As chaves de acesso são uma nova tecnologia em um mundo acostumado a senhas. Se você se concentrar em criar uma ótima experiência do usuário (UX), adicionar chaves de acesso como uma opção de autenticação vai facilitar e proteger a vida digital dos usuários. As práticas recomendadas para chaves de acesso estão evoluindo. Seguir as orientações para jornadas comuns do usuário vai acelerar seu processo de desenvolvimento e garantir que os usuários consigam usar as chaves de acesso.
Este artigo descreve recomendações para as seguintes jornadas do usuário:
- Criar chaves de acesso
- Como criar novas contas com chaves de acesso
- Como fazer login com chaves de acesso
- Gerenciar chaves de acesso
Essas recomendações são baseadas em pesquisas e orientações de UX da FIDO Alliance e nos aprendizados da equipe de experiência do usuário do Google.
Todas as recomendações são mostradas no exemplo do Trailblazer, um site de fitness fictício.
Ao seguir as práticas recomendadas, teste a experiência do usuário com frequência e o mais cedo possível. Isso vai ajudar a garantir que a implementação do sistema de chaves de acesso seja intuitiva e esteja alinhada às necessidades dos usuários.
Criar chaves de acesso
Para garantir que os usuários estejam com a mentalidade certa para criar uma senha de acesso, peça que eles criem senhas de acesso junto com tarefas relacionadas à conta. Há quatro jornadas principais do usuário em que é recomendável incluir a opção de criar chaves de acesso:
- Durante o processo de login.
- Na seção "Segurança" das configurações da conta.
- Após a recuperação da conta.
- Após a reautorização.
Login
O processo de login é uma ótima oportunidade para apresentar as chaves de acesso, já que os usuários estão focados em segurança e autenticação nesse momento da jornada.
Ao apresentar as chaves de acesso durante a fase de login, você prepara os usuários para o sucesso em futuros engajamentos com seu serviço. Esse tempo também se alinha a um alto nível de confiança de que o usuário é quem ele diz ser, melhorando a segurança geral e a experiência do usuário da sua plataforma.
Uma ótima jornada do usuário pode ser autenticar o usuário como de costume, informar que ele pode criar uma chave de acesso, acionar a caixa de diálogo do SO para criação da chave e informar que ela foi criada com sucesso. Depois, deixe o usuário seguir no próprio ritmo.
Seção "Segurança" nas configurações da conta
Integrar opções de chaves de acesso nas configurações de segurança da conta de um usuário é lógico e contextualmente adequado. Isso permite que os usuários gerenciem e atualizem facilmente as chaves de acesso como parte da configuração geral de segurança. Também é um bom momento para pedir informações de recuperação da conta, como um número de telefone ou e-mail.
Recuperação
A recuperação de conta é outra ótima oportunidade para incentivar um usuário a criar uma chave de acesso.
A recuperação nunca é um processo fácil, e nesses momentos a importância da segurança da conta provavelmente está em primeiro plano. Depois que eles voltarem, você pode ajudar um usuário a se preparar para o sucesso criando uma chave de acesso para logins futuros.
Isso prepara o terreno para uma segurança aprimorada e posiciona o usuário para uma experiência bem-sucedida e simplificada em interações futuras.
Reautorização
Às vezes, é necessário pedir que um usuário faça login novamente ou passe por um desafio antes de realizar ações sensíveis, como enviar dinheiro ou editar informações pessoais. Depois que um usuário verifica a identidade, essa pode ser uma oportunidade ideal para incentivar a criação de uma chave de acesso.
Essa oportunidade aproveita o aumento da conscientização do usuário sobre segurança, mas também promete um processo de reautenticação mais conveniente em interações futuras. A abordagem proativa aumenta a segurança geral da conta e promove uma experiência fácil de usar.
Cancelar a criação de chaves de acesso
Informe claramente ao usuário se a criação da chave de acesso não foi concluída e considere implementar um recurso que permita o feedback do usuário para entender possíveis problemas (isso pode ser no produto ou até mesmo por e-mail ou outro caminho).
Além disso, ofereça um caminho simples para que o usuário tente o processo de criação novamente ou acesse e crie uma nova chave de acesso no futuro, como nas configurações de segurança. Essa abordagem garante que, mesmo que um usuário tenha cancelado intencionalmente ou não a criação da chave de acesso, haja uma maneira de tentar de novo.
Como criar novas contas com chaves de acesso
Ao criar uma conta com uma chave de acesso, é útil direcionar o usuário para uma página designada em que ele possa inserir um nome de exibição e um nome de usuário exclusivo. Uma página designada pode remover distrações e focar no objetivo principal. Em seguida, crie a chave de acesso.
Se um usuário estiver criando uma conta com uma chave de acesso, é importante estabelecer um método de recuperação para ela. Isso pode ser por número de telefone, e-mail, login social, como "Fazer login com o Google", ou outra opção que funcione bem para você. A melhor opção pode variar dependendo dos dados demográficos e das preferências específicas da sua base de usuários. Dependendo dos requisitos de segurança necessários para seu aplicativo, talvez você também queira fazer a comprovação de identidade como parte da criação de uma nova conta.
Esse método de backup serve para recuperar a conta caso o usuário perca o acesso à chave de acesso ou faça login em um dispositivo em que as chaves de acesso ainda não estão disponíveis. Isso ajuda a garantir que os usuários sempre tenham acesso às contas.
Como fazer login com chaves de acesso
As chaves de acesso oferecem opções de login flexíveis: digite seu nome de usuário ou selecione em uma lista de chaves de acesso para seu domínio. Para um acesso rápido e sem erros, use o recurso WebAuthn de apresentar uma lista de chaves de acesso para um determinado domínio. Ele mostra as chaves de acesso diretamente, reduzindo o tempo gasto e a necessidade de digitação.
Como criar a página de login
Ao criar uma página de login eficaz, é importante enfatizar a velocidade, a conveniência para o usuário e a facilidade de compreensão.
É útil usar o recurso de preenchimento automático em navegadores da Web modernos para oferecer chaves de acesso aos usuários ou fazer uma integração completa com a API Credential Manager para que a chave de acesso seja oferecida o mais cedo possível na jornada.
Oferecer várias opções de login, como campos de nome de usuário e senha, além de uma variedade de logins sociais, pode ser versátil para os usuários, mas também pode ser confuso. Priorize as opções e apresente as mais úteis para sua base de usuários. Embora as chaves de acesso possam ter taxas de uso mais baixas no momento, elas melhoram a segurança e a experiência do usuário, e mais e mais usuários as adotam todos os dias. Implementar chaves de acesso hoje coloca você no caminho certo para o sucesso futuro.
Se você estiver integrando um botão separado para chaves de acesso, verifique se ele está alinhado de forma coesa com sua estética e identidade.
Gerenciar chaves de acesso
Usar a palavra "Criar"
Usar a palavra "Criar" descreve melhor o processo de geração de uma nova chave de acesso exclusiva. Ao contrário de uma senha, uma conta pode ter várias chaves de acesso que podem ser usadas para fazer login. Por isso, uma chave de acesso geralmente não é alterada como uma senha, mas criada e adicionada à lista de chaves de acesso disponíveis. Um usuário pode excluir conforme necessário.
Quando uma chave de acesso é criada, ela é uma credencial exclusiva que os usuários podem usar para fazer login com facilidade e segurança. Não é como dar a um app ou serviço uma cópia da sua senha para armazenar e corresponder.
Facilite a localização das chaves de acesso no seu serviço
Mostre claramente a origem de cada chave de acesso (às vezes chamada de "proveniência" neste contexto), seja o Gerenciador de senhas do Google, as Chaves do iCloud, o Windows Hello ou um gerenciador de senhas de terceiros que ofereça suporte a chaves de acesso. Ao comunicar essas informações aos usuários, você os ajuda a identificar quais chaves de acesso estão listadas na interface.
Adicionar um número a outras chaves de acesso no mesmo ecossistema
Se um usuário criar mais de uma chave de acesso em dispositivos do mesmo ecossistema, adicione números às chaves extras para que ele possa diferenciá-las.
Use o termo "excluir" ao remover uma senha de acesso
Se um usuário quiser remover uma chave de acesso que estava usando no seu site, você poderá remover a chave pública do seu servidor, mas a chave privada não será excluída do gerenciador de credenciais do usuário nem do dispositivo dele. Embora esse processo seja tecnicamente uma "revogação", para simplificar e facilitar a localização, recomendamos usar o termo "excluir" na interface de gerenciamento de chaves de acesso.
Se você tiver páginas de suporte para gerenciamento de contas, adicione informações sobre como gerenciar chaves de acesso e inclua links para páginas de gerenciamento de chaves de acesso em diferentes plataformas, como Chrome e iOS.
Ter um e-mail ou telefone alternativo
Se você tiver um e-mail ou telefone alternativo, o usuário poderá recuperar a conta se excluir todas as chaves de acesso. Você pode enviar um link de login ou um código para que eles recuperem a conta. Você também pode oferecer aos usuários a opção de configurar um login social, como o Login do Google.
Gerenciar várias chaves de acesso
Ao contrário das senhas tradicionais, um usuário pode criar várias chaves de acesso em dispositivos diferentes para uma única conta. Se você não conseguir localizar a chave de acesso de um usuário em um determinado dispositivo e ele fizer login usando um método alternativo, mesmo que tenha criado uma no passado, peça para ele criar uma nova. Essa ação vai atualizar as informações no gerenciador de credenciais ou estabelecer uma nova chave de acesso no dispositivo atual.
Diretrizes de experiência do usuário da FIDO
Para mais exemplos e diagramas detalhados da jornada do usuário, confira as diretrizes de UX da FIDO para chaves de acesso e logins.