パスキーを使用した新しいアカウント作成
概要
トピック:コンシューマー、パスキー、アカウント作成
カスタマージャーニー:AWARENESS> 考慮事項> 登録> 管理> 認証
作成日:2023年5月6日
パスキー(パスワードなし)で新しいアカウントを作成できるようにします。(パスワードなしのアカウント)
パスキーを使用した新しいアカウント作成の追加
- アカウント作成のためにユーザー名の登録を求めますが、パスワード設定のためのフィールドは表示しません。
- パスキーを作成することはアカウント作成の一部であることを説明し、パスキーに対する関心と信頼を高めます。
- パスキーは新しいものですが、顔認証や指紋認証でのサインインは、馴染みがあり、多くの人に信頼されています。
- セキュリティポリシーとビジネスニーズに基づいて、フォールバック認証方法を含めます。
- コンシューマー向けの多くのサービスは「userverifcation」要件を「優先」に設定します。たとえば、Google のサインインは「優先」を使用します。
結果
- パスワードを作成する必要性を削除することによりアカウントの作成時間を短縮し、パスキー作成の成功を増やします。
- フィッシング耐性のある認証の使用を増やし、複数の認証ステップなしで当人認証保証レベル 2(AAL2)を達成します。
- パスキーがクラウドサービスに同期され、ユーザーのデバイス全体でパスワードレスのサインインを有効にできるので、アカウントの回復の懸念を軽減します。
- SMS OTP などの認証方法を排除することにより、ユーザー認知負荷を軽減します。
フロー:概略図
フロー手順
- サインインまたはアカウントの作成ボタンを選択します。
ホームページで、ユーザーが認証されていない状態にある場合、サインインまたは新しいアカウントを作成できるように1つの、見つけやすいアクションの呼びかけを表示します。 - ID(DigitalBizの場合は電子メール)を入力して、サインインまたはアカウントを作成します。
ユーザーがサインインまたはアカウントの作成ボタンを選択したら、サインインまたはアカウントの作成という見出しのあるページを表示します。メールアドレスというタイトルの編集可能なテキストフィールドには、 電子メールアドレスを入力してくださいというアクションへの呼びかけが表示され、アカウントのサインインまたは作成を開始できます。有効なメールアドレスを入力する前に、続行というタイトルのアクションボタンを表示�して、メールアドレスの入力がアカウントにサインインまたはアカウントを作成するための最初のステップであることを強調します。有効なメールアドレスを入力した場合は、続行ボタンを実行可能な状態に表示します。メールアドレスがシステムによって認識されていない場合は、入力されたメールアドレスに関連付けられた新しいアカウントを作成します。 - 表示されたメールアドレスを確認して、アカウントを作成します。
パスキー作成OSダイアログを表示する前に、表示されているメールアドレスでアカウントが作成されることを強調するページを表示します。見出しアカウントの作成と説明テキスト…を使用してアカウントを作成しますを表示し、ユーザーがパスキーのなじみのない概念に遭遇する前に、アカウント作成が順調に進んでいることを伝えて安心してもらいます。ユーザーが独自の ID を確認または更新できるようにして、アカウントの作成の成功を支援します。 - 表示されているメールアドレスのパスキーを作成します。
パスキーの OS ダイアログを表示し、ユーザーが指定されたメールアドレスのパスキーを作成するか、またはその作成を拒否するか選択できるようにします。(Androidでは続行ボタン、iOSでは確認ボタンを選択して)ユーザーがパスキーの作成を選択した場合、モバイル OS は認証に画面ロックを使用するよう要求します。Android のユーザーはキャンセルボタンを選択すると、パスキーの作成を拒否できます。iOS ユーザーの場合は、ダイアログの右上にあるXを�選択することでパスキーの作成を拒否できます。パスキーが正常に作成された場合、OS からパスキーの作成確認メッセージが表示され、自動的に消えます。追加の操作は必要ありません。 - アカウント作成の確認:オーバーレイを閉じるかアカウントの確認を表示します。
すべてのユーザーに対して(パスキーを作成したユーザーとパスキーの作成を拒否したユーザーの両方)、アカウント作成確認メッセージをホームページの上にオーバーレイを介して表示し、認証されたプロファイルアイコンを表示します。ブランドの声とトーンに一致するようこその見出しでリードします。この時点で、すべてのユーザー(パスキー作成を選択したユーザーと選択しなかったユーザー)は認証されます。主要アクションとして[アカウントを見る]ボタンを表示し、設定内で新しいパスキーに関する情報を表示したり、無効にしたりできるよう誘導します。すべての利用可能なサインインの手段を一覧で表示します。また、ダイアログを閉じるXアフォーダンスを表示し、ユーザーがサイトの活動を開始できるようにします。 - アカウント設定でパスキーカードを表示します。
ステップ 5 のアカウントの表示ボタンを選択した場合は、セキュリティ設定に移動します。新しいアカウントでパスキーが作成されたことを確認するには、 チェックマークの付いたパスキーのロゴと「パスキーが作成されました」というテキストを表示し、パスキーを表示というリンクを表示し��、設定 ページからパスキーの カード まで移動します。サインイン オプション という見出しの下で、パスキーやパスキーが利用できない場合に選択する代替方法など、サイトでの認証に使用できるすべての手段を指定します。パスキーを無効にするオプションをユーザーに提供し、パスキーを無効にした後にアカウントにアクセスする方法を説明するメッセージを含めます。たとえば、パスキーを無効にすると、パスワードまたは DigitalBiz からメールアドレスに送信されるコードを使用してサインインすることになります。 パスキーは、コンシューマーにとって新しい用語、新しい視覚アイコン、および新しい認証手段です。可能な場合は、パスキーを慣れ親しんだ概念、ビジュアル、体験と比較することで、パスキーの性質と価値を理解できるようにしてください。たとえば、デバイス アイコンやロック アイコンの横にパスキー アイコン (不明) を使用します。設定では、パスキーを使用する理由、パスキーとは何か、パスキーがどこに保存されるかを説明するメッセージが永続的に表示されます。
フロー:動画
フロー:Android向けプロトタイプ
全画面表示にするには、プロトタイプの上にマウスを置き、展開アイコンを選択します。
フロー:iOS向けプロトタイプ
全画面表示にするには、プロトタイプの上にマウスを置き、展開アイコンを選択します。
コンテンツ
ユーザーがテストしたボタンのラベルとフレーズについて、どれが役立ったかを学びます。ニーズに合わせて内容の例文をコピーし、編集してください。
パ�スキーを使用する必要があるのはなぜですか?
パスキーを使用すると、複雑なパスワードを覚える必要がありません。
パスキーとは何ですか?
パスキーは、指紋、顔、または画面ロック認証を使用して作成する暗号化されたデジタル キーです。
パスキーはどこに保存されますか?
パスキーはクレデンシャル・マネージャーに保存されるため、他のデバイスでサインインできます。
UXリサーチ
-
ホームページでは、ユーザーが認証されていない状態の場合、サインインとアカウント作成の両方に対して 1 つのアフォーダンスを提供します。
調査によると、ユーザーがサインインを選択した後にアカウント作成オプションを表示するよりも、サインインとアカウント作成オプションを組み合わせた方が、DigitalBiz でアカウント作成のアクションを見つけやすくなることがわかりました。さらに、参加者の中には、アカウントを持っているかどうかわからないことがあると報告した人もおり、多目的ボタンが彼らのニーズを満たしていることが分かりました。
-
パスワードフィールドを削除します。
調査によると、サインインとアカウント作成の両方のプロセスを、メールアドレスの入力を求めるプロンプトのみ (パスワード フィールドなし) で開始すると、アカウント作成とパスキーによるサインインはパスワードを必要としないシンプルで短いプロセスであるという認識が促進されることが分かりました。この方法は、ID 優先アプローチまたはホーム領域検出と呼ばれることもあります。
-
アカウント作成の一環としてパスキーを作成することで、パスキーに対する関心と信頼が高まるという、信頼関係のある当事者 (RP) からの保証。
調査によると、パスワードの代わりに(見慣れない)パスキーを作成するように求められたことは、アカウント作成の仕組みに関する参加者の期待に反するものでした。アカウント作成設計の初期段階をテストしたところ、手順 2 (メール アドレスを入力してサインインするかアカウントを作成する) から、なじみのない [パスキーの作成] OS ダイアログ (手順 4) に直接移動すると、手順は短くなるものの、参加者が混乱することがわかりました。これにより、アカウントを作成する正しい手順を踏んでいるかがわからず、パスキーを作成する前にアカウントの作成を断念する参加者もいました。
-
パスキーは新しいものですが、顔認証や指紋認証でのサインインは、馴染みがあり、多くの人に信頼されています。
調査によると、パスワードの代わりに(見慣れない)パスキーを作成するように求められたことは、アカウント作成の仕組みに関する参加者の期待に反するものでした。参加者の誰もパスキーについて聞いたことがなく、当初は新しいアカウントに関連するパスキーの性質と目的について不安を表明した参加者が数多くいました。
参加者のほとんどは、パスキーの作成 OS ダイアログのテキストとシンボルに基づいて、パスキーは、OS がパスワードの代わりにデバイスの認証システム (顔やタッチなど) を使用して ID を確認する新しいサインイン オプションであると推測しました。モバイル アプリや認証情報マネージャーを使用した過去の経験に基づいて、顔認証やタッチ認証によるサインインは、多くの参加者にとって使い慣れた信頼できるプロセスであり、スピーディー、簡単、安全であると認識されていました。参加者の何人かは、顔や指紋認証によるサインインはパスワードを使用するよりも速くて簡単であり、生体認証はハッキングが困難な独自の ID であると述べました。
-
「画面ロック」は多くのコンシューマーにとって馴染みのない用語であったため、PIN、パス�コード、またはパターンを使用しているユーザーにとって、パスキーが現在のデバイス設定でも機能することを認識するのが困難でした。
調査によると、多くの参加者が「画面ロック」という言葉の意味が分からないと自発的に述べていました。この理解不足は、パスキー対応デバイスで PIN、パスコード、またはパターンを画面ロックとして使用するコンシューマーにとって、パスキー導入の障壁となる可能性があります。
-
プライバシーとセキュリティに関する懸念は、一部のコンシューマーにとってパスキーの導入を妨げる潜在的な要因となります。
調査によると、多くの参加者は、モバイルアプリで顔や指紋認証でサインインした際のポジティブな経験に基づいてパスキーの作成に抵抗がないと回答しましたが、プライバシーとセキュリティに関する懸念から、パスキーの作成を拒否する参加者もいました。
一部の参加者は、パスキーを単一要素認証と見なし、パスワードとコードまたはリンクを使用する MFA よりも安全性が低いと感じていました。消極的な参加者の中には、情報がどこに保存され、誰がアクセスできるのか(Apple、Google、あるいは他のRP)が不明なため、顔や指紋認証、PIN、またはパスコードを使用してモバイルベースのショッピング サイトにサインインすることに不安を感じている人もいました。パスキーの利用が一般的になるにつれて、これらのプライバシーとセキュリティに関する懸念は、アカウント作成プロセス以外の教育を通じて対応できるようになることでしょう。
サイトで新しいアカウントを作成しようとする人の中には、パスキーの作成を拒否する人もいることを想定してください。パスキーの作成を拒否するユーザーの場合は、パスキーの作成から別の認証モデルに適切にフォールバックできるようにします。
導入戦略
サービスプロバイダーは、最初はユーザーがアカウント設定からのみパスキーを作成できるようにする段階的な導入戦略を選択することができます。ニーズに合わせた独自のパスキーサインイン・エクスペリエンスに関するデータを収集しながら、パスキーを作成できる機会(アカウント作成時など)を拡大していきます。
エコシステム
- パスキーには、ユーザーのデバイス上で特定のハードウェアまたはソフトウェアサポートが必要になる場合があります。ユーザーがパスキーの使用に必要な互換性要件を認識していることを確認し、互換性のあるデバイスとブラウザに関するガイダンスを提供してください。
- ネイティブのモバイルアプリでは、パスキーを使用したサインインと長年利用されてきた生体認証によるサインイン・エクスペリエンスは異なります。パスキーを使用したサインインでは、追加のタップが必要です。
セキュリティ
DigitalBizでは問題が発生した場合、スムーズにメールのOTPに切り替えます。適切なフォールバックオプションを選択する際は、企業独自の安全目標と事業目標に一致する必要があります。独自の安全・業務ニーズに従って、UX計画を策定してください。本ガイドラインでは、同期パスキーを使用するFIDOに特有のUX概念に焦点を当て、 全体を通じて、さまざまな形式の身元確認とFIDO以外の認証例を記載しています。本ガイドラインは、身元確認やその他の非FIDO認証メカニズムに関するセキュリティガイドラインの規定を意図するものではありません。これらのセキュリティガイドラインは、各サービス事業者 (RP) に合わせて、独自の業務ニーズと安全方針を基に策定されるものだからです。
