Khoá truy cập là một công nghệ mới trong thế giới trước đây dùng để xử lý mật khẩu. Nếu bạn tập trung tạo ra trải nghiệm người dùng (UX) tuyệt vời, thì việc thêm khoá truy cập làm phương thức xác thực sẽ giúp cuộc sống số của người dùng dễ dàng và an toàn hơn. Chúng tôi đang phát triển các phương pháp hay nhất để tạo khoá truy cập và hãy làm theo hướng dẫn về hành trình phổ biến của người dùng để đẩy nhanh quá trình phát triển của bạn và đảm bảo người dùng sử dụng thành công khoá truy cập.
Bài viết này trình bày các đề xuất cho hành trình sau đây của người dùng:
- Tạo mã xác thực
- Tạo tài khoản mới bằng khoá truy cập
- Đăng nhập bằng mã xác thực
- Quản lý khoá truy cập
Những đề xuất này là dựa trên hướng dẫn và nghiên cứu về trải nghiệm người dùng của FIDO Alliance cũng như kinh nghiệm thu được của nhóm trải nghiệm người dùng tại Google.
Tất cả các đề xuất đều xuất hiện trên mẫu của Trailblazer, một trang web thể dục hư cấu.
Trong khi làm theo các phương pháp hay nhất, bạn cũng nên sớm và thường xuyên kiểm tra trải nghiệm người dùng (nếu có thể). Việc này sẽ giúp đảm bảo việc bạn triển khai hệ thống khoá truy cập trực quan và phù hợp với nhu cầu của người dùng.
Tạo mã xác thực
Để đảm bảo người dùng hiểu đúng khi tạo khoá truy cập, hãy nhắc tạo khoá truy cập cùng với các thao tác liên quan đến tài khoản. Có 4 hành trình chính của người dùng nên thêm tuỳ chọn tạo khoá truy cập:
- Trong quá trình đăng nhập.
- Trong phần bảo mật trong phần cài đặt tài khoản.
- Sau khi khôi phục tài khoản.
- Sau khi uỷ quyền lại.
Đăng nhập
Quy trình đăng nhập là một cơ hội tuyệt vời để ra mắt khoá truy cập vì ở thời điểm này, người dùng đang chú trọng đến tính bảo mật và quy trình xác thực.
Khi sử dụng khoá truy cập trong giai đoạn đăng nhập, bạn có thể chủ động thiết lập để người dùng thành công trong các hoạt động tương tác của họ với dịch vụ của bạn trong tương lai. Thời điểm này cũng phù hợp với mức độ tin tưởng cao rằng người dùng thực sự là người mà họ tuyên bố, giúp nâng cao khả năng bảo mật và trải nghiệm người dùng tổng thể trên nền tảng của bạn.
Một hành trình tuyệt vời của người dùng có thể là xác thực người dùng như bình thường, cho họ biết rằng họ có thể tạo khoá truy cập, kích hoạt hộp thoại trên hệ điều hành để tạo khoá truy cập, sau đó cho người dùng biết rằng khoá truy cập đã được tạo thành công. Sau đó, hãy để người dùng tiếp tục theo thời gian của riêng họ.
Phần bảo mật trong phần cài đặt tài khoản
Việc tích hợp các tuỳ chọn khoá truy cập trong phần cài đặt bảo mật của tài khoản người dùng là hợp lý và phù hợp với ngữ cảnh. Việc này giúp người dùng dễ dàng quản lý và cập nhật khoá truy cập trong cấu hình bảo mật tổng thể. Đây cũng có thể là thời gian tuyệt vời để yêu cầu người dùng cung cấp thông tin khôi phục cho tài khoản của họ, như số điện thoại hoặc email.
Lấy lại bóng
Khôi phục tài khoản là một cơ hội tuyệt vời khác để khuyến khích người dùng tạo khoá truy cập.
Khôi phục tài khoản chưa bao giờ là một quy trình dễ dàng và trong những thời điểm đó, tầm quan trọng của việc bảo mật tài khoản thường là ưu tiên hàng đầu trong tâm trí họ. Sau khi họ truy cập lại vào tài khoản, bạn có thể giúp người dùng tự thiết lập để thành công bằng cách tạo khoá truy cập cho các lần đăng nhập trong tương lai.
Việc này giúp nâng cao khả năng bảo mật và giúp người dùng có được trải nghiệm thành công và đơn giản hơn khi tương tác trong tương lai.
Uỷ quyền lại
Đôi khi, bạn cần phải yêu cầu người dùng đăng nhập lại hoặc vượt qua thử thách để họ có thể thực hiện các hành động nhạy cảm như gửi tiền hoặc chỉnh sửa thông tin cá nhân. Sau khi người dùng xác minh thành công danh tính của mình, đây có thể là cơ hội lý tưởng để khuyến khích người dùng tạo khoá truy cập.
Cơ hội này tận dụng nâng cao nhận thức của người dùng về tính bảo mật, đồng thời cũng hứa hẹn một quy trình xác thực lại thuận tiện hơn trong các tương tác trong tương lai. Phương pháp chủ động này giúp tăng cường tính bảo mật tổng thể của tài khoản, đồng thời thúc đẩy trải nghiệm thân thiện với người dùng.
Huỷ tạo khoá truy cập
Thông báo rõ ràng cho người dùng nếu việc tạo khoá truy cập không thành công và cân nhắc việc triển khai một tính năng cho phép người dùng phản hồi để tìm hiểu các vấn đề tiềm ẩn (việc này có thể xảy ra trong sản phẩm hoặc thậm chí qua email hoặc một đường dẫn khác).
Ngoài ra, hãy cung cấp một đường dẫn đơn giản để người dùng thử tạo lại quy trình tạo hoặc truy cập lại và tạo khoá truy cập mới trong tương lai, chẳng hạn như trong phần cài đặt bảo mật. Phương pháp này đảm bảo rằng ngay cả khi người dùng cố ý hay vô tình huỷ việc tạo khoá truy cập, thì họ vẫn sẽ có đường dẫn để thử lại.
Tạo tài khoản mới bằng khoá truy cập
Khi tạo tài khoản mới bằng khoá truy cập, bạn nên đưa người dùng đến một trang được chỉ định để họ có thể nhập cả tên hiển thị và tên người dùng riêng biệt. Một trang được chỉ định có thể loại bỏ những chi tiết thừa và tập trung vào mục tiêu chính. Sau đó, thực hiện các bước tạo khoá truy cập.
Nếu người dùng đang tạo tài khoản bằng khoá truy cập, thì bạn cần phải thiết lập phương thức khôi phục cho tài khoản của họ. Bạn có thể thông qua số điện thoại, email, phương thức đăng nhập mạng xã hội (chẳng hạn như tính năng Đăng nhập bằng Google) hoặc một cách khác phù hợp với bạn. Lựa chọn tốt nhất có thể thay đổi tuỳ thuộc vào đặc điểm nhân khẩu học và lựa chọn ưu tiên cụ thể của người dùng. Tuỳ thuộc vào các yêu cầu về bảo mật cần thiết đối với ứng dụng của bạn, bạn cũng nên xác minh danh tính trong quá trình tạo tài khoản mới.
Phương thức sao lưu này sẽ được dùng để khôi phục tài khoản nếu người dùng mất quyền truy cập vào khoá truy cập hoặc đăng nhập trên một thiết bị chưa có khoá truy cập. Điều này giúp đảm bảo rằng người dùng luôn có thể truy cập vào tài khoản của họ.
Đăng nhập bằng mã xác thực
Khoá truy cập cho phép bạn đăng nhập linh hoạt: hãy nhập tên người dùng hoặc chọn trong danh sách khoá truy cập cho miền của bạn. Để truy cập nhanh chóng và không gặp lỗi, hãy thử dùng tính năng WebAuthn để trình bày danh sách khoá truy cập cho một miền nhất định. Tính năng này sẽ trực tiếp cung cấp khoá truy cập, giúp giảm thời gian sử dụng và không cần nhập.
Thiết kế trang đăng nhập
Thiết kế một trang đăng nhập hiệu quả cần chú trọng vào tốc độ, sự thuận tiện cho người dùng và tính dễ hiểu.
Bạn nên tận dụng tính năng tự động điền trong các trình duyệt web hiện đại để cung cấp khoá truy cập cho người dùng, hoặc tích hợp sâu với API Trình quản lý thông tin xác thực để cung cấp khoá truy cập sớm nhất có thể trong quá trình sử dụng.
Việc cung cấp nhiều lựa chọn đăng nhập như trường tên người dùng và mật khẩu cùng với nhiều hình thức đăng nhập qua mạng xã hội có thể mang lại tính linh hoạt cho người dùng, nhưng cũng có thể gây choáng ngợp. Hãy ưu tiên các tuỳ chọn và trình bày tuỳ chọn hữu ích nhất cho cơ sở người dùng của bạn. Hãy lưu ý rằng mặc dù khoá truy cập hiện có thể có tỷ lệ sử dụng thấp hơn, nhưng chúng giúp cải thiện khả năng bảo mật và trải nghiệm người dùng, đồng thời ngày càng có nhiều người dùng sử dụng khoá truy cập này mỗi ngày. Việc triển khai khoá truy cập ngay hôm nay sẽ giúp bạn đi đúng hướng và thành công trong tương lai.
Nếu bạn tích hợp một nút riêng cho khoá truy cập, hãy đảm bảo nút đó phù hợp nhất với tính thẩm mỹ và danh tính của bạn.
Quản lý khoá truy cập
Sử dụng từ "Tạo"
Từ "Tạo" sẽ mô tả chính xác hơn quy trình tạo khoá truy cập mới và duy nhất. Không giống như mật khẩu, một tài khoản có thể có nhiều khoá truy cập mà người dùng có thể dùng để đăng nhập. Do đó, khoá truy cập thường không thay đổi như mật khẩu, mà được tạo và thêm vào danh sách khoá truy cập hiện có. Người dùng có thể xoá các bộ lọc này nếu cần.
Khi khoá truy cập được tạo, khoá truy cập là thông tin xác thực duy nhất mà người dùng có thể sử dụng để đăng nhập một cách dễ dàng và an toàn. Điều này không giống như việc cung cấp cho một ứng dụng hoặc dịch vụ bản sao mật khẩu của bạn để lưu trữ và so khớp.
Giúp người dùng dễ dàng tìm thấy khoá truy cập trong dịch vụ của bạn
Cho thấy rõ nguồn của mỗi khoá truy cập (đôi khi được gọi là "chứng minh" trong ngữ cảnh này), cho dù đó là Trình quản lý mật khẩu của Google, Chuỗi khoá iCloud, Windows Hello hay trình quản lý mật khẩu của bên thứ ba hỗ trợ khoá truy cập. Việc cho người dùng biết thông tin này sẽ giúp họ xác định được khoá truy cập nào được liệt kê trong giao diện người dùng.
Thêm một số vào các khoá truy cập khác trong cùng hệ sinh thái
Nếu người dùng tạo nhiều khoá truy cập trên các thiết bị trong cùng một hệ sinh thái, hãy thêm số vào các khoá truy cập bổ sung để người dùng có thể phân biệt các khoá đó.
Dùng cụm từ "xoá" khi xoá khoá truy cập
Nếu người dùng muốn xoá khoá truy cập mà họ đã sử dụng trên trang web của bạn, bạn có thể xoá khoá công khai đó khỏi máy chủ, nhưng khoá riêng tư sẽ không bị xoá khỏi trình quản lý thông tin xác thực của người dùng hoặc trên thiết bị của họ. Mặc dù về mặt kỹ thuật, quy trình này chỉ là "thu hồi", để đơn giản và dễ bản địa hoá hơn, bạn nên sử dụng thuật ngữ "xoá" trong giao diện quản lý khoá truy cập.
Nếu bạn có các trang hỗ trợ quản lý tài khoản, hãy thêm thông tin về cách quản lý khoá truy cập và thêm đường liên kết đến các trang quản lý khoá truy cập trên các nền tảng khác nhau như Chrome và iOS.
Có email hoặc điện thoại dự phòng
Nếu bạn có email hoặc điện thoại dự phòng, người dùng có một cách để khôi phục tài khoản nếu họ xoá tất cả các khoá truy cập. Bạn có thể gửi cho họ đường liên kết đăng nhập hoặc mã để lấy lại quyền truy cập vào tài khoản của họ. Bạn cũng có thể cung cấp cho người dùng chế độ thiết lập tính năng đăng nhập qua mạng xã hội, chẳng hạn như tính năng Đăng nhập bằng Google.
Quản lý nhiều mã xác thực
Không giống như mật khẩu truyền thống, người dùng có thể tạo nhiều mã xác thực trên các thiết bị khác nhau cho một tài khoản. Nếu bạn không tìm thấy khoá truy cập của người dùng trên một thiết bị nhất định và người dùng đó đăng nhập bằng phương thức đăng nhập dự phòng, dù trước đây họ đã tạo khoá truy cập, hãy xem xét việc nhắc người dùng tạo khoá truy cập mới. Thao tác này sẽ cập nhật thông tin trong trình quản lý thông tin xác thực hoặc thiết lập khoá truy cập mới trên thiết bị hiện tại của họ.
Biểu đồ hành trình của người dùng FIDO
Để biết thêm ví dụ và biểu đồ chi tiết về hành trình của người dùng, hãy tham khảo sơ đồ cấu trúc trải nghiệm người dùng của FIDO.