中显示有关每个通行密钥的实用信息。如需详细了解如何添加凭据元数据，请参阅Credential Manager 文档。

应用“设置”界面中的通行密钥元数据

• 教育用户：通过应用内教育资源或链接来补充有关采用通行密钥的消息，详细说明通行密钥。
• 逐步推出：考虑分阶段推出通行密钥，先面向小部分用户推出，收集反馈并改进用户体验，然后再大范围发布。

开发者案例研究

实际开发者的经验往往表明，细微的设计选择（例如何时何地显示通行密钥提示）可能会对采用率和用户信任度产生重大影响。为了直观了解这一点，我们来探索一下热门应用如何在应用中的关键时刻策略性地显示通行密钥提示，以推动用户更广泛地采用通行密钥：

Uber

为了加快通行密钥的普及，Uber 除了制定营销策略外，还在各种用户历程中主动推广通行密钥。

Uber 分享道：“与新用户引导和身份验证 CUJ 相比，在应用内的重要时刻推广通行密钥创建，可促成 90% 以上的通行密钥注册”，这凸显了其主动策略的有效性。

从他们的实施中可以总结出以下重要经验和策略：

• 在不影响核心用户体验的情况下提供通行密钥：Uber 在其账号设置中添加了新的账号检查体验，以突出显示通行密钥的优势，从而实现了较高的通行密钥采用率。

用户账号检查流程

• 主动向用户介绍通行密钥：他们了解到，不能等待用户自行发现通行密钥，因为尽管通行密钥用户可以更快地登录，登录成功率也更高，但依靠自然采用会比较慢。
• 使用其他媒介宣传通行密钥：Uber 也在尝试通过邮件宣传活动或用户账号屏幕上的横幅来宣传通行密钥，以突出显示这种新的登录方式，让用户下次登录时更加轻松安全。
• 尊重用户的选择：Uber 意识到并非所有用户都已准备好使用通行密钥，因此在登录、注册屏幕等关键流程中实现了退避逻辑，并在某些情况下将通行密钥与其他熟悉的身份验证方法一起提供。

以下是 Uber 的回应：

“在 Uber，我们发现采用通行密钥的用户可以享受更快、更顺畅、更安全的登录体验。为了让更多用户受益于通行密钥，我们在用户体验的关键时刻（账号设置、注册和登录）添加了创建通行密钥的提示。这些主动联系显著加快了我们对通行密钥的采用速度。”

Ryan O’Laughlin，Uber 高级软件工程师

Economic Times

Economic Times 是 Times Internet 生态系统的一部分，将顺畅的用户体验作为用户改用通行密钥的主要动力。

在推出有针对性的提示后，《经济时报》发现，在初始推出期内，通行密钥创建完成率提高了约 10%。

从他们的实施中可以总结出以下重要经验和策略：

• 战略性通行密钥生成提示：最初，《经济时报》在多个用户流程中积极提示用户创建通行密钥，但观察发现，这种方法会中断订阅购买或解锁高级功能等业务关键流程，并导致用户放弃购物车。
• 改进方法：《经济时报》做出了深思熟虑的决定，从敏感流程（例如订阅结账流程）中移除了通行密钥生成提示，以优先完成即时操作。
• 有针对性的提示：在用户有意登录或管理身份验证的区域（例如初始注册流程、明确的登录页面或账号管理部分）策略性地维护通行密钥生成。
• 积极成果：这种精细的部署方式可提高通行密钥生成数量，表明用户采用率很高，同时不会影响关键业务流程中的用户体验。

通行密钥管理界面

总结

将通行密钥与 Android 的 Credential Manager 集成不仅仅是采用新技术，更是要为用户打造从根本上更安全、更便捷、更出色的体验。通过专注于智能通行密钥导入，您不仅可以保护账号安全，还可以建立信任并为应用的身份验证策略做好未来准备。

为了给用户提供最佳、优化且顺畅的体验，请在通过 Credential Manager 实现通行密钥身份验证时遵循用户体验指南。立即查看相关文档！

• 采用用户体验最佳实践的示例
• 使用 Credential Manager 让用户登录
• API 参考文档 - androidx.credentials
• 使用通行密钥进行用户身份验证
• Google 安全中心 - 通行密钥
• Google 安全博客：Google 密码管理工具中通行密钥的安全性