パスキー管理のUI:すべてのパスキータイプの組み合わせに関するベストプラクティス
概要
トピック:コンシューマー、複数のパスキータイプ、パスキー管理インターフェイス
カスタマージャーニー: 認知 > 検討 > 登録 > 管理 > 認証
作成日:2024年5月24日
同じユーザーインターフェイスに存在する異なるパスキータイプを「パスキー」の見出しの下で管理します。
異なるパスキータイプの管理を追加する
本ページでは、同じユーザーインターフェイスに存在する異なるパスキータイプを「パスキー」の見出しの下で管理する機能を追加する手順について解説します。
- パスキーはスマートフォンやノートパソコンなどのデバイス、またはセキュリティキーで利用可能です。
- ブラウザとオペレーティングシステム(OS)で使われるAPIは、すべてのパスキーの種類(パスキータイプ)で同じです。
- スマートフォンとノートパスコンを含むほとんどのデバイスでは、クレデンシャル・マネージャーに同期されるパスキーを保存します。これを専門用語で「同期パスキー」と呼びます。ただし、エンドユーザーに向けてデバイス上のすべてのパスキータイプを指す用語を用いる場合は、(デバイス上の)「パスキー」とします。
- ほとんどのハードウェア・セキュリティキーには、クラウドサービスまたはサーバーと同期されていないパスキーが含まれます。これを専門用語で「デバイス固定パスキー」と呼びます。ただし、エンドユーザーに向けてセキュリティキー上のすべてのパスキータイプを指す用語を用いる場合は、「セキュリティキー」(上のパスキー)とします。
- エンドユーザー向けのパスキー管理インターフェイスを作成する際には、(デバイス上の)「パスキー」と「セキュリティキー」(上のパスキー)を使用し、エンドユーザー向けではない「同期パスキー」や「デバイス固定パスキー」などの専門用語は避けましょう。
結果
- すべてのパスキータイプに対応するエンドユーザー向けインターフェイスの簡素化。
- パスキーとAPIの長期的方向性の一致。
- パスキーとAPIが提供するあらゆるオプションを活用。
フロー:追加前
ユーザーデバイスまたはセキュリティキー上の異なるタイプのパスキー管理は、同じインターフェイス内の「パスキー」の見出しの下に存在します。
エンドユーザーは、デバイス(ノートパスコンやスマホ)とセキュリティキー(USBキー)のアイコンは便利で直観的であると感じています。一部のユーザーはまだ、パスキー とハードウェア・セキュリティキーの関連性について認識していません。そのため 、セキュリティキーの登録をより見つけやすくするには、セキュリティキーの使用に個別のCTA (call to action) を用い、そのCTAにUSBセキュリティキーアイコンを含めるようにしましょう。
フロー:追加後
ユーザーデバイスまたはセキュリティキー上の異なるパスキータイプにおけるエンドユーザー管理は、同じインターフェイス内の「パスキー」の見出しの下に存在します。
ノートパソコンやスマホなどのユーザーデバイス上のパスキーは、「デバイス上のパスキー」という見出しの下にグループ化されます。ハードウェアのセキュリティキー上にあるパスキーは、「セキュリティキー上のパスキー」の見出しの下にグループ化され、デバイス上のパスキーを保存するクレデンシャル・マネージャーのアイコン(ロゴ)で表示します。セキュリティキー上のパスキーには、このUSBセキュリティキーのアイコン(ロゴ)を使いましょう。
フロー:将来の展望
時間の経過とともにパスキーが人々に受け入れられ、さらに追加のブラウザAPI制御 が導入されるにつれて、デバイスまたはセキュリティキー上ですべてのパスキータイプを作成する単一のCTA (call to action) を使用します。
このアプローチを採用する場合、登録前にセキュリティキーの名前を付けるよう要求するプロンプトは使用できません。登録後に、セキュリティキーの名前を付けるよう要求してください。
フロー:動画
フロー:プロトタイプ
全画面表示にするには、プロトタイプの上にマウスを置き、展開アイコンを選択します。
コンテンツ
ユーザーによってテストされた内容の例文をコピーし、ニーズに合わせて編集します。
パスキー
パスキーは作成すると、お使いのスマホやノートパソコンなどのデバイス上またはセキュリティキー上で保存できます。
デバイス上のパスキーを使用すれば、複雑なパスワードを覚える必要はありません。パスキーは、あなたの指紋や顔、あるいは画面ロックを使用して作成したデジタルキーに同期されます。ほとんどのパスキーはクレデンシャル・マネージャーに保存されるため、その他のデバイスでサインインするときにも使用できます。
セキュリティキーを使用すると、暗号化されたデジタルキーが小型の専用デバイスに保存されます。後で登録したキーが分かるように、セキュリティキーにニックネームを付けましょう。詳しく知る。
パスキーを作成する
セキュリティキーを使用する
UXリサーチ
ユーザーエクスペリエンスに関するリサーチにより、ユーザーはパスキーをスマートフォン、ノートパソコン、またはUSBキーに存在する技術的要素として認識していることが分かりました(要約)。また、同リサーチでは、参加者にさまざまな種類のパスキーを作成・使用してもらう動機づけとして、利用可能なパスキーの種類を説明する明確で簡潔なメッセージが効果的であることも明らかになりました。
- パスキーのオプションがユーザーアカウントの設定内にあり、認証方式に隣接して目立つように表示され、プラットフォーム全体で一貫したスタイルになっていることを確認します。
- デバイス上のパスキー(スマートフォンやノートパソコン)と セキュリティキー(USBキー)には、一般的に周知されているアイコンを使用します。
- パスキーの概念は段階的に紹介します。まずは基本的な利点と使用手順から始め、詳細を知りたい方のために「詳しく知る」リンクを記載します。「詳細」の内容に関する詳細は、「セキュリティキーに対する認証オプションとしての認識」を参照してください。
展開戦略
- セキュリティキー上のパスキー をサポートするサービスプロバイダーは、まだ デバイス上のパスキー に対応していない 場合でも、管理インターフェイスを「パスキー」という見出しの下に配置する必要があります。
- デバイス上のパスキーとセキュリティキー上のパスキーをサポートしているサービスプロバイダーは、同じユーザーインターフェイス内の「パスキー」という見出しの下でこれらを管理できるようにする必要があります。見出しには必ずパスキーのアイコンを使用してください。
- 時間の経過とともにパスキーが人々の間で普及するにつれ、サービスプロバイダーはあらゆるタイプのパスキーを作成できる単一のCTA (call to action) を使用できるようになります。
エコシステム
Windowsに保存されたパスキーは デバイスに固定 されており、デバイス間で同期されません。
セキュリティ
- FIDOアライアンスは類似のリサーチを実施し、デバイス上のパスキーの使用が、セキュリティキー上のパスキーの使用の増加につながることを示唆する調査結果を得ました。
- FIDOアライアンスは、セキュリティキー上のパスキーが認証セキュリティにおけるゴールドスタンダードであると認識しています。
- デバイス上のパスキーは当人認証保証レベル2 (AAL2) に分類できます。
- セキュリティキー上のパスキーは当人認証保証レベル3 (AAL3) に分類できます。
- 米国の連邦情報処理標準 (FIPS) では、セキュリティを4つのレベルに分類し、組織が特定のセキュリティ要求条件を満たすパスキーを選択できるようにしています。
- セキュリティレベルを最大限に高めるには、認定された セキュリティキー上のパスキー を使用します。これらのパスキーにはさまざまな認定レベルがありますが、一部は厳格なFIPS標準を満たしているものもあり、精緻なセキュリティ要求条件に従って信頼性の高い保護を提供します。
- WebAuthnではセキュリティフラグを採用し、認証を特定のシナリオに合わせて調整することで、ユーザープレゼンス (UP)、ユーザー検証 (UV)、バックアップの適格性、バックアップ状態などのアクションに対するセキュリティを強化します。