セキュリティキー上にパスキーを登録する
概要
トピック:コンシューマー、セキュリティ�キー上のパスキー、セキュリティキー、デバイス固定パスキー、登録
カスタマージャーニー:認知 > 検討 > 登録 > 管理 > 認証
作成日:2022年5月14日
ユーザーがアカウント回復のためにセキュリティキーを第2要素として登録し、追加のキーを(即時または後で)登録できるようにします。
このパターンは2022年に初めて公開されました。「パスキー管理のUI:すべてのパスキータイプの組み合わせに関するベストプラクティス 」の2024年デザインパターンについても参照してください。
セキュリティキー上にパスキーを登録する機能を追加する
- キーの複数使用を促す
- キーの更新、追加、削除をサポート
- セキュリティキーの使用に関する価値提案を繰り返す
- ユーザーがニックネームを付ける機能を追加
- オプションのアテステーション手順を検討
- オプションのユーザー検証手順を検討
- セキュリティキー登録のランディングページに、登録成功またはエラーメッセージを表示
- 複数のタッチポイントで、アカウント回復やバックアップのために2つ目のセキュリティキーを追加するようユーザーに促す
結果
- [NIST SP 800-63-3] で定義されているAAL1(ある程度の保証レベル)、AAL2(高い保証レベル)、AAL3(非常に高い保証レベル)の3つのレベルによる認証メカニズムの強度の尺度と、それによる信用性。デバイス固定ハードウェアのセキュリティキーのほとんどはAAL3に準拠
- フィッシング耐性のある認証
- 貴重な資産を守り、ユーザーからの信頼を築く
フロー:セキュリティキーの追加
ユーザーがセキュリティキーの追加前に名前を付けられるようにします。
ユーザーがセキュリティキーの追加前に名前を付けられるようにします
- ユーザーが登録プロセスを終了できるようにする
- セキュリティキーのアイコンやイメージを含める
- セキュリティキーを2要素認証手段として説明するメッセージを表示
- ユーザーにセキュリティキーを追加する前に名前を付けるよう要求
- セキュリティキー名はユーザーにのみ表示されることを明記する(つまり、安全を確保する必要があるパスワードと同等ではない)
- ニックネームの目的は、ユーザーがどのセキュリティキーを登録したか後で分かるようにするためであることを再度伝える
フロー:成功
登録が正常に�完了したことを確認し、さらに別の追加を促します。
登録が正常に完了したことを確認し、さらに別の追加を促す
- ユーザー定義のセキュリティキー・ニックネーム
- サインイン時にすぐに使えるようセキュリティキーをアクセスしやすい方法で保管するようにリマインド
- セキュリティキーが1つしか登録されていないことをリマインドし、紛失または盗難が発生した場合に備えて別のセキュリティキーを1つ以上追加することを奨励
- 1つのセキュリティキーには簡単にアクセスできるようにし、別のセキュリティキーは安全な場所で保管するよう指示
- 「別のセキュリティキーを追加しますか?」 に対する二者択一の主要アクションボタンは、2つとも同様に目立つように表示(「はい、追加します」など)
- ほとんどのユーザーは登録用の別のセキュリティキーを手元に持っていないことが多いため、完了のアクションボタンをデフォルトに設定
- 登録が正常に行われなかったことを示す図像とテキスト
- セキュリティキーの��登録再開、または登録をキャンセルする明示的なアクションボタン
追加の推奨事項
- キーの複数使用を推奨する: 複数のタッチポイントで、アカウント回復やバックアップを考慮して複数のキーを追加するようユーザーに強く勧めます。
- キーの更新、追加、削除をサポート: セキュリティキーを含むすべての認証手段に対して、既存の認証情報の更新([変更]や[更新]ボタンなど)、現在使用している認証手段の削除([削除]ボタンなど)、またはユーザープロフィールへの新しい認証手段の追加([追加]ボタンなど)を示す明示的なアフォーダンスを提供します。
- セキュリティキーの使用に関する価値提案を繰り返す: 例えば、「セキュリティキーを使用すると、DigitalBankにサインインするときの2段階認証が便利かつより安全に完了できます。」
- ユーザーがニックネームを付ける機能を追加する: 登録を開始するにあたり、ユーザーには後からでも登録したキーが認識できるようニックネームの入力を求めます。ニックネームはユーザーにのみ表示され(つまり、安全を確保する必要があるパスワードと同等ではない)、その目的は、後でどの鍵を登録したか分かるようにするためのものである点を明記します。
- オプションのアテステーション手順: セキュリティキーの登録プロセスの一環として、組織はアテステーションを要求する(つまり、セキュリティキーのメーカーやモデルなどの製造元情報を共有する許可をユーザに求める)サイトを構成する場合があります。セキュリティキーの製造元から詳細が入手可能な場合にアテステーションを要求すると、セキュリティキーがアカウントに登録された後に、メーカーとモデルがユーザーに表示されるようになります。FIDOアライアンスでは、コンシューマー向けユースケースにアテステーション手順を追加することを推奨していません。これは、セキュリティキーの登録プロセス中に、ユーザーが追加のダイアログを介してサイトにアクセス許可を付与する必要があるためです。組織がより簡易的な登録プロセスを選択する場合、アテステーションをオフにして、許可ダイアログをバイパスできます。このオプションでは、キーのメーカーとモデルに関する詳細は、その後ユーザーに表示されなくなります。この追加のアテステーション手順は、従業員向けのシナリオに対するセキュリティキーの登録には有益な場合があります。
- オプションのユーザー検証手順: セキュリティキーの登録プロセスの一環として、組織はユーザー検証を要求する、つまり、セキュリティキーで認証するためにユーザーにPINまたは指紋の追加を求めるサイトを構成する場合があります。このオプションの検証手順は、UXガイドラインに関連するリサーチの範囲外でした。
- セキュリティキー登録のランディングページに、登録成功またはエラーメッセージを表示する: セキュリティキーが正常に登録された場合、セキュリティキーのアイコンと成功を示す視覚的インジケーター(セキュリティキーアイコンの横のチェックマークなど)とともに成功メッセージを表示します。セキュリティキーの登録に失敗した場合は、エラーメッセージを表示して登録に失敗したことをユーザーに伝え、登録プロセスを再開できるようにします。
- 複数のタッチポイントで、アカウント回復やバックアップのために2つ目のセキュリティキーを追加するようユーザーに促す: セキュリティキーの登録前に、「セキュリティとプライバシーの設定」ページでメッセージを表示し、ユーザーに複数のキーを登録するよう促します。セキュリティキーの登録直後に、2つ目のセキュリティキーを追加するよう強く推奨し、その機会を提供します。その際、ユーザーが一度立ち止まってこの奨励を検討できるように配慮します。キーが正常に追加されたことを表示する画面では、次のような複数の戦略を使って2つ以上のセキュリティキーを使用する重要性を強調します。見出し:「セキュリティキーが1つだけ登録されています」と強調する見出しを太字で作成します。テキスト:セキュリティキーの紛失または盗難に備えて、最低でも2つのセキュリティキーを登録することを明示的に推奨します。イラストレーション:セキュリティキーが1つだけ登録されている状態であり、2つのセキュリティキーが登録されているのが望ましい状態であることをイラストを使って強調します。2つ目のキーを追加するオプション:同様に見やすく、アクセス可能な2つのアクションボタン([完了]vs[2つ目のキーを追加])を提供します。ほとんどのユーザーはすぐに追加のセキュリティキーを登録しない可能性が高いため、[完了]ボタンをデフォルトに設定します。
コンテンツ
ユーザーによってテストされた内容の例文をコピーし、ニーズに合わせて編集します。
セキュリティキーの追加
セキュリティキーを使用すると、DigitalBankにサインインするときの2段階認証を便利かつより安全に完了できます。
まずは、登録したキーを後で認識できるようセキュリティキーにニックネームを付けてください。
セキュリティキーのニックネーム(あなたにだけ表示されます)
フォームフィールドのヒント:セキュリティキーのニックネーム。例えば「メインの黄色い鍵」など。
正常に追加されました
「[キーの名前]」がアカウントに追加され、使用可能になりまし�た。Digital Bankのサインイン時にすぐに使えるよう、簡単にアクセスできる場所に保管してください。また、プロンプトが表示された場合にのみ、このキーを差し込むようにしてください。
紛失や盗難に備えて、2つ以上のセキュリティキーを登録することをお勧めします。
1つはアクセスが容易な場所に、もう1つは別の安全な場所に保管するようにしてください。
別のキーを追加しますか?
UXリサーチ
このページでは、FIDOセキュリティキーを第2要素として使用する多要素認証 (MFA) の実現を目指すサービス事業者と実装者向けに、規制当局によるガイダンスのある業界(金融機関、医療など)のユースケースに基づいたユーザーエクスペリエンス (UX) のガイドラインとベストプラクティスを提供します。本ガイドラインは、FIDO実装時の意思決定を迅速化し、ユーザーに提供すべき情報と制御を特定することを目的としています。これらのUX推奨事項は、モバイルアプリやモバイルウェブよりも、デスクトップやノートパソコンなどのコンピューターからアクセスされるブラウザベースのサイト向けに最適化されていることに注意してください。ただし、ガイドラインには、セキュリティポリシーやアカウントの回復に関する推奨事項は含まれていません。
このドキュメントの原則は、BlinkがFIDOのUXタスクフォースメンバーと協力して実施した、モデレートありのコンシューマー調査とモデレートなしのコンシューマー調査の複数セッション (N = 68) に基づいて策定されました。ユーザーリサーチの参加者には、主に業務目的でセキュリティキーを所有し、使用しているコンシューマーと、個人のオンラインバンキングで2要素認証を使用しているものの、調査セッション前にはセキュリティキーの使用経験がない将来のセキュリティキーユーザーが含まれています。本リサーチの範囲には、将来のユーザーにキーの購入を促す戦略は含まれていないことに注意してください。ユーザーリサーチに加えて、現在市場にあるセキュリティキーの2要素認証エクスペリ��エンスがFIDOのUXタスクフォースによってレビューされ、その結果得られた知見が調査・評価の過程で活用されました。
これらの推奨事項は、プロシューマーがデスクトップ/ノートパソコン上でFIDOセキュリティキーを第2要素として使用する場合のMFA実装方法について、FIDOアライアンスのUXタスクフォースが持つ見解を表しています。本ドキュメントにおける「プロシューマー」とは、セキュリティとプライバシーを重視し、私生活においてこれらに関する技術やサービスを早期に取り入れるコンシューマーを指します。
展開戦略
- よく知られた認証用語と記号を使用します。なじみのないセキュリティキーの概念を明示的に使うのではなく、よく目にする指紋アイコン(生体認証がサポートされている場合)や、PINのロックやアスタリスクなど、認証を表すその他の画像を使用して、パスワードのみを使用したサインインの代替手段として利用できることを伝えます。
- アカウントのセキュリティ全般、特にセキュリティキーに関する管理と学習のためのオンサイトハブとして、「セキュリティとプライバシーの設定」ページを推奨します。ユーザーが「セキュリティとプライバシーの設定」ページに移動するよう促し、サインインオプションとしてセキュリティキーが使用可能であることをわかりやすく伝えてください。また、ユーザーがセキュリティキーの性質と利点を学び、かつセキュリティキーを選んで購入や登録のアクションを実行で�きるコンテキストを作成します。
- FIDOセキュリティキーの登録方法とそれを使用した認証方法、どのセキュリティキーがFIDOによる認定を受け、かつサイトでの使用に互換性があるのか、さらにはFIDOセキュリティキーがウェブサイトの認証において安全かつ確実で便利な代替手段である理由など、関連するさまざまな知識を顧客サポート向けに準備します。
- セキュリティキーの紛失や盗難が発生した場合にアカウントへのアクセスがブロックされないよう、ユーザーには複数のセキュリティキーを登録するよう強く推奨します。
エコシステム
このパターンは2022年に初めて公開されました。「パスキー管理のUI:すべてのパスキータイプの組み合わせに関するベストプラクティス 」の2024年デザインパターンについても参照してください。
セキュリティ
このドキュメントでは、FIDOセキュリティキーを第2要素として使用する多要素認証 (MFA) の実現を目指すサービス事業者と実装者向けに、規制当局によるガイダンスのある業界(金融機関、医療など)のユースケースに基づいたユーザーエクスペリエンス (UX) のガイドラインとベストプラクティスを提供します。本ガイドラ�インは、FIDO実装時の意思決定を迅速化し、ユーザーに提供すべき情報と制御を特定することを目的としています。これらのUX推奨事項は、モバイルアプリやモバイルウェブよりも、デスクトップやノートパソコンなどのコンピューターからアクセスされるブラウザベースのサイト向けに最適化されていることに注意してください。ただし、ガイドラインには、セキュリティポリシーやアカウントの回復に関する推奨事項は含まれていません。
