FIDO AllianceFIDO Alliance
FIDO AlliancePasskey CentralAuthenticate Conference
Skip to main content

認証オプションとしてのセキュリティキーの認識

概要

トピック: コンシューマー、セキュリティキーのパスキー、セキュリティキー、デバイス固定パスキー、認識
カスタマー ジャーニー: 認識 > 検討 > 登録 > 管理 > 認証
作成日: 2022年5月14日

ユーザー名とパスワードを入力した後、第2要素としてセキュリティキーを使用してサインインできるようにします。

note

このパターンは2022年に初めて公開されました。「パスキー管理のUI:すべてのパスキータイプの組み合わせに関するベストプラクティス 」の2024年デザインパターンについても参照してください。

セキュリティキーの認識を高める

  • パスワードのみの認証に代わる利用可能な認証方法についてユーザーに認識を促し、セキュリティキーなどの新しいサインインオプションを管理するためのセキュリティとプライバシーの設定にユーザーを誘導します。
  • メッセージング戦略とサイト情報アーキテクチャの更新を組み合わせることで、パスワードのみの認証に代わる利用可能な代替手段についてのユーザーの認識を高めます。
  • サービス事業者 (RP) は、ターゲットとするユーザーセグメントまたは一連の業務に応じて、同期パスキーやセキュリティキーをユーザーに提供することを選択する場合があります。
  • 当団体のユーザー調査によると、ユーザーは新しいサインイン方法を設定する前に、新しい認証オプションについて複数回説明を受ける必要がある可能性があります。

結果

  • ユーザーは自分のアカウントに対する追加のセキュリティオプションを発見します。
  • 認証メカニズムの強度、つまりその信頼性は、[NIST SP 800-63-3] で、AAL1 (ある程度の保証レベル)、AAL2 (高い保証レベル)、AAL3 (非常に高い保証レベル) の 3 つのレベルで定義されています。デバイス固定ハードウェアのセキュリティキーのほとんどはAAL3に準拠。
  • フィッシング耐性のある認証。
  • 貴重な資産を守り、ユーザーからの信頼を築く。

セキュリティキーのカスタマージャーニー。

フロー: サインイン前

CTA(行動喚起)

サインインオプションを更新するCTAを繰り返し表示します(例えば「新しいサインインオプションを設定するには、サインイン後に「セキュリティとプライバシー」にアクセスしてください。」)。

フロー: サインイン後

トースト通知を使用して、ユーザーを セキュリティとプライバシー に誘導し、新しいサインイン オプションを追加します。トースト通知に認証アイコンを追加します。

フロー: メインナビゲーション

ユーザーの プロファイル メニューで、メインアカウントナビゲーションの宛先として、または 設定 のピアとして セキュリティとプライバシー リンクを追加します。

フロー:管理

セキュリティとプライバシー 設定ページを提供することで、ユーザーがセキュリティキーなど、サイトで利用できる認証オプションを比較して理解できるようにします。

パスワードに加えて 2 番目の認証方法を追加して、アカウントのセキュリティを強化することをユーザーに明示的に推奨します。この推奨メッセージがユーザーによって閉じられることを確認してください。

アイコンを使ってストーリーを伝えます。ストーリーはユーザーにとって覚えやすく、アイコンはストーリーを伝えます。セキュリティとプライバシー 設定の推奨メッセージにアイコンを追加し、視認性と視覚的な関心を高め、パスキーやセキュリティキーなどの追加が推奨される方法を示します。

認証方法名の横にあるアイコンも使用して、各方法を区別し、ページの読みやすさを向上させます。ユーザーが現在登録しているサインイン方法を示す明確な視覚的インジケーターを提供します。

それぞれの方法の認証プロセスと独自の価値提案について簡単に説明します。セキュリティキーに関するコンシューマーの認識を高める必要があるため、セキュリティキーは2番目の要素 (つまり、パスワードに加えて使用される要素) であり、複数のセキュリティキーの使用が可能であり、推奨されることを強調することをお勧めします。

フロー:詳細を確認する

詳細リンクで、セキュリティキーに関する詳細情報を段階的に公開します。セキュリティキーの登録前後で、詳細リンクが表示されるようにします。どちらもユーザーがセキュリティキーの使用に関して疑問や懸念点を持つタイミングであり、関連するタッチポイントであるためです。ユーザー調査では、セキュリティキーの導入の潜在的な障壁となる主な質問や懸念に対応するトピックを特定しました。

サインイン前の推奨事項:

ウェブサイト外で、複数のチャネルを戦略的に使用して、アカウントのセキュリティを最適化するための場所として セキュリティとプライバシー 設定を宣伝します。

  • サイト外では、電子メールによるキャンペーン、ソーシャルメディアなどを使用して、ユーザーに セキュリティとプライバシー 設定にアクセスしてアカウントのセキュリティについて学び、セキュリティキーの使用を含む MFA を設定することを推奨します。
  • プライバシーとセキュリティに関する推奨事項についてユーザーとオンラインでやり取りする場合は、必ず セキュリティとプライバシー 設定ページにリンクしてください。
  • セキュリティキーの利点を含む認証オプションに関する教育資料を送信して、セキュリティキーの使用から最大のメリットを得られる可能性のある特定のユーザープロファイル (たとえば、富裕層の銀行ユーザー) をターゲットにすることを検討してください。

サインイン時の推奨事項:

パスワードのみの認証に代わる利用可能な方法として一般的な認識を促進します。セキュリティキーのあまり知られていない方法を具体的に宣伝することは避けてください。

  • デスクトップのウェブサイトで生体認証を提供するRPの場合、生体認証サインインまたはタッチ ロック解除が利用できることを示すために、ユーザーが広く認識している、使い慣れた生体認証アイコン (つまり指紋) を表示して、サインインUIでパスワードのみの認証に代わる認証が利用できることを示します。
  • 馴染みのある指紋アイコンは、セキュリティキーという未知の概念を具体的に示すよりも、サインイン オプションの更新に対するユーザーの関心を集めるのに効果的でした。
  • デスクトップのウェブサイトで生体認証を提供していない RP は、より広範な認証カテゴリを表すためにサインイン UI でアイコンを使用することを検討する必要があります (たとえば、ユーザーアウトラインとチェックマーク、または PIN コードを示すアスタリスク付きのロックなど)。
  • サインイン UI の認証アイコンの横に、サインイン後にユーザーを セキュリティとプライバシー 設定に誘導して新しいサインインオプションを設定するための、簡単な静的メッセージを含めます。

サインイン後の推奨事項:

ウェブサイト内で、セキュリティとプライバシー 設定をアカウントのセキュリティ管理のための見つけやすい場所にします。ウェブサイトのアーキテクチャを更新したり、ウェブサイトでこの設定リンクを戦略的に宣伝したりします。

  • セキュリティとプライバシー 設定をウェブサイト内で見つけやすくします。メインのウェブサイト ナビゲーション内に セキュリティとプライバシー 設定リンクを配置するか、プロファイル の下の固有の宛先として追加します (つまり、より一般的な 設定 メニュー項目の外に追加します)。
  • ウェブサイト内で、複数のメッセージング戦略を戦略的に使用して、アカウントのセキュリティを最適化するための目的地として セキュリティとプライバシー を促進します。
  • 複数のサイト訪問にわたって興味を喚起するには、複数のメッセージ形式を使用します。たとえば、バナー広告やトースト通知などの一時的なメッセージ戦略を使用して、ユーザーに セキュリティとプライバシー にアクセスしてサインイン方法を更新するよう促します。
  • 特にセキュリティキーを利用する場合、新しいサインイン方法の登録を促すには、複数のメッセージの公開が必要になることがよくあります。
  • セキュリティキーの登録は、セキュリティキーについて学び、購入して登録するための時間と労力を必要とする複数のステップから成るプロセスです。
  • たとえば、複数のサイト訪問にわたってトースト通知を表示し、ユーザーにセキュリティとプライバシーの設定にアクセスしてサインイン方法を更新するよう促します。

コンテンツ

ユーザーによってテストされた内容の例文をコピーし、ニーズに合わせて編集します。

以下の追加の認証方法を追加して、アカウントのセキュリティを強化することをお勧めします。
セキュリティキーとは?
セキュリティキーは、サポートされるウェブサイトでパスワードに加えて機能する小さな物理デバイスです。1 つのキーを複数のアカウントまたはウェブサイトで使用できます。

セキュリティキーを使用べき理由
セキュリティキーは、サインイン認証情報 (ユーザー名やパスワードなど) を盗もうとする偽のウェブサイトからユーザーを保護します。他の形式の 2 要素認証 (テキスト、メール、メッセージ、認証アプリ、プッシュ通知など) では、セキュリティキーと同じレベルの保護は提供されません。

セキュリティキーの仕組み
まず、上のボタンを使用してセキュリティキーを追加する必要があります。追加したら、ユーザー名とパスワードでサインインした後に、セキュリティキーを使用する必要があります。これにより、アカウントを保護するために利用できる最も強力な認証形式の 1 つが作成されます。

セキュリティキーはどのようなセキュリティ技術を使用していますか?
ほとんどのキーは、ドライバーやソフトウェアなしで安全な認証を可能にする FIDO® と呼ばれる認証標準を使用しています。ユーザーがキーを使用してウェブサイトにサインインすると、FIDO® はウェブサイトの実際のドメイン名を確認するブラウザーからのチャレンジに暗号署名し、フィッシング (たとえば、偽のウェブサイトを使用してユーザーを騙して個人情報を共有させる場合) に対する強力な保護を提供します。攻撃者は、キーから使用可能な署名を取得するために、ウェブサイトのドメイン名またはブラウザーを制御する必要があります。

セキュリティキーが親指大の小型メモリーに似ているのはなぜですか?
ハードウェアセキュリティキーは親指大の小型メモリーに似ており、コンピューターの USB ポートに挿入されることもありますが、ストレージデバイスではありません。セキュリティキーを使用することにより、個人情報がウェブサイトやオンラインアカウント間で追跡またはリンクされることはありません。

セキュリティキーが盗まれた場合はどうなりますか?
キーはパスワードの代わりではなく、パスワードの補助として機能します。誰かがキーを盗んだとしても、パスワード (またはキーが登録されているウェブサイト) を知らない限り、銀行口座にアクセスすることはできません。バックアップ方法でサインインし、盗まれたキーをアカウントから削除することができます。

複数のセキュリティキーを追加する
複数のセキュリティキーを追加することを強くお勧めします。セキュリティキーを紛失した場合や盗難された場合、登録済みのバックアップセキュリティキー (またはその他のバックアップ認証方法) がないと、本人確認中にアカウントへのアクセスが中断される可能性があります。1つのキーは簡単にアクセスできるようにし、もう 1 つのキーは安全な場所に別々に保管することをお勧めします。

セキュリティキーの購入
セキュリティキーはメーカーによって異なり、主にオンラインリテーラーから購入できます。FIDO 認定キーをお勧めします。FIDOⓇ 認定キーの一覧をご覧ください。(https://fidoalliance.org/certification/fido-certified-products/)

セキュリティキーに名前を付ける
セキュリティキーに、自分だけが表示できるわかりやすいニックネームを付けます。これにより、後でこのアカウントでどのキーを登録したかがわかります。

UXリサーチ

私たちの調査によると、サイトの他の目標と関連して、ユーザーが行動を起こす前に、新しいサインイン オプションを設定するというアイデアについて説明することが複数回必要になることがよくあります。ユーザーが関連するメッセージに気づき、都合の良いときに行動を起こす機会を複数回提供します。

私たちの調査では、ユーザーが生体認証サインインを使用していなかったとしても、指紋アイコンによってパスワード以外のサインインを検討するよう促されることが実証されました。

このドキュメントでは、FIDOセキュリティキーを第2要素として使用する多要素認証 (MFA) の実現を目指すサービス事業者と実装者向けに、規制当局によるガイダンスのある業界(金融機関、医療など)のユースケースに基づいたユーザーエクスペリエンス (UX) のガイドラインとベストプラクティスを提供します。本ガイドラインは、FIDO実装時の意思決定を迅速化し、ユーザーに提供すべき情報と制御を特定することを目的としています。これらのUX推奨事項は、モバイルアプリやモバイルウェブよりも、デスクトップやノートパソコンなどのコンピューターからアクセスされるブラウザベースのサイト向けに最適化されていることに注意してください。ただし、ガイドラインには、セキュリティポリシーやアカウントの回復に関する推奨事項は含まれていません。

このドキュメントの原則は、BlinkがFIDOのUXタスクフォースメンバーと協力して実施した、モデレートありのコンシューマー調査とモデレートなしのコンシューマー調査の複数セッション (N = 68) に基づいて策定されました。ユーザーリサーチの参加者には、主に業務目的でセキュリティキーを所有し、使用しているコンシューマーと、個人のオンラインバンキングで2要素認証を使用しているものの、調査セッション前にはセキュリティキーの使用経験がない将来のセキュリティキーユーザーが含まれています。本リサーチの範囲には、将来のユーザーにキーの購入を促す戦略は含まれていないことに注意してください。ユーザーリサーチに加えて、現在市場にあるセキュリティキーの2要素認証エクスペリエンスがFIDOのUXタスクフォースによってレビューされ、その結果得られた知見が調査・評価の過程で活用されました。

これらの推奨事項は、プロシューマーがデスクトップ/ノートパソコン上でFIDOセキュリティキーを第2要素として使用する場合のMFA実装方法について、FIDOアライアンスのUXタスクフォースが持つ見解を表しています。本ドキュメントにおける「プロシューマー」とは、セキュリティとプライバシーを重視し、私生活においてこれらに関する技術やサービスを早期に取り入れるコンシューマーを指します。

展開戦略

  • よく知られた認証用語と記号を使用します。なじみのないセキュリティキーの概念を明示的に使うのではなく、よく目にする指紋アイコン(生体認証がサポートされている場合)や、PINのロックやアスタリスクなど、認証を表すその他の画像を使用して、パスワードのみを使用したサインインの代替手段として利用できることを伝えます。
  • アカウントのセキュリティ全般、特にセキュリティキーに関する管理と学習のためのオンサイトハブとして、「セキュリティとプライバシーの設定」ページを推奨します。ユーザーが「セキュリティとプライバシーの設定」ページに移動するよう促し、サインインオプションとしてセキュリティキーが使用可能であることをわかりやすく伝えてください。また、ユーザーがセキュリティキーの性質と利点を学び、かつセキュリティキーを選んで購入や登録のアクションを実行できるコンテキストを作成します。
  • FIDOセキュリティキーの登録方法とそれを使用した認証方法、どのセキュリティキーがFIDOによる認定を受け、かつサイトでの使用に互換性があるのか、さらにはFIDOセキュリティキーがウェブサイトの認証において安全かつ確実で便利な代替手段である理由など、関連するさまざまな知識をユーザーサポート向けに準備します。
  • セキュリティキーの紛失や盗難が発生した場合にアカウントへのアクセスがブロックされないよう、ユーザーには複数のセキュリティキーを登録するよう強く推奨します。

エコシステム

このパターンは2022年に初めて公開されました。「パスキー管理のUI:すべてのパスキータイプの組み合わせに関するベストプラクティス 」の2024年デザインパターンについても参照してください。

セキュリティ

このドキュメントでは、FIDOセキュリティキーを第2要素として使用する多要素認証 (MFA) の実現を目指すサービス事業者と実装者向けに、規制当局によるガイダンスのある業界(金融機関、医療など)のユースケースに基づいたユーザーエクスペリエンス (UX) のガイドラインとベストプラクティスを提供します。本ガイドラインは、FIDO実装時の意思決定を迅速化し、ユーザーに提供すべき情報と制御を特定することを目的としています。これらのUX推奨事項は、モバイルアプリやモバイルウェブよりも、デスクトップやノートパソコンなどのコンピューターからアクセスされるブラウザベースのサイト向けに最適化されていることに注意してください。ただし、ガイドラインには、セキュリティポリシーやアカウントの回復に関する推奨事項は含まれていません。

Google
TrusonaTrusona
Yubico

設立サポーター

Learn more about underwriting