FIDO AllianceFIDO Alliance
FIDO AlliancePasskey CentralAuthenticate Conference
Skip to main content

サービスプロバイダーのアカウント設定からパスキーを削除する

概要

トピック:コンシューマー、パスキー、WebAuthn、パスキー管理、アカウント設定
カスタマージャーニー認知 > 検討 > 登録 > 管理 > 認証
作成日:2024年5月24日

ユーザーがアカウント設定からパスキーを削除できるようにします。

アカウント設定からパスキーを削除する機能を追加する

  • アカウント設定のパスキーカード・アフォーダンス内でパスキーを削除するオプションを表示する。
  • パスキーの削除を続行する前に、ユーザーの意図を確認する確認ダイアログを含める。
  • 今後のアクセスを効率化するために、クレデンシャル・マネージャーからパスキーを削除するようユーザーに知らせる。
  • 唯一のパスキーを削除する際は、
    • 移行を導き、ロックアウトを防止するために、フォールバックの認証手段についてユーザーに知らせる。
    • より便利で安全な認証手段としてのパスキーの価値を説明する。
  • ユーザーの気が変わった場合、または削除が誤って開始された場合を考慮して、パスキーの削除をキャンセルするオプションを含める。
  • ユーザーにアクションが正常に行われたことを伝える完了メッセージを表示し、パスキーが削除されたことを確認する。

結果

  • ユーザーがセキュリティ設定をコントロールし、パスキーを削除できるようにすることで、信頼と満足度が高まる。
  • パスキーを忘れた場合、またはパスキーの紛失や侵害に関わる要求の処理に必要なサポートに掛かる費用とリソースが削減される。
  • パスキーが紛失、盗難、または危殆化した場合、削除パターンがあることで不正アクセスや悪用の可能性を防ぐのに役立つ。
  • 確認ダイアログを使用することで、偶発的なアクションを防止し、必要な情報を提供して、ユーザーエクスペリエンスの向上につながる。
    • [唯一のパスキーを削除するシナリオ] ユーザーが唯一のパスキーを削除する場合、フォールバックの認証手段について通知し、アクセスと継続的な使用をサポートして、ワークフローやアクセスの中断を防止する。
    • [唯一のパスキーを削除するシナリオ] ユーザーが唯一のパスキーを削除するときにパスキーの価値について通知することは、自分のアクションがセキュリティに与える影響を確実に理解し、かつパスキーの使用維持を推奨するのに役立つ。
  • [オプションステップ] クレデンシャル・マネージャーからパスキーを削除するオプションがあることをユーザーに伝えることで、削除プロセスを徹底し、認証の失敗や煩わしさを防ぐ。

フロー:概略図

フロー手順

  1. ユーザーがアカウント設定に移動し、パスキーカードを確認する。
    パスキーを管理するために、ユーザーはアカウント設定に移動して、登録しているパスキーを確認します。
  2. ユーザーがパスキーを削除することを決定し、削除プロセスを開始する。
    パスキーはFIDO UXワーキンググループによって精巧に作られたパスキーデザイン、図像、およびそれらを形成するメッセージを使用して、カードに表示されます。作られたパスキーカードでは、信頼性を高め、パスキーが有効で利用可能であることをユーザーに伝えるメタデータやメッセージ、オプションを提供します。各パスキーカードには、[削除]ボタンを有効にすることでパスキーを削除できるオプションがあります。ユーザーは、登録されているパスキーカードから各パスキーに表示される情報を確認し、削除するパスキーを決定します。ユーザーは[削除]ボタンを選択して、削除プロセスを開始します。
  3. 削除または代替ダイアログの確認
    1. パスキーの削除を開始する前に、システムがユーザーに決定を確認するよう求めます。
      ユーザーがパスキーカードを使用して[削除]ボタンを選択した後、システムは確認ダイアログを表示して、意図の確認やその結果について説明します。リサーチでは、二重確認メカニズムがユーザーに追加の保護と保証を与え、偶発的または不正なアクションの防止につながることが分かりました。
    2. 確認ダイアログの構成は、サインイン用のフォールバック・パスキーがあるかどうか、つまり、最後のパスキーか、それとも複数あるうちの1つのパスキーかによって異なります。
      唯一のパスキーである場合、FIDO推奨の確認ダイアログには「キャンセル」と「パスキーを削除する」の2つのラベルが付いた明確なCTAが含まれます。ユーザーが[キャンセル]ボタンで削除プロセスをキャンセルした場合、システムは削除プロセスを終了し、オーバーレイを削除します。そうでない場合、ユーザーは削除プロセスを続行します。
  4. パスキーが正常に削除されたことをシステムが確認する。
    システムがパスキーの削除を確認すると、パスキーが正常に削除されたことを伝える確認メッセージが表示されます。FIDO推奨の確認メッセージには、次の内容が含まれます。1つ目は、「パスキーが削除されました」という見出しで、ユーザーに削除プロセスの結果について即時に知らせます。2つ目は「このパスキーはどのデバイスでも使用できなくなりました」というメッセージを表示して、ユーザーに削除プロセスの影響について伝えることで、セキュリティ設定に関して十分な情報に基づいて決定を下せるようサポートし、パスキー管理の重要性を強調します。3つ目は、表示されるモーダルにボックスで囲んだ追加情報を含め、それを使ってコンシューマーにクレデンシャル・マネージャーからパスキーを削除する推奨オプションを提示します。この推奨事項は混乱を避け、ユーザーが保存した認証資格情報と実際のアカウント設定の一貫性を確保するのに役立ちます。あくまでも任意のステップとして、ボックスには「オプションステップ」とはっきりラベル付けすることで明確さを高め、ユーザーが関心を持つよう促します。4つ目は、「OK」のラベルが付いた明確なCTAを表示して、確認メッセージを読んだ後に続行できることをユーザーに示し、削除プロセスが完了したことを強調します。ユーザーは [OK] ボタンを選択して、確認メッセージのオーバーレイを閉じます。5つ目は、「パスキーを本当に削除しますか?」を見出しにすることで、削除の決定が開始されていることにユーザーの意識を向けます。パスキーにスポットライトを当てることで、ユーザーが削除しようとしているパスキーの情報を確認できるようにします。

フロー:動画

フロー:プロトタイプ

tip

全画面表示にするには、プロトタイプの上にマウスを置き、展開アイコンを選択します。

コンテンツ

ユーザーによってテストされた内容の例文をコピーし、ニーズに合わせて編集します。


このパスキーを本当に削除しますか?


パスキーを削除しますか?

最後のパスキーを削除しようとしています。今後は、パスワードまたはメール認証でのみサインインが可能となります。

アカウントのサインインにはパスキーを使用することをお勧めします。パスキーの方が安全性が高く、パスワードや6桁のコードを覚える必要がないためです。


パスキーが削除されました

今後、このパスキーはどのデバイスでも使用することはできません。

オプションステップ

クレデンシャル・マネージャーがパスキーを要求しないよう、お使いのクレデンシャル・マネージャーからパスキーを削除することをお勧めします。

UXリサーチ

ユーザーエクスペリエンスに関するリサーチでは、参加者にパスキーを削除するアフォーダンスを提供することで、専門知識や技術的専門性の必要なしに、ユーザーのオーナーシップ意識を強化し、パスキーの利便性とアクセシビリティを向上させることが明らかになりました。

2つの反復調査における参加者は、技術的問題に応じたパスキーの更新や、不要あるいは使用しなくなったパスキーの削除など、メンテナンス目的でパスキーを管理していると報告しました。さらに参加者は、信頼性やプライバシーへの懸念がパスキーの削除に関する決定に大きな影響を与えていると述べています。

「Googleのパスワード・マネージャーなどに侵害等の問題が発生した場合、パスキーは削除します。」

— フェーズ3 - 参加者4(43歳)、Android (Chrome)

リサーチでは、削除プロセスを開始する際に二次的な確認手順あるいは検証手順を設けることで、エラーや意図しない結果、悔やまれるアクションが生じる可能性を減らすのに役立つことが分かりました。確認ダイアログによって参加者は自らの選択を再考でき、また追加の保護と保証を提供することで、全体的なサービスの利便性と信頼性の強化につながったのです。

「本当に削除したいかダブルチェックを受けましたが、これは良い機能だと思いますし、続けてほしいです。」

— フェーズ2 - 参加者4(31歳)、iPhone (Safari)

参加者はアカウントに関連付けられた唯一のパスキーを削除する際、すぐにメッセージでフォールバックの認証手段を確認したことで、安心感を得ることができました。

参加者は、パスキーに関する情報を表示するモーダルについて、パスキーの価値をリマインドするのに効果的であると評価しました。またメッセージに関しては、パスキーが持つその安全性と、パスワードやコードを覚える必要がない便利さという2つの主要な利点を強調するのに効果的だったと報告していています。

「あの黄色いボックスは、何が起きたかをただ簡潔に説明し、明らかに『目立って』いました。パスキーを削除する際に覚えておくべきことがあるとするなら、それは、パスキーがあれば6桁のコードを使ったり、パスワードを覚えたりする必要がないということです。」

— フェーズ3 - 参加者6(32歳)、Android (Chrome)

ユーザーへの調査によると、ほとんどの参加者が、削除したパスキーをデバイスのマネージャーまたはクレデンシャル・マネージャーから削除する必要があるとは考えていませんでした。これは参加者に対し、パスキーを削除しなかった場合の結果の可能性について考えるきっかけとなりました。FIDOが推奨する補足情報の見出し「オプションステップ」は、参加者にそのステップを続行するかどうかの選択肢があることを伝えるのに役立ちました。参加者は、説明のメッセージが認証の失敗、混乱、および煩わしさを防ぐのに効果的だったと感じています。

「『クレデンシャル・マネージャーからパスキーを削除する』ことは覚えていないでしょうし、戻って来て再びパスキーを求められたら、おそらく混乱していたと思います。」

— フェーズ3 - 参加者2(29歳)、Android (Chrome)

「デバイスのクレデンシャル・マネージャーにあるパスキーを削除することを考えると、良いリマインダーだと思います。パスキーは2つの場所に保存されるため、クレデンシャル・マネージャーにも移動しなければいけませんから。」

— フェーズ2 - 参加者2(24歳)、Android (Chrome)

展開戦略

異なる代替の認証オプションを提供するサービスプロバイダー、またはパスキーを唯一のサインインオプションにしたいサービスプロバイダーは、独自のニーズに合わせてこのパターンのワークフローと動作を調整することができます。

エコシステム

  • サービスプロバイダーが、顧客のデバイスから個人用パスキーを削除することはできません。そのため、FIDOではパスキーを削除した後にオプションステップの手順を設けることを推奨しています。
  • 詳細については、今後の発表予定の「WebAuthnレポートのAPI」を参照してください。これにより、オプションステップの必要性が軽減する可能性があります。

セキュリティ

DigitalFilesでは問題が発生した場合、スムーズにメールのOTPに切り替えます。適切なフォールバックオプションを選択する際は、企業独自の安全目標と事業目標に一致する必要があります。独自の安全・業務ニーズに従って、UX計画を策定してください。本ガイドラインでは、同期パスキーを使用するFIDOに特有のUX概念に焦点を当て、 全体を通じて、さまざまな形式の身元確認とFIDO以外の認証例を記載しています。本ガイドラインは、身元確認やその他の非FIDO認証メカニズムに関するセキュリティガイドラインの規定を意図するものではありません。これらのセキュリティガイドラインは、各RPに合わせて独自の業務ニーズと安全方針を基に策定されるものだからです。

追加リソース

Google
TrusonaTrusona
Yubico

設立サポーター

Learn more about underwriting