Khoá truy cập là một công nghệ mới trong một thế giới quen với việc sử dụng mật khẩu. Nếu tập trung vào việc tạo ra trải nghiệm người dùng (UX) tuyệt vời, thì việc thêm khoá truy cập làm một lựa chọn xác thực sẽ giúp cuộc sống số của người dùng trở nên dễ dàng và an toàn hơn. Các phương pháp hay nhất cho khoá truy cập đang phát triển và việc tuân theo hướng dẫn cho hành trình phổ biến của người dùng sẽ giúp đẩy nhanh quá trình phát triển và đảm bảo người dùng sử dụng khoá truy cập thành công.
Bài viết này trình bày các đề xuất cho những hành trình sau đây của người dùng:
- Tạo khoá truy cập
- Tạo tài khoản mới bằng khoá truy cập
- Đăng nhập bằng khoá truy cập
- Quản lý khoá truy cập
Những đề xuất này dựa trên hướng dẫn và nghiên cứu về trải nghiệm người dùng của FIDO Alliance cũng như những hiểu biết của nhóm trải nghiệm người dùng tại Google.
Tất cả các đề xuất đều xuất hiện trong ví dụ về Trailblazer, một trang web hư cấu về thể dục.
Trong khi làm theo các phương pháp hay nhất, bạn cũng nên kiểm thử trải nghiệm người dùng sớm và thường xuyên nếu có thể. Việc này sẽ giúp đảm bảo việc triển khai hệ thống khoá truy cập của bạn diễn ra một cách trực quan và phù hợp với nhu cầu của người dùng.
Tạo khoá truy cập
Để đảm bảo người dùng có tâm lý phù hợp để tạo khoá truy cập, hãy nhắc họ tạo khoá truy cập cùng với các tác vụ liên quan đến tài khoản. Có 4 hành trình chính của người dùng mà bạn nên thêm lựa chọn tạo khoá truy cập:
- Trong quá trình đăng nhập.
- Trong phần bảo mật của phần cài đặt tài khoản.
- Sau khi khôi phục tài khoản.
- Sau khi uỷ quyền lại.
Đăng nhập
Quy trình đăng nhập là cơ hội tuyệt vời để giới thiệu khoá truy cập vì người dùng đã tập trung vào vấn đề bảo mật và xác thực tại thời điểm này trong hành trình của họ.
Việc giới thiệu khoá truy cập trong giai đoạn đăng nhập giúp bạn chủ động chuẩn bị cho người dùng để họ có thể tương tác thành công với dịch vụ của bạn trong tương lai. Thời điểm này cũng phù hợp với mức độ tin cậy cao rằng người dùng thực sự là người mà họ tuyên bố, giúp nâng cao tính bảo mật tổng thể và trải nghiệm người dùng của nền tảng.
Một hành trình tuyệt vời của người dùng có thể là xác thực người dùng như bình thường, cho họ biết rằng họ có thể tạo khoá truy cập, kích hoạt hộp thoại hệ điều hành để tạo khoá truy cập, rồi cho họ biết rằng khoá truy cập đã được tạo thành công. Sau đó, hãy để người dùng tiếp tục theo thời gian của riêng họ.
Mục Bảo mật trong phần cài đặt tài khoản
Việc tích hợp các lựa chọn về khoá truy cập trong phần cài đặt bảo mật của tài khoản người dùng là hợp lý và phù hợp theo ngữ cảnh. Nhờ đó, người dùng có thể dễ dàng quản lý và cập nhật khoá truy cập trong cấu hình bảo mật tổng thể của họ. Đây cũng có thể là thời điểm thích hợp để yêu cầu người dùng cung cấp thông tin khôi phục cho tài khoản của họ, chẳng hạn như số điện thoại hoặc email.
Khôi phục
Khôi phục tài khoản là một cơ hội tuyệt vời khác để khuyến khích người dùng tạo khoá truy cập.
Khôi phục tài khoản không bao giờ là một quy trình dễ dàng và trong những khoảnh khắc đó, người dùng có thể sẽ nghĩ ngay đến tầm quan trọng của việc bảo mật tài khoản. Sau khi họ đăng nhập lại, bạn có thể giúp người dùng thiết lập khoá truy cập để đăng nhập trong tương lai.
Điều này tạo tiền đề cho việc tăng cường bảo mật và giúp người dùng có trải nghiệm thành công và đơn giản trong các lượt tương tác sau này.
Uỷ quyền lại
Đôi khi, bạn cần yêu cầu người dùng đăng nhập lại hoặc vượt qua một thử thách trước khi họ có thể thực hiện các hành động nhạy cảm như gửi tiền hoặc chỉnh sửa thông tin cá nhân. Sau khi người dùng xác minh thành công danh tính của họ, đây có thể là cơ hội lý tưởng để khuyến khích người dùng tạo khoá truy cập.
Cơ hội này tận dụng việc người dùng nâng cao nhận thức về bảo mật, đồng thời hứa hẹn một quy trình xác thực lại thuận tiện hơn trong các lượt tương tác sau này. Phương pháp chủ động này giúp tăng cường khả năng bảo mật chung cho tài khoản, đồng thời mang lại trải nghiệm thân thiện với người dùng.
Huỷ quá trình tạo khoá truy cập
Thông báo rõ ràng cho người dùng nếu họ không tạo được khoá truy cập và cân nhắc triển khai một tính năng cho phép người dùng gửi ý kiến phản hồi để hiểu rõ các vấn đề tiềm ẩn (tính năng này có thể nằm trong sản phẩm hoặc thậm chí thông qua email hoặc một cách khác).
Ngoài ra, hãy cung cấp một lộ trình đơn giản để người dùng thử lại quy trình tạo hoặc truy cập lại và tạo một khoá truy cập mới trong tương lai, chẳng hạn như từ phần cài đặt bảo mật. Phương pháp này đảm bảo rằng ngay cả khi người dùng cố ý hoặc vô tình huỷ quá trình tạo khoá truy cập, họ vẫn có thể thử lại.
Tạo tài khoản mới bằng khoá truy cập
Khi tạo tài khoản mới bằng khoá truy cập, bạn nên đưa người dùng đến một trang được chỉ định để họ có thể nhập cả tên hiển thị và tên người dùng duy nhất. Một trang được chỉ định có thể loại bỏ các yếu tố gây xao lãng và tập trung vào mục tiêu chính. Sau đó, hãy thực hiện bước tạo khoá truy cập.
Nếu người dùng đang tạo tài khoản bằng khoá truy cập, thì bạn cần thiết lập một phương thức khôi phục cho tài khoản của họ. Bạn có thể đăng nhập bằng số điện thoại, email, tính năng đăng nhập bằng mạng xã hội (chẳng hạn như Đăng nhập bằng Google) hoặc một lựa chọn khác phù hợp với bạn. Lựa chọn phù hợp nhất có thể thay đổi tuỳ thuộc vào nhân khẩu học và lựa chọn ưu tiên cụ thể của cơ sở người dùng. Tuỳ thuộc vào các yêu cầu bảo mật cần thiết cho ứng dụng của mình, bạn cũng có thể muốn xác minh danh tính trong quá trình tạo tài khoản mới.
Phương thức dự phòng này sẽ giúp họ khôi phục tài khoản nếu mất quyền truy cập vào khoá truy cập hoặc đăng nhập trên một thiết bị chưa hỗ trợ khoá truy cập. Điều này giúp đảm bảo người dùng luôn có thể truy cập vào tài khoản của họ.
Đăng nhập bằng khoá truy cập
Khoá truy cập cung cấp các lựa chọn đăng nhập linh hoạt: nhập tên người dùng hoặc chọn trong danh sách khoá truy cập cho miền của bạn. Để truy cập nhanh chóng và không gặp lỗi, hãy thử sử dụng tính năng WebAuthn để trình bày danh sách khoá truy cập cho một miền nhất định. Tính năng này trình bày trực tiếp các khoá truy cập, giúp giảm thời gian và không cần nhập.
Thiết kế trang đăng nhập
Khi thiết kế một trang đăng nhập hiệu quả, bạn nên chú trọng đến tốc độ, sự thuận tiện cho người dùng và mức độ dễ hiểu.
Bạn có thể tận dụng tính năng tự động điền trong các trình duyệt web hiện đại để cung cấp khoá truy cập cho người dùng hoặc tích hợp sâu với Credential Manager API để cung cấp khoá truy cập sớm nhất có thể trong hành trình.
Việc cung cấp nhiều lựa chọn đăng nhập như trường tên người dùng và mật khẩu cùng với nhiều lựa chọn đăng nhập bằng tài khoản mạng xã hội có thể mang lại sự linh hoạt cho người dùng, nhưng cũng có thể khiến họ cảm thấy choáng ngợp. Ưu tiên các lựa chọn và trình bày lựa chọn hữu ích nhất cho cơ sở người dùng của bạn. Xin lưu ý rằng mặc dù hiện tại khoá truy cập có thể có tỷ lệ sử dụng thấp hơn, nhưng chúng giúp cải thiện tính bảo mật và trải nghiệm người dùng, đồng thời ngày càng có nhiều người dùng sử dụng khoá truy cập. Việc triển khai khoá truy cập ngay hôm nay sẽ giúp bạn đi đúng hướng để đạt được thành công trong tương lai.
Nếu bạn đang tích hợp một nút riêng cho khoá truy cập, hãy đảm bảo nút đó phù hợp với tính thẩm mỹ và danh tính của bạn.
Quản lý khoá truy cập
Sử dụng từ "Tạo"
Việc sử dụng từ "Tạo" mô tả rõ hơn quy trình tạo một khoá truy cập mới và duy nhất. Không giống như mật khẩu, một tài khoản có thể có nhiều khoá truy cập mà bạn có thể dùng để đăng nhập. Do đó, khoá truy cập thường không được thay đổi như mật khẩu, mà thay vào đó được tạo và thêm vào danh sách khoá truy cập hiện có. Người dùng có thể xoá các tệp này khi cần.
Khi được tạo, khoá truy cập là một thông tin đăng nhập duy nhất mà người dùng có thể sử dụng để đăng nhập một cách dễ dàng và an toàn. Cách này không giống như việc bạn cung cấp cho một ứng dụng hoặc dịch vụ bản sao mật khẩu của bạn để lưu trữ và so khớp.
Giúp người dùng dễ dàng tìm thấy khoá truy cập trong dịch vụ của bạn
Hiện rõ nguồn của từng khoá truy cập (đôi khi được gọi là "nguồn gốc" trong ngữ cảnh này), cho dù đó là Trình quản lý mật khẩu của Google, Chuỗi khoá iCloud, Windows Hello hay một trình quản lý mật khẩu bên thứ ba hỗ trợ khoá truy cập. Việc truyền đạt thông tin này cho người dùng sẽ giúp họ xác định được những khoá truy cập nào xuất hiện trong giao diện người dùng.
Thêm số điện thoại vào các khoá truy cập khác trong cùng hệ sinh thái
Nếu người dùng tạo nhiều khoá truy cập trên các thiết bị thuộc cùng một hệ sinh thái, hãy thêm số vào các khoá truy cập bổ sung để người dùng có thể phân biệt chúng.
Sử dụng thuật ngữ "xoá" khi loại bỏ một khoá truy cập
Nếu người dùng muốn xoá một khoá truy cập mà họ đang sử dụng trên trang web của bạn, thì bạn có thể xoá khoá công khai khỏi máy chủ của mình nhưng khoá riêng tư sẽ không bị xoá khỏi trình quản lý thông tin đăng nhập của người dùng hoặc trên thiết bị của họ. Mặc dù quy trình này về mặt kỹ thuật là "thu hồi", nhưng để đơn giản và dễ bản địa hoá hơn, bạn nên dùng thuật ngữ "xoá" trong giao diện người dùng quản lý khoá truy cập.
Nếu bạn có trang hỗ trợ quản lý tài khoản, hãy thêm thông tin về cách quản lý khoá truy cập vào các trang đó và thêm đường liên kết đến các trang quản lý khoá truy cập trên nhiều nền tảng như Chrome và iOS.
Có email hoặc số điện thoại dự phòng
Nếu bạn có email hoặc số điện thoại dự phòng, thì người dùng có thể khôi phục tài khoản của họ nếu xoá tất cả khoá truy cập. Bạn có thể gửi cho họ một đường liên kết đăng nhập hoặc mã để họ truy cập lại vào tài khoản của mình. Bạn cũng có thể đề nghị người dùng thiết lập một phương thức đăng nhập bằng tài khoản mạng xã hội, chẳng hạn như Đăng nhập bằng Google.
Quản lý nhiều khoá truy cập
Không giống như mật khẩu truyền thống, người dùng có thể tạo nhiều khoá truy cập trên các thiết bị khác nhau cho một tài khoản. Nếu bạn không tìm thấy khoá truy cập của người dùng trên một thiết bị nhất định và người dùng đăng nhập bằng phương thức đăng nhập dự phòng, mặc dù họ đã tạo khoá truy cập trước đây, hãy cân nhắc việc nhắc người dùng tạo một khoá truy cập mới. Thao tác này sẽ cập nhật thông tin trong trình quản lý thông tin đăng nhập của họ hoặc thiết lập một khoá truy cập mới trên thiết bị hiện tại.
Nguyên tắc về trải nghiệm người dùng FIDO
Để xem thêm ví dụ và sơ đồ chi tiết về hành trình của người dùng, hãy xem hướng dẫn về trải nghiệm người dùng FIDO cho khoá truy cập và quy trình đăng nhập.