パスキーの作成とサインインに関するFIDOアライアンスのUXガイドライン

UXの原則

1.アカウント関連のタスクと同時にパスキーの作成を促す。

アカウント作成、アカウント回復、アカウント設定の一部など、人々がすでにアカウント管理を意識している場合、パスキーを作成するオプションは、ショッピングなど、サイトの他の主要なタスクを達成するための歓迎されない中断や障壁ではなく、サイト体験に関連する強化として認識される可能性が高くなります。 サインイン時にパスキーの作成を促すプロンプトは、あまりうまく機能しなかった。

2.見慣れないもの（パスキー）と見慣れたものを結びつける。

パスキーは新しい用語であり、新しい視覚的シンボルであり、消費者にとって新しい認証方法である。 可能な限り、身近な概念、視覚、経験と関連付けることで、パスキーの性質と価値を理解させる。 例えば、バイオメトリックの経験はよく知られている。

3.OSのダイアログの前後に、実績のあるパスキーのメッセージとアイコンを使用する。

passkeys OSダイアログを起動する前に、現在のタスクのステータスに関連するpasskeysメッセージ、アイコン、アクションを表示します。 passkeys OSのダイアログが完了または終了したら、メッセージとアイコンを使ってタスクのステータスを表示します。 これは、依拠当事者（RP）のウェブサイトとOSのダイアログ間の「ハンドシェイク」を提供し、OSとRPがどのように協力してパスキーによるアカウントアクセスとセキュリティを最適化しているかを明確にすることで、パスキーという新しい概念に対する人々の信頼と関心を高めるのに役立ちます。

4.パスキーに関する自由と選択を認める。

消費者が自分の体験をコントロールし続け、ブランドへの信頼を高めるためには、パスキーの作成と管理に関する明確なオプションを提供すること。 パスキーの有無にかかわらず、アカウントの作成を許可する。 パスワードリセット時に新しいパスワードを作成できるようにするか、代わりにパスキーを作成する。

5.パスキー使用前後は、アクセシビリティの原則に従うこと。

パスキーは、ユーザが知覚できる方法でユーザに提示され、支援技術を使用して操作可能であり、パスキーとともに歩むワークフローを通じてさまざまな機能的ニーズを持つユーザが理解できる場合に、最もアクセスしやすくなります。 障害者がFIDOの導入にアクセスできるようにするためのガイダンスや、基礎となるウェブコンテンツアクセシビリティガイドライン（WCAG）などのアクセシビリティガイドラインに準拠すること。

6.カスタマージャーニー全体で一貫してパスキー・ヒーロー・プロンプトを使用する。

特定のシンボル、見出し、メッセージ、行動喚起を含むパスキーの「ヒーロー」を作成する。 カスタマージャーニーにおけるアカウントに関連する場面で、ヒーローコンテンツを一貫してフル活用する。 例えば、”Create passkey “ボタンのみを使用するのに対して、完全なヒーローを使用する。

7.パスキーに関する有益な情報を持続する。

パスキーに関する有益な情報を、追加クリックを必要とせずに、ヒューマンインターフェースに残す。 例えば、パスキーが作成された後でも、アカウント設定のヒーローメッセージングでパスキーの「what」と「where」のメッセージを保持します。 デフォルトでテキストを表示し、余分なクリックの下に非表示にしない。 パスキーを無効にする選択肢は与えられるべきですが、パスキーなしでどのようにサインインするのか理解できないかもしれないので、”Disable passkeys “リンクの横に、パスキーを無効にするとどのようなことができるのか短い説明を置いてください。 この説明をヒューマン・インターフェイスに残す。 例えば、カーソルを合わせたときにだけ表示されるツールチップには、この情報を書かないでください。

8.パスキーをアカウント設定の主要オプションにする。

パスキーの表示とインタラクションモデルを、個人のアカウント設定内のユーザ名、パスワード、2FAなどの他の認証項目と一致させる。 例えば、アカウント設定内の他のサインインオプションがH2見出しでラベル付けされている場合、”Passkeys “もH2見出しでラベル付けしてください。

9.パスキーを形にするために、意味のある内容の「パスキーカード」を展示する。

文字、数字、記号の目に見える組み合わせであるパスワードとは異なり、デジタル・パスキーは人の目にほとんど触れない。 アカウント設定にパスキーカードのアフォーダンスが表示されます。 カードの内側には、パスキーのアイコン、メッセージ、オプションがあり、信頼を呼び起こし、パスキーが有効で、利用可能で、管理可能であることを安心させる。 もし誰かが2つ以上のパスキーを持っている場合、それぞれのパスキーはそれぞれのカードを持っている。

10.独自のセキュリティとビジネスのニーズに合わせてUXを計画する。

ガイドラインは、パスキーが同期されたFIDO独自のUXコンセプトに焦点を当てている。 この作品を通して、さまざまな形の身元証明や非FIDO認証の例を目にするだろう。 ID プルーフィングまたはその他の非 FIDO 認証メカニズムについては、各 RP に固有であり、各 RP 独自のビジネス・ニーズとセキュリティ・ポリシーに基づいているため、本ガイドラ インは、セキュリティ・ガイドラインを規定するものではない。 ガイドライン全体を通して、この記号 [ i ] を探してください。

コンテンツの原則

UXの原則は、コンテンツデザインと戦略にどのように適用されるのか？ パスキー・コンテンツの指針となる3つの原則をご紹介します。 また、私たちが調査で使用した言葉を示した推奨事項も掲載した。 私たちがテストした内容をそのままお借りすることもできますし、御社のスタイルや声、トーンに合わせてアレンジすることもできます。

1.パスキーの言葉と、彼らが知っている言葉をペアにする。

パスキーは多くのユーザーにとって新しい概念だ。 パスキーがすでに使用している他の方法とどのように関連しているかを示すことで、この新しいサインイン方法の価値を理解させる。 例えば、「パスキーを使えば、複雑なパスワードを覚える必要はありません」「パスキーとは、指紋、顔、パスコードを使って作成する暗号化されたデジタルキーのことです」など。

2.OSのダイアログの前後に明確な「ハンドシェイク」メッセージを使用する。

OSのダイアログの前に「アカウントの作成」または「パスキーの作成」という明確なメッセージを表示し、OSのダイアログの後に確認または成功のメッセージを表示することで、ユーザがOSのパスキー体験に自信を持てるようにします。 これによってユーザーは、御社がOSと手を携えてパスキーでアカウントを保護しているという安心感を得ることができる。

3.カスタマージャーニー全体でパスキーメッセージングを使用する。

アカウントの作成、回復、設定など、カスタマージャーニーにおけるアカウントに関連する場面でパスキーを試すようユーザーを促すために、エクスペリエンスやインターフェースの複数の領域でパスキーのプロンプトと情報を使用します。 これは、明確にラベル付けされた “create passkey “ボタンから、詳細な “why”（なぜ）、”what”（何を）、”where”（どこで）パスキーのメッセージングまで多岐にわたります。

推奨コンテンツ

アカウント作成

アカウント回復

アカウント設定

お役立ちツール

PasskeysのUXアーキテクチャ図

パスキーのUXアーキテクチャ図は、ガイドラインに含まれる4つのユーザージャーニーを表しています。

• ユーザー・ジャーニー1：パスキーを使って新しいアカウントを作成する
• ユーザーの旅2：アカウント回復中にパスキーや新しいパスワードを作成する
• ユーザー・ジャーニー3：アカウント設定でのパスキーの作成、確認、管理
• ユーザージャーニー4：パスキーによるサインイン

デモ映像

Figma UIキット

FIDOアライアンスFigma UIキットは、すぐに使えるUXコンポーネントとコンテンツのコレクションです。 パスキーアイコン、パスキーOSダイアログなど、このガイドラインにあるすべてのエクスペリエンスのソースファイルは、UIキットにあります。 パスキーのUXを飛躍させるために、ぜひご活用ください。

https://fidoalliance.org/design-system/ui-kit/

4つのユーザージャーニーで構成された詳細なガイドライン

詳細なガイドラインでは、パスキーに関する4つのユーザージャーニーを段階的に説明しています。

• ユーザー・ジャーニー1：パスキーを使って新しいアカウントを作成する。
• ユーザーの旅2：アカウント回復中にパスキーや新しいパスワードを作成する。
• ユーザーの旅3：アカウント設定でパスキーを作成、確認、管理する。
• ユーザー・ジャーニー4：パスキーによるサインイン。

ユーザー・ジャーニー1：パスキーを使って新しいアカウントを作成する。

UXの目標パスキー（パスワードなし）で新しいアカウントを作成できるようにする。

• 識別子とパスキー（パスワードなし）で新しいアカウントを作成できるようにする。
• セキュリティ・ポリシーとビジネス・ニーズに基づいて、フォールバック認証方法を含める。
• パスキー作成の成功率を上げることで、RPのアカウント作成時間を短縮する。
• パスキーがプラットフォーム・クラウド上で同期され、ユーザーのデバイス間でパスワードなしのサインインが可能になるため、アカウント回復の懸念を軽減できる。

ステップ1：「サインインまたはアカウント作成」ボタンを選択します。

ホームページ上で、人々が未認証の状態にある場合、サインインまたは新しいアカウントを作成するための、発見可能な単一の行動喚起を表示する。

重要な学習ホームページでは、人々が未認証の状態にある場合、サインインとアカウント作成の両方に1つのアフォーダンスを提供する。

エビデンス

調査の結果、デジタルビズでは、サインインした後にアカウント作成オプションを表示させるよりも、サインインとアカウント作成のオプションを組み合わせた方が、アカウント作成というアクションを発見しやすいことがわかった。 さらに、参加者の中には、自分がアカウントを持っているかどうかわからないことがあり、多目的ボタンがそのニーズに応えているとの報告もあった。

ステップ2：識別子（DigitalBizの場合はEメール）を入力し、”Sign in or create account “をクリックする。

Sign in or Create Account（サインインまたはアカウント作成）」ボタンを選択した後、「Sign in or Create Account（サインインまたはアカウント作成）」という見出しのページを表示し、「Email address（メールアドレス）」というタイトルの編集可能なテキストフィールドに、サインインまたはアカウント作成を開始するための行動喚起として「Enter email address（メールアドレスを入力してください）」という説明テキストを入力する。 有効なEメールを入力する前に、「続ける」というタイトルのアクションボタンを非アクティブな状態で表示し、Eメールの入力がサインインやアカウント作成の第一歩であることを強調します。 有効なメールアドレスを入力した場合は、「続ける」ボタンをアクション可能な状態で表示します。 Eメールがシステムで認識されない場合は、入力されたEメールアドレスに関連付けられた新しいアカウントを作成してください。

重要な学習：パスワード欄をなくす。

エビデンス

調査によると、サインインとアカウント作成の両プロセスを、メールアドレスの入力を促すプロンプトだけで始める（パスワード欄は設けない）ことで、アカウント作成とパスキーによるサインインは、パスワードが不要なシンプルで短いプロセスであるという認識を醸成することができたという。 このやり方は、”識別子優先 “アプローチや “ホーム領域発見 “と呼ばれることもある。

ステップ3：表示されたメールアドレスを確認し、”アカウントを作成 “する。

パスキー作成OSのダイアログを表示する前に、メールアドレスが表示されたアカウント作成中であることを強調するページを表示する。 アカウントを作成する」という見出しと、「を使ってアカウントを作成する」という説明文を目立つように表示することで、パスキーという馴染みのない概念に出会う前に、アカウント作成に向けて正しい道を歩んでいるのだと思わせ、安心させる。 アカウント作成が成功するように、一意の識別子を確認または更新できるようにします。

重要な学習パスキーの作成はアカウント作成の一部であるというRPからの安心感が、パスキーへの関心と信頼を高める。

エビデンス

調査の結果、パスワードの代わりに（見慣れない）パスキーの作成を促されることは、アカウント作成の仕組みに関する参加者の期待に反することが示された。 初期のアカウント作成デザインをテストした際、ステップ2（サインインまたはアカウント作成のためにEメールを入力する）から、見慣れない「パスキーを作成する」OSダイアログ（ステップ4）へ直接移動するのは、時間は短いものの、参加者が混乱することがわかりました。 アカウント作成への正しい道筋を歩んでいるという自信が損なわれ、パスキーを作成する前にアカウント作成を断念する参加者もいた。

ステップ4：表示されたメールアドレスのパスキーを作成する。

パスキーのOSダイアログを表示し、指定されたメールにパスキーを作成するかどうかを選択できるようにします。 Androidでは「続行」ボタン、iOSでは「確認」ボタンを選択して）パスキーの作成を選択すると、モバイルOSは認証にスクリーンロックを使用するよう促す。 Androidの人は “Cancel “ボタンを、iOSの人はダイアログの右上にある “X “を選択することで、パスキーの作成を拒否することができます。

パスキーの作成に成功した場合、OSからのパスキー作成確認のメッセージが表示され、自動的に消えます。

注：ステップ4a、4b、4cはOS（iOSまたはAndroid）によって制御されます。 RPはOSダイアログのデザインをコントロールできないため、すべてのKey Learningsがガイドラインに関連付けられるとは限らない。e.

Key Learning 1 of 3：パスキーは新しいものだが、タッチや顔でサインインすることは誰にとっても馴染みがあり、多くの人に信頼されていた。

エビデンス

調査の結果、パスワードの代わりに（見慣れない）パスキーの作成を促されることは、アカウント作成の仕組みに関する参加者の期待に反することが示された。 参加者の誰もパスキーについて聞いたことがなく、多くの参加者は当初、新しいアカウントに関連するパスキーの性質と目的について不安を表明した。

パスキーの作成」OSダイアログのテキストとシンボルから、ほとんどの参加者は、パスキーとは、パスワードの代わりにOSがデバイスの認証システム（顔やタッチなど）を使って本人確認を行う新しいサインインオプションだと推測した。 多くの参加者にとって、顔やタッチでサインインすることは慣れ親しんだ信頼できるプロセスであり、モバイル・アプリやパスワード・マネージャーを使った過去の経験から、速く、簡単で、安全であると認識されていた。 何人かの参加者は、顔やタッチでサインインするのは、パスワードを使うのに比べて速くて簡単であり、生体認証はハッキングが難しいユニークな識別子であると述べた。

Key Learning 2 of 3：「スクリーンロック」は多くの消費者にとって馴染みのない言葉であったため、PIN、パスコード、パターンの利用者は、パスキーが現在のデバイスの設定にも有効であることを認識しにくかった。

エビデンス

調査によると、多くの参加者が自発的に「スクリーンロック」という用語の意味を知らないと述べていました。この理解不足は、PIN、パスコード、またはパターンをパスキー対象デバイスの画面ロックとして使用している消費者にとって、パスキー採用の障壁となる可能性があります。

Key Learning 3/3：プライバシーとセキュリティへの懸念は、一部の消費者にとってパスキー導入の潜在的な障壁となる。

エビデンス

調査によると、多くの参加者は、モバイルアプリで顔やタッチを使ってサインインしたポジティブな経験に基づいて、パスキーを作成することに快感を覚えたと表明したが、プライバシーやセキュリティへの懸念から、パスキーの作成を拒否する参加者もいた。

参加者の中には、パスキーを一要素認証と見なし、パスワードとコードやリンクを含むMFAよりも安全性が低いと認識している人もいた。 他の消極的な参加者は、その情報がどこに保存され、誰がそれにアクセスできるのか（RP、アップル、グーグルなど）が不明確なため、モバイルベースのショッピングサイトにサインインするのに、顔、タッチ、PIN、パスコードを使うことに抵抗があると述べた。 パスキーの採用が一般的になるにつれ、こうしたプライバシーやセキュリティに関する懸念は、アカウント作成プロセス以外の教育を通じて解決される可能性がある。

あなたのサイトで新しいアカウントを作ろうとする人の中には、パスキーの作成を拒否する人がいることを予期してください。 パスキーの作成を拒否する新規の人に対しては、パスキーの作成を許可して、他の認証モデルに優雅にフォールバックさせる。 DigitalBizは潔くEメールのOTPに戻る。 選択するグレースフル・フォールバック・オプションは、御社独自のセキュリティとビジネスの目標に合致したものでなければなりません。 [ i ]

ステップ5：アカウント作成確認：オーバーレイを閉じるか、アカウントの確認を表示します。

パスキーを作成した人、パスキーの作成を拒否した人、すべての人に対して、認証されたプロフィールアイコンが見えるように、ホームページの上にオーバーレイで「アカウントが作成されました」という確認メッセージを表示する。 ブランドボイスとトーンに合った「ようこそ」の見出しでリードする。 この時点で、パスキーの作成を選択した人も、そうでない人も、すべての人が認証される。

設定]内で新しいパスキーに関する情報を見たり、無効にしたりできるように、[アカウントを表示]ボタンを主要なアクションとして提供する。 利用可能なすべてのサインイン方法を挙げてください。 ダイアログを閉じるために「X」アフォーダンスを表示し、人々がサイトの活動を開始できるようにします。

[ i ] 偽者が正当なユーザーのEメールアドレスを使用してアカウントを作成することを制限または防止するために、新規アカウント作成の一環として、何らかの形で身元を証明することをお勧めします。 DigitalBizではメールOTPとマジックリンクを使用していますが、お客様のセキュリティポリシーとビジネスドライバーによって、使用すべきID証明の方法が決まります。

Key Learning 1 of 2: パスキーOSダイアログの前後に実績のあるメッセージを使用する。

エビデンス

調査によると、OSのダイアログのみでパスキーの作成が終了し、RPからのアカウント作成確認のメッセージなしにサインインした状態でDigitalBizのホームページに戻された場合、多くの参加者が自分のアカウントの状態について不安を表明し、パスキーや新しいアカウントへのアクセス方法について疑問を口にした。

具体的には、参加者はデジタルビズのアカウント作成に成功したかどうか、タッチや顔による認証が利用できないデバイスでパスワードなしのサインイン体験がどのようなものかなど、パスキーの性質について不確かだった。 RPからアカウント作成の確認画面を追加することは、そうした懸念に対処する上で非常に効果的だった。

キー・ラーニング2の2：パスキー（パスワードではない）を使って新しいアカウントを作成した後、参加者はパスキーが利用できないデバイスで自分のアカウントにアクセスする方法について情報を求めた。

エビデンス

調査によると、モバイルでパスキーを使ってサインインすることの簡単さと利便性を高く評価する参加者からは、タッチやフェイスが使えない別のデバイスで新しいアカウントにアクセスする方法についての懸念の声も自発的に聞かれた。 サインインオプションに関するメッセージ、つまり「パ スキーまたは電子メールでお送りするコードでサインイン してください」を追加することで、バックアップ認証方法とし てパスワードがなくても、モバイルデバイスのロック解除方法をサポ ートしていない別のデバイスで、このアカウントに確実にアクセ スできることを、心配する参加者に安心させることができました。 [ i ] DigitalBizではメールOTPとマジックリンクを使用していますが、お客様のセキュリティポリシーとビジネスドライバーによって、使用すべきID証明の方法が決定されます。

ステップ6：アカウント設定でパスキー「カード」を見る。

ステップ5で「アカウントを表示」ボタンを選択した場合は、「セキュリティ設定」に移動します。 新しいアカウントでパスキーが作成されたことを確認するには、チェックマーク付きのパスキーのロゴと「Passkey created（パスキーが作成されました）」というテキストを表示し、「View passkeys（パスキーの表示）」というタイトルのリンクで、設定ページからパスキーの「カード」に移動します。

Sign-in options（サインイン・オプション）」という見出しの下に、パスキーと、パスキーが利用できない場合に選択する代替方法を含め、あなたのサイトで認証するために利用できるすべての方法を指定してください。

設定」では、パスキーを使用する理由、パスキーとは何か、パスキーはどこに保存されるかを説明するメッセージを常時表示します。 このパスキーの教育メッセージには、以下のようなものが含まれる：

パスキーを無効にするオプションを提供し、パスキーを無効にした後のアカウントへのアクセス方法を説明するメッセージを含める。 例えば、「パスキーを無効にすると、パスワードまたはDigitalBizがEメールに送信するコードでサインインすることになります。

パスキーは、新しい用語であり、新しいビジュアルアイコンであり、消費者のための新しい認証方法である。 可能な限り、身近な概念や視覚、経験と比較することで、パスキーの性質や価値を理解してもらう。 例えば、パスキーアイコン（未知）をデバイスアイコンやロックアイコン（既知）と並べて使用する。

キー・ラーニング1の2：パスキーについて人々に教えるには、なじみのないもの（パスキー）をなじみのあるものと結びつける。

エビデンス

調査によると、人々はパスキーの性質とそれを使う理由を理解しようとしているが、技術的な説明はしばしば混乱を招き、不安を増大させ、アカウント作成を断念させる。 パスキーと慣れ親しんだ技術を比較した簡潔なメッセージとアイコンは、適切なレベルの情報を提供して安心させ、次に進む自信を与えるのに最も効果的だった。

キー・ラーニング2/2：パスキーはパスワードに比べて抽象的で無形であるため、不安を感じる人もいる。 パスキー・カード」を通じてパスキーをより具体的なものにすることは、パスキーの性質と価値について人々を安心させる効果的な戦略だった。

エビデンス

調査によると、参加者はパスキーの性質と価値を理解しようとしているが、あいまいで専門的な説明はしばしば混乱を招き、不安を増大させる。 しかし、パスキーカードによって、人々はインターフェイス上の紛れもないオブジェクトを見ることができ、後でアカウント設定でそれを見つけ、パスキーに関する有益な情報を得ることができる。

ユーザーの旅2：アカウント回復時に新しいパスワードの代わりに、または新しいパスワードに加えてパスキーを作成する。

UXの目標新しいパスワードの代わりに、または新しいパスワードに加えてパスキーを作成できるようにする。

• 本人確認の後、パスキーまたは新しいパスワードの作成を許可する。
• 新しいパスワードを作成する場合は、パスキーの作成も許可する。

ステップ1: パスワード忘れ体験の開始。

パスワードをお忘れの方は、”Forgot password “リンクをクリックしてください。

ステップ2：このステップ以降、「アカウントの確認」コールトゥアクションを使用します。

このワークフローでは最終的にパスキーを作成するため、このステップから「Confirm account（アカウントの確認）」コールトゥアクションを使用し、「Reset password（パスワードのリセット）」コールトゥアクションを使用します。

ステップ3：身元証明を続ける。

DigitalBizの本人確認プロセスでは、本人確認のためのメールが送信されます。 FIDO アライアンスは、身元証明の特定の方法を推奨しているわけではない。 貴社独自のセキュリティ・ポリシーとビジネス上の推進力により、アカウント回復時の身元証明の方法が決定されます。 [ i ]

ステップ 4：新しいクレデンシャル（パスキーまたはパスワード）を作成する。

身分証明の後、パスキーまたは新しいパスワードを作成する選択肢を提供する。

passkeysヒーロープロンプトを使用して、passkeysをプライマリパスとして昇格させる。 新しいパスワードを作成することを選択した場合でも、後でアカウント設定でパスキーを作成できることを知らせるテキストを含める。

Key Learning 1 of 3: 人々がアカウント管理を意識し、アカウントにアクセスしようとして摩擦を経験しているとき、パスキーの作成は、他のサイト関連のコアタスクを達成するための歓迎されない中断や障壁ではなく、そのタスクに関連する強化のように感じられる。

エビデンス

調査によると、パスワードの再設定という苛立たしい経験を想像しながらパスキーという新しいコンセプトを考えたとき、人々はパスキーが自分のアカウントへのアクセスを回復するという直接的なニーズに応えるだけでなく、将来的にこの苛立たしさと時間のかかるパスワード再設定作業を回避するのに役立つと予想し、パスキーという新しいコンセプトに対するモチベーションと興味を高めた。

主な学び2/3：メッセージは、参加者にパスキーの作成を促すのに効果的だった。

エビデンス

パスワードの代わりにパスキーを作成することは、”Forgot password “ワークフローの文脈では予想外の選択だった。 参加者は、パスキーを作成するか新しいパスワードを作成するかの選択を迫られたときに、適切なタイミングで決断を下せるよう、パスキーに関する一番の疑問に答える簡潔でシンプル、かつ適切なメッセージングに感謝の意を表した。

Key Learning 3/3：新規アカウント作成に比べ、既存のパスワードを持っている人は、特にそれを手放したがらないかもしれない。 すでにパスワードを使っている人は、パスキーの作成、新しいパスワードの作成、またはその両方を選択できることを高く評価している。

エビデンス

調査によると、パスワード忘れによるアカウント回復シナリオを経験した参加者は、新しいアカウントを作成するシナリオと比較して、パスワードを手放したくないと感じ、特に他のデバイスでのアカウントアクセスを重視している場合は、パスワードを手放したくないと感じることが示された。

既存のパスワードの回復という文脈では、パスワードをリセットしても、その後にパスキーを作成できることは、既存のパスワードユーザーにパスキー作成を促す効果的な方法であった。

ステップ5a – ステップ4で「Continue」を選択した場合は、パスキーを作成します。

OSのダイアログを表示し、パスキーの作成・拒否を選択できるようにする。 Androidでは「続行」、iOSでは「確認」ボタンを選択することで）パスキーの作成を選択すると、モバイルOSは認証にスクリーンロックを使用するよう促す。

Androidを使用している人は、OSのダイアログで「キャンセル」ボタンを選択することで、iOSを使用している人は、ダイアログの右上にある「X」を選択することで、パスキーの作成を拒否することができます。

パスキーの作成に成功した場合、OSからのパスキー作成確認メッセージが表示され、自動的に消えます。 その後、”Passkey created “の確認画面が表示されます。

ステップ5b：ステップ4で “Create a new password “が選択されている場合、新しいパスワードを作成する。

アカウントの確認」ページ（画面5）で「パスワードを作成する」を選択した場合は、新しいパスワードを作成するページに誘導する。

新しいパスワードが正常に作成されたら、「新しいパスワードが作成されました」確認ページに移動し、パスキーのヒーロープロンプトを使用してパスキーの作成を再度促します。

パスキーを作成した人には、認証されたプロフィールアイコンが見えるように、ホームページの上にオーバーレイで「成功」メッセージを表示します。 ブランドボイスとアイデンティティにマッチした「成功」の見出しでリードする。 設定]内で新しいパスキーに関する情報を見たり、無効にしたりできるように、[アカウントを表示]ボタンを主要なアクションとして提供する。 利用可能なサインイン方法を列挙する。

ダイアログを閉じるために「X」アフォーダンスを表示し、人々がサイトの活動を開始できるようにします。

重要な学習パスワードのリセット時に新しいパスワードの作成を諦めることは、パスキーが提供する利点を重視する人であっても難しい。 すでにウェブサイトのパスワードを持っている人は、最初にパスワードをリセットし、その後にパスキーも作成できる機能を高く評価した。

エビデンス

調査によると、パスワード忘れによるアカウント回復シナリオを経験した参加者は、新しいアカウントを作成するシナリオと比較して、特に他のデバイスでのアカウントアクセスを重視している場合、そのパスワードを手放したくないと感じることが示された。 既存のパスワードを回復するという文脈では、パスワードをリセットしても、その後にパスキーを作成できることは、パスワードを使っている人にパスキーを作成するよう促す効果的な方法だった。

キー・ラーニングパスキーOSダイアログの前後で、実績のあるメッセージを使う

エビデンス

調査によると、パスキーが作成され、サインインした状態でDigitalBizのホームページに戻された場合、RPから「成功」の確認画面を追加することが、パスキーが作成され、どのようにサインインできるようになったかを知ってもらうのに非常に効果的であることがわかった。

主な学習パスキーの作成後、参加者はパスキーが利用できないデバイスで自分のアカウントにアクセスする方法について情報を求めた。

エビデンス

調査によると、パスキーによるサインインの簡単さと利便性を高く評価する参加者は、タッチやフェイスが使えない別のデバイスで新しいアカウントにアクセスする方法について自発的に懸念を表明した。 パスワードがなくても、モバイルデバイスのロック解除方法に対応していない別のデバイスから、このアカウントに確実にアクセスできることを、心配する参加者に安心させることができました。 [ i ]DigitalBizでは、追加のサインインオプションとしてメールOTPとマジックリンクを使用していますが、どのような追加認証方法を使用するかは、お客様独自のセキュリティポリシーとビジネスドライバーによって決定されます。

ユーザーの旅3：アカウント設定でパスキーを作成、確認、管理する。

UXのゴールパスキーの作成、確認、管理を可能にする。

• この人のパスキーが存在しない場合: アカウント設定の一番上にあるパスキー・ヒーロー・プロンプトを含めます。
• その人にパスキーがある場合は、それを「カード」として見ることができるようにする。 パスキー1枚につきカード1枚。
• この人のパスキーが存在する場合：インターフェイスのパスワードの上にパスキーUIを置く。
• その人にパスキーがある場合：パスキーを無効にする機能を提供する。

この人のパスキーが存在しない場合: アカウントセキュリティ設定の上部にパスキーのヒーロープロンプトが表示されます。

この人のパスキーが存在する場合：パスキーカード（パスキーごとに1枚）、パスキーに関する情報、パスキーに対するアクションを表示します。

主な学びほとんどの参加者は、アカウント設定内でいつでも既存のアカウントを更新するためのパスキーを作成できるオプションを高く評価しています。 ほとんどの参加者は、認証設定について積極的に学び、更新するための直感的で便利な場所として、「アカウント設定」を評価している。

エビデンス

調査によると、参加者はパスキーの性質と価値を理解しようとしているが、あいまいで技術的な説明が混乱を招き、パスキー作成を断念することが多い。 しかし、慣れ親しんだバイオメトリックの図像と、パスキーを身近な技術と比較する簡潔なメッセージは、参加者にパスキーについて適切なレベルの情報を提供し、この馴染みのない技術の使用に自信を持たせるのに最も効果的であった。 すでにパスキーを持っている人にとって、パスキーカードは、後で頭で見たり、後でアカウント設定で見つけたり、パスキーに関する有益な情報を得るために使ったりできる、インターフェース上の紛れもないオブジェクトとなる。

ユーザー・ジャーニー4：パスキーによるサインイン。

UXの目標：パスキーやその他の方法でサインインできるようにする。

• ユーザー名入力フィールドにautocomplete=”webauthn “を追加して、オートフィルを有効にします。 これにより、パスワード・マネージャーを使用して、素早く簡単にパスキーでサインインすることができます。
• 他のサインイン方法へのグレースフル・フォールバックをサポート。 サインインやアカウント作成のために、別の識別子（例えば、DigitalBizでは電子メールアドレス）を入力できるようにする。

私たちの調査では、専用の「パスキーでサインイン」リンク、ボタン、自動入力に対する参加者の成功と満足度を調査しました。 私たちのテストによると、パスキーを使ってサインインする場合、自動入力が最も成功率が高かった。

ステップ1：サインインまたはアカウント作成ボタン。

重要な学習ホームページでは、サインインとアカウント作成の両方に1つのアフォーダンスを提供する。

エビデンス

調査の結果、デジタルビズでは、サインインした後にアカウント作成オプションを表示させるよりも、サインインとアカウント作成のオプションを組み合わせた方が、アカウント作成というアクションを発見しやすいことがわかった。 さらに、参加者の中には、自分がアカウントを持っているかどうかわからないことがあり、多目的ボタンがそのニーズに応えているとの報告もあった。

ステップ2: サインインまたはアカウント作成ページ – 自動入力をサポートします。

Key learning 1 of 2: オートフィルでパスキーのサインインが素早く効率的に。

エビデンス

調査によると、自動入力を有効にした場合、パスキーでのサインインに対する参加者の反応は圧倒的に肯定的であった。 自動入力を使ってパスキーでサインインすることを表す形容詞として最も頻繁に使われたのは、「シンプル、速い、効率的、シームレス」だった。

ガイドラインについて

本書に関するご質問とご意見

パスキーを導入しているサービスプロバイダ、または市場でパスキーをサポートする製品を作成しているサービスプロバイダの方は、あなたの経験、このUXガイドライン、または共有したいその他のことについて、ご意見をお聞かせください。 info@fidoalliance.orgまでご連絡ください。

本書の目的

これはFIDOアライアンスの3番目のUXガイドライン大要である。 本文書の passkeys UX ガイドラインは、FIDO 導入時の意思決定を迅速化し、パスキーの迅速で、よく設計され、使用可能な実装を促進することを意図している。 本文書は、非規制業種をベースとする消費者向けウェブサイトで同期パスキーの有効化を目指す依拠当事者（RP）および実装者のためのユーザエクスペリエンス（UX）ガイドラインおよびベストプラクティスを提供する。 デバイスバウンドパスキーを活用したFIDOデプロイメントに関するUXガイダンスについては、FIDOセキュリティキーUXガイドラインをご覧ください。

この文書の読者

このガイドラインは、大規模な開発・展開に先立ち、パスキーのデモを作成したいと考えているサービス・プロバイダーの製品、デザイン、開発リードのための実践的な戦略、デザイン、コンテンツ・メッセージング・リソースである。 このガイドラインは、Figma UI キットと共に、サービス・プロバイダーがパスキーのデモや展開を独自に設計・開発する際の意思決定を迅速化し、必要な作業を削減し、導入プロセスを合理化することを目的としています。

この文書に記載されている内容の結果、望まれる成果

• パスワードによる新規アカウント作成を減らすか、廃止する。
• カスタマージャーニーのどのタッチポイントがパスキー戦略構築に最適かを学ぶ。
• パスキーの採用を最適化し、パスワード回復プロセスを削減します。
• パスキーの採用率を高め、パスキーの作成を成功させる。
• 既存の顧客がパスワードの代わりにパスキーを使用できるようにする。
• 正式なユーザビリティ調査によって証明された、再利用可能なUXパターンで時間とコストを削減します。
• FIDOアライアンスFigma UIキットを使用して独自のプロトタイプを作成することで、パスキーの作業を加速できます。
• パスキーのコンテンツ原則を参考に、ニーズに合わせてパスキーの作業を加速させます。

スコープについて

ガイドラインの根拠となった研究の範囲

パスキーの作成とサインインのモデルを描いたクリック可能なFigmaのプロトタイプを使用し、計26人の参加者を対象に、モデレーター付きの反復的な消費者インタビューが4ラウンド行われました。 また、初期の取材では、ウィンドウズ10以上のマシンとアンドロイドやiPhoneの携帯電話とのハイブリッドによるサインインのライブ・デモ・サイトも公開された。

FIDOアライアンスのユーザー・エクスペリエンス・ワーキング・グループ（UXWG）の協力のもと、Blink UXというリサーチ＆デザインエージェンシーが、全米の消費者を対象にZoomを使った遠隔調査を実施した。 参加者は全員、携帯電話の画面ロック（暗証番号またはパスコード、顔、タッチなど）を有効にしており、モバイルSafari、Chrome、Edgeのいずれかを主要ブラウザとして使用していた。 iPhoneとAndroidを使用する2人の参加者は、全盲または弱視であり、FIDOとパスキーに対応したDigitalBizのライブテストサイトを使用して、モバイルウェブ上のコンテンツをナビゲートし、利用するために、デバイスのネイティブスクリーンリーダー（トークバックまたはボイスオーバー）を使用した。

これらのUXの推奨は、ネイティブのモバイルアプリではなく、ブラウザベースのサイトに最適化されていることに注意してください。

この文書にあるデザインとメッセージングに関する推奨事項は、UXWGのメンバーが数カ月にわたって調査、研究、コラボレーションを行った後に作成されたもので、これには、有名なパスキーの展開状況の監査、パスキーを開発したプラットフォームプロバイダーやブランドとのインタビュー、4回にわたる反復的なUX調査が含まれます。

これらの調査の過程で、UXWGはまず、RPがパスキーの新しいコンセプトについて人々に説明し、教育することができる50以上のタッチポイントの可能性を特定しました。

UXの文脈では、プライミングとは、顧客にさりげなく影響を与え、特定の行動へと導くメッセージやビジュアルを採用したインターフェイスをデザインすることを意味する。 プライミングは、明示的な指示を与えることなく直感的に体験させるために用いられ、体験の喜びを感じることに貢献する。

セキュリティ・ポリシーは、このガイドラインの対象外である

ガイドラインは、パスキーが同期されたFIDO独自のUXコンセプトに焦点を当てている。 この作品を通して、さまざまな形の身元証明や非FIDO認証の例を目にするだろう。 ID プルーフィングまたはその他の非 FIDO 認証メカニズムについては、各 RP に固有であり、各 RP 独自のビジネス・ニーズとセキュリティ・ポリシーに基づいているため、本ガイドラ インは、セキュリティ・ガイドラインを規定するものではない。 ガイドライン全体を通して、この記号 [ i ] を探してください。

カスタマージャーニーのタッチポイントを調査

UXWGは、カスタマージャーニーにおけるパスキーのタッチポイントを50以上特定した。 UXWGは、初期の監査と、より詳細に検討するための議論を通じて、パスワードでサインインするすべての人にパスキーの作成を促すこと、ハイブリッドサインイン、パスキー関連のマーケティング、カスタマーサポートのメッセージングなど、テストすべき18のタッチポイントを特定した。 UXWGは、共同および発散的なアイデア出しを複数回実施し、最初の2回のテストで人々を観察し、話を聞き、調査から得た洞察を総合した結果、パスキーの作成とサインインを人々が最も受け入れやすい9つのタッチポイントを特定した。 この9つのアカウント関連のタッチポイントが、このガイドラインの焦点である。

1. iOSでパスキーを使ってアカウントを作成する
2. Androidでパスキーを使ってアカウントを作成する
3. iOSでアカウント設定からパスキーを作成する
4. Androidでアカウント設定からパスキーを作成する
5. パスワード忘れによるアカウントリセットの際、iOSでパスキーを作成する
6. パスワード忘れによるアカウントリセットの際、Androidでパスキーを作成する
7. パスキーを作成したのと同じiOSデバイスで、パスキーを使ってサインインする。
8. パスキーが作成されたのと同じAndroidデバイスで、パスキーを使ってサインインする。
9. パスキーを無効にするアフォーダンス

著者と身元引受人について

なぜFIDOなのか？

インターネットとモバイル・テクノロジーは、私たちのコミュニケーション、取引、サービス提供の方法に革命をもたらした。 しかし、こうした進歩は、オンライン・サービスを利用する人々を認証するために、苛立たしく危険なパスワードに過度に依存するという問題も生み出した。

2012年、思想をリードする組織や個人が集まり、FIDOアライアンスが結成された。 アライアンスの使命は、よりシンプルで強力な最新の認証方法の標準を作成し、その普及を促進することである。 FIDOアライアンスの成功例には以下のようなものがある：

• 公開鍵暗号方式に基づく強力でフィッシングに強い認証のための標準規格を発表
• ワールド・ワイド・ウェブ・コンソーシアム（W3C）と協力し、FIDOテクノロジーを公式ウェブ標準として確立。
• ソリューション開発と相互運用性テストを促進するために、認証ツール、プロセス、グローバルワークショップを確立。
• 世界有数の家電メーカーやウェブサービスブランドの多くに対して、FIDO標準ベースのアプローチを世界的に支持することを達成した。
• FIDO認証の規模を拡大するためにパスキーを導入し、オペレーティングシステムや依拠当事者間のサポートを拡大した。

このような成功と FIDO 認証の世界的な認知の高まりから、FIDO ロゴの付いた製品やサー ビスは、フィッシングに耐性があり、相互運用性が高く、人に優しい認証と関連付けられている。

FIDOアライアンスについて

FIDO（Fast Identity Online）アライアンス（www.fidoalliance.org）は、パスワードへの世界の過度の依存を減らすための認証標準という、焦点を絞った使命を持つオープンな業界団体である。

FIDOアライアンスは、パスワードやSMSワンタイムパスワードよりも安全で、消費者が使いやすく、サービスプロバイダーが導入・管理しやすいサインイン体験を提供するオープンスタンダードで、認証の本質を変えようと取り組んでいる。 FIDO認証は、オンラインサービスでの認証において、より強力で、よりプライベートで、より使いやすくなっている。

アライアンスは、企業、決済、電気通信、政府、ヘルスケアなど数百ものグローバル・テクノロジー・リーダーが、パスワードへの依存を減らすというアライアンスのミッションに賛同して結集したものである。 アライアンスメンバーは、FIDO仕様の開発に影響を与え、FIDO認証の展開のためのベストプラクティスを確立し、アライアンス、その使命、およびFIDO仕様に対する世界的な認知を促進することによって、この使命に貢献しています。

passkeysについて

Passkeyは、パスワードの代わりとなるもので、ウェブサイトやアプリへのサインインを、より速く、より簡単に、より安全に、人々のデバイス間で提供する。 パスワードとは異なり、パスキーはフィッシングに耐性があり、常に強固で、秘密の共有がないように設計されている。

アプリやウェブサイトのアカウント登録が簡素化され、使いやすく、すべての人のデバイス、さらには物理的に近くにある他のデバイスでも機能する。

技術的な観点から言えば、パスキーはパスワードレス認証のための「発見可能な」FIDOクレデンシャルである。 暗号キーは、安全な認証に使用される人々のデバイス（コンピュータ、電話、またはセキュリティ・キー）から使用される。

携帯電話やパソコンのOSで管理されているパスキーは、クラウドサービスを介して本人のデバイス間で自動的に同期される。 クラウド・サービスは、FIDO クレデンシャルの暗号化されたコピーも保存する。 パスキーは、デザイン上、コピーできない単一のデバイスからのみ利用できるようにすることもできる。 このようなパスキーは、「デバイス・バインド・パスキー」と呼ばれることもある。例えば、物理的なセキュリティ・キーやコンピュータ・プラットフォームには、複数のデバイス・バインド・パスキーが含まれている可能性がある。 このドキュメントのUXリサーチとその結果のガイダンスは、同期されたパスキーをカバーしています。

パスキー」という言葉は一般名詞であり、「パスワード」と同じような意味だと思ってください。 文頭以外は小文字で書く。 パスキー」（および複数形の「パスキー」）という用語は、クロスプラットフォームの汎用用語であり、特定のプラットフォームに結びついた機能ではありません。

FIDOアライアンスUXワーキンググループ（UXWG）について

世界中の企業がFIDO標準に基づくパスワードレス認証への移行を加速させる中、ユーザー・エクスペリエンスの話題が最前線に浮上している。 簡単に言えば、UXが十分でなければ、消費者はパスワードの代わりとしてパスキーを採用するのに時間がかかり、人々は回避策を見つけるだろう。 さらに、MFAはもはやセキュリティや利益追求のためだけのものではなくなりつつある。 より良い認証ユーザー・エクスペリエンスが、オンライン・サービスへの迅速かつシームレスなアクセスを可能にし、より強いブランド親和性を生み出すことによって、トップラインの成長を促進することは明らかである。

FIDOソリューションの採用を加速し、パスワードへの世界の過度な依存を軽減するというFIDOアライアンスのビジョンを達成するため、UXワーキンググループ（UXWG）は、ユーザビリティとUXに関連する問題について、FIDOアライアンス内の主題専門家および内部アドバイザーとしての役割を果たしています。

FIDOアライアンスUXWGは31社79名で構成されている。 UXWGの議長はケビン・ゴールドマン。 出版時のUXWGメンバーは以下の通り：

Matt Davey , AgileBits, Inc. dba 1Password | Benji Debnam , AgileBits, Inc. dba 1Password | Travis Hogan , AgileBits, Inc. | ミッチェル・アルメンタ、アクシアドIDS社 | ビヨンド・アイデンティティ株式会社 | ビヨンド・アイデンティティー、ベッキ・リー | アビー・バービア｜CVSヘルス｜ポール・イヴァニフスキー｜CVSヘルス｜シーサ・クリアン｜CVSヘルス｜ニール・シャー｜CVSヘルス｜ジュリア・シャニエ｜ダシュレーン｜リュー・イスラム｜ダシュレーン｜ヒューゴ・ルルー｜ダシュレーン｜マシュー・ミラー｜デュオ・セキュリティ社 | Duo Security, Inc. | ダーク・バルファンズ , グーグル株式会社 | クリスティアン・ブランド , グーグル | シルビア・コンヴェント , グーグル株式会社 | ミッチェル・ガラバン , グーグル株式会社 | グーグル株式会社 | レベッカ・シャリーフ , グーグル株式会社 | HYPR｜ポール・チュニック｜HYPR｜サラ・ジマーズ｜HYPR｜スニル・ジョージ｜IBM｜シェーン・ウィーデン｜IBM｜ジョージ・フスザー｜イデミア｜アリソン・ワグナー｜イデミア｜エリザベス・ビーズリー｜インテュイット｜ラカン・ハリド｜インテュイット｜ユーティン・リャオ 、インテュイット｜カルヴィン・マー , インテュイット｜アリム・ユーン , インテュイット｜ジュディ・クレア , JPモルガン・チェース銀行｜ジュリア・トリニダード , JPモルガン・チェース銀行｜ロバート・ウォーン , JPモルガン・チェース銀行｜苅野達也 , 株式会社メルカリ , JPモルガン・チェース銀行｜ジュディ・クレア , JPモルガン・チェース銀行｜ジュリア・トリニダード , JPモルガン・チェース銀行｜苅野達也 | メルカリ｜大井浩太郎 | Ellis Clarke , Meta | Yao Ding , Meta | Shengfei Gu , Meta | Jinjing Song , Meta | Tim Cappalli , Microsoft | James Hwang , Microsoft | Jackie Comp , Nok Nok Labs | Vittorio Bertocci , Okta, Inc. | ペイパル｜アミット・バティア｜ペイパル｜フィル・カタルファモ｜ペイパル｜リサ・グロッシ｜ペイパル｜マット・ウェルシュ｜ペイパル｜ジョンス・キム｜サムスン電子株式会社 | ソニー株式会社｜Cam Champeau｜ソニーグループ株式会社｜Manish Khedawat｜ターゲット・コーポレーション｜Tom Sheffield｜ターゲット・コーポレーション｜JAEBEOM KIM｜テレコム・テクノロジー・アソシエーション｜Kevin Goldman｜Trusona,Inc。 | アンドリュー・ウォード、トゥルソナ社 | スティーブン・オー , TrustKey｜リサ・クロスビー , U.S.銀行｜パメラ・デグナン , U.S.銀行｜クリスティーナ・デバイン , U.S.銀行｜レスリー・ジョンソン , U.S.銀行｜ダン・ランディーン , U.S.銀行｜コートニー・マークソン , U.S.銀行｜マイケル・トス , U.S.銀行｜アマンダ・ウィリス , U.S.銀行｜パトリック・リーヒー , VMware｜ジョイス・オシタ , VMware｜ジニー・エルズワース , ウェルズ・ファーゴ｜ボブ・ハリガン , ウェルズ・ファーゴ｜ギャビン・ファング , ウェルズ・ファーゴバンク｜パトリック・リーヒー｜VMware｜ジョイス・オーシタ｜VMware｜ジニー・エルズワース｜ウェルズ・ファーゴ｜ボブ・ファリガン｜ウェルズ・ファーゴ｜ギャビン・ファン｜ウェルズ・ファーゴ｜ニティヤ・スリニヴァサン｜ウェルズ・ファーゴ｜エイミー・ウルリッヒ｜ウェルズ・ファーゴ｜ユエ・チン｜WiSECURE Technologies｜ブレイク・ヘンソン｜Yubico｜アーサー・ロー｜Yubico

ガイドラインの引受人について

FIDOアライアンスは501(c)(6)の非営利団体です。 独立した第三者のUX調査会社に依頼するとコストがかかる。 FIDOアライアンスのメンバー企業3社は、この調査の費用を負担してくれた。 1Password、Google、U.S.Bank、Trusonaの資金援助に感謝する。

関連リソース

このガイドラインは、FIDOのロゴ使用ガイドライン、 FIDOプライバシー原則、障害者がFIDOの導入にアクセスできるようにするためのガイダンス、FIDOアライアンスデザインシステム、passkeys.dev、およびその他の技術文書を含む、他のFIDOアライアンスの出版物と併用して使用されるべきである。 この文書に含まれるすべてのヒューマン・インターフェースは、編集可能なFigmaコンポーネントとして、FIDOアライアンスのFigma UIキットにあります。

FIDOプロトコルのデバイス、オペレーティングシステム、およびブラウザのサポートは、時間の経過とともに変化する。 パスキーの実装中に問題が発生した場合は、FIDO-devメーリングリストなどのオンラインリソースを活用するか、電子メールでFIDOアライアンスにお問い合わせください。