As chaves de acesso são uma nova tecnologia usada para lidar com senhas. Se o seu foco é criar uma ótima experiência do usuário (UX), adicionar chaves de acesso como opção de autenticação vai facilitar a vida digital dos usuários e aumentar a segurança. As práticas recomendadas para chaves de acesso estão evoluindo, e seguir as orientações para jornadas comuns do usuário vai acelerar seu processo de desenvolvimento e garantir que os usuários tenham sucesso ao usar chaves de acesso.
Este artigo descreve recomendações para as seguintes jornadas do usuário:
- Como criar chaves de acesso
- Como criar novas contas com chaves de acesso
- Como fazer login com chaves de acesso
- Como gerenciar chaves de acesso
Essas recomendações são baseadas na pesquisa e orientação de UX da FIDO Alliance e no aprendizado da equipe de experiência do usuário do Google.
Todas as recomendações são mostradas no exemplo do Trailblazer, um site fictício de fitness.
Ao seguir as práticas recomendadas, você também deve testar a experiência do usuário cedo e com frequência, se possível. Isso vai ajudar a garantir que a implementação do sistema de chaves de acesso seja intuitiva e se alinhe às necessidades dos usuários.
Como criar chaves de acesso
Para garantir que os usuários tenham o jeito certo de criar uma chave de acesso, peça para fazer isso junto com tarefas relacionadas à conta. Há quatro jornadas principais do usuário em que é recomendado incluir uma opção para criar chaves de acesso:
- Durante o login.
- Na seção de segurança, nas configurações da conta.
- Após a recuperação da conta.
- Após reautorização.
Login
O processo de login é uma ótima oportunidade para apresentar as chaves de acesso, já que os usuários já estão focados na segurança e na autenticação neste momento da jornada.
O uso das chaves de acesso durante a fase de login permite que você prepare os usuários de maneira proativa para que tenham sucesso em interações futuras com seu serviço. Esse momento também proporciona um alto nível de confiança de que o usuário é de fato quem diz ser, melhorando a segurança geral e a experiência do usuário na sua plataforma.
Uma ótima jornada do usuário pode ser autenticar o usuário como de costume, informar que ele pode criar uma chave de acesso, acionar a caixa de diálogo do SO para a criação de chaves de acesso e informar que a chave de acesso foi criada com sucesso. Em seguida, deixe que o usuário siga em frente no próprio tempo.
Seção "Segurança" nas configurações da conta
A integração das opções de chave de acesso nas configurações de segurança da conta de um usuário é lógica e contextualmente apropriada. Isso permite que os usuários gerenciem e atualizem facilmente as chaves de acesso como parte da configuração de segurança geral. Também pode ser um ótimo momento para pedir informações de recuperação da conta do usuário, como um número de telefone ou e-mail.
Recuperação
A recuperação de conta é outra ótima oportunidade para incentivar um usuário a criar uma chave de acesso.
A recuperação nunca é um processo fácil e, nesses momentos, a maior preocupação é a segurança da conta. Quando a conta for restabelecida, você pode criar uma chave de acesso para os próximos logins para ajudar o usuário a se preparar.
Isso prepara o terreno para a segurança aprimorada e posiciona o usuário para uma experiência bem-sucedida e simplificada em interações futuras.
Reautorização
Às vezes, é necessário pedir que o usuário faça login novamente ou passe um desafio para que ele possa realizar ações confidenciais, como enviar dinheiro ou editar informações pessoais. Depois que um usuário verifica a própria identidade, essa pode ser uma oportunidade ideal para incentivar a criação de uma chave de acesso.
Essa oportunidade aproveita o aumento do reconhecimento de segurança do usuário, mas também promete um processo de reautenticação mais conveniente em interações futuras. A abordagem proativa aumenta a segurança geral da conta e promove uma experiência fácil de usar.
Cancelando a criação da chave de acesso
Informe claramente ao usuário se a criação da chave de acesso não foi bem-sucedida e considere implementar um recurso que permita o feedback do usuário para entender possíveis problemas, como no produto, por e-mail ou em outro caminho.
Além disso, ofereça um caminho direto para o usuário tentar de novo o processo de criação ou acessar novamente e criar uma nova chave de acesso no futuro, por exemplo, nas configurações de segurança. Essa abordagem garante que, mesmo que um usuário cancele intencionalmente ou não a criação da chave de acesso, haja um caminho para tentar novamente.
Como criar novas contas com chaves de acesso
Ao criar uma nova conta com uma chave de acesso, pode ser útil levar o usuário a uma página designada em que ele possa inserir um nome de exibição e um nome de usuário exclusivo. Uma página designada pode remover distrações e colocar o foco na meta principal. Depois, vá para a etapa de criação da chave de acesso.
Se um usuário estiver criando uma conta com uma chave de acesso, é importante definir um método de recuperação para a conta. Isso pode ser por número de telefone, e-mail, login de rede social, como o "Fazer login com o Google", ou outra opção que funcione bem para você. A melhor opção pode variar de acordo com as informações demográficas e as preferências específicas da sua base de usuários. Dependendo dos requisitos de segurança necessários para seu aplicativo, também é possível fazer a comprovação de identidade como parte da criação de uma nova conta.
Esse método alternativo vai servir como uma forma de recuperar a conta caso a criança perca o acesso à chave de acesso ou faça login em um dispositivo em que essas chaves ainda não estão disponíveis. Isso ajuda a garantir que os usuários sempre tenham acesso às contas.
Como fazer login com chaves de acesso
As chaves de acesso oferecem opções de login flexíveis: insira seu nome de usuário ou selecione em uma lista de chaves de acesso para seu domínio. Para ter acesso rápido e sem erros, use o recurso WebAuthn de apresentar uma lista de chaves de acesso de um determinado domínio. Ele apresenta as chaves de acesso diretamente, reduzindo o tempo gasto e a necessidade de digitação.
Como criar a página de login
A criação de uma página de login eficaz deve enfatizar a velocidade, a conveniência e a facilidade de compreensão do usuário.
Pode ser útil usar o recurso de preenchimento automático em navegadores da Web modernos para oferecer chaves de acesso aos usuários ou fazer uma integração com a API Credential Manager para que a chave de acesso seja oferecida o mais cedo possível na jornada.
Oferecer várias opções de login, como campos de nome de usuário e senha, além de diversos logins em redes sociais, pode oferecer versatilidade aos usuários, mas também pode ser desgastante. Priorize as opções e apresente as mais úteis para sua base de usuários. Embora as chaves de acesso possam ter taxas de uso mais baixas no momento, elas melhoram a segurança e a experiência do usuário, e cada vez mais usuários as adotam a cada dia. Implementar chaves de acesso hoje coloca você no caminho certo para ter sucesso no futuro.
Se você estiver integrando um botão separado para chaves de acesso, verifique se ele está alinhado à sua estética e identidade.
Como gerenciar chaves de acesso
Usar a palavra "Criar"
O uso da palavra "Criar" descreve melhor o processo de gerar uma chave de acesso nova e exclusiva. Ao contrário de uma senha, uma conta pode ter várias chaves de acesso que podem ser usadas para fazer login. Assim, uma chave de acesso geralmente não é modificada como uma senha, mas sim criada e adicionada à lista de chaves de acesso disponíveis. Os usuários podem excluí-las conforme necessário.
Quando uma chave de acesso é criada, ela é uma credencial exclusiva que os usuários podem usar para fazer login com facilidade e segurança. Não é como oferecer a um app ou serviço uma cópia da sua senha para armazenar e encontrar uma correspondência.
Facilitar que os usuários encontrem chaves de acesso no seu serviço
Mostre com clareza a origem de cada chave de acesso (às vezes chamada de "procedência" neste contexto), seja ela o Gerenciador de senhas do Google, as Chaves do iCloud, o Windows Hello ou um gerenciador de terceiros compatível com chaves de acesso. A comunicação dessas informações aos usuários os ajuda a identificar quais chaves de acesso estão listadas na interface do usuário.
Adicione um número a outras chaves de acesso no mesmo ecossistema
Se um usuário criar mais de uma chave de acesso em dispositivos do mesmo ecossistema, adicione números a outras chaves para que o usuário possa diferenciá-las.
Usar o termo "excluir" ao remover uma chave de acesso
Se um usuário quiser remover uma chave de acesso que usa no seu site, você poderá remover a chave pública do seu servidor, mas a chave privada não será excluída do gerenciador de credenciais do usuário nem do dispositivo dele. Embora esse processo seja tecnicamente uma "revogação", para simplificar e facilitar a localização, é recomendável usar o termo "excluir" na interface de gerenciamento de chaves de acesso.
Se você tiver páginas de suporte para o gerenciamento da conta, adicione informações sobre como gerenciar chaves de acesso a elas e inclua links para páginas de gerenciamento de chaves de acesso em diferentes plataformas, como Chrome e iOS.
Ter um e-mail ou telefone substituto
Se você tiver um e-mail ou smartphone substituto, o usuário terá uma forma de recuperar a conta se excluir todas as chaves de acesso. Você pode enviar um link de login ou um código para recuperar o acesso à conta. Você também pode oferecer aos usuários a configuração de um login de rede social, como o Fazer login com o Google.
Como gerenciar várias chaves de acesso
Ao contrário das senhas tradicionais, um usuário pode criar várias chaves de acesso em dispositivos diferentes para uma única conta. Se não for possível localizar a chave de acesso de um usuário em um determinado dispositivo e o usuário fizer login usando um método alternativo, mesmo que ele já tenha criado uma, peça para criar uma nova. Essa ação vai atualizar as informações no gerenciador de credenciais ou estabelecer uma nova chave de acesso no dispositivo atual.
Diagramas de jornada do usuário do FIDO
Para mais exemplos e diagramas detalhados da jornada do usuário, confira os diagramas de arquitetura de UX do FIDO.