패스키 생성 및 로그인을 위한 FIDO 얼라이언스 UX 가이드라인

FIDO 얼라이언스 UX 워킹 그룹은 타사 UX 리서치 회사와 함께 수행한 UX 연구를 바탕으로 패스키에 대한 가이드라인을 만들었습니다. 이 연구에는 미국 전역의 26명의 참가자가 참여했으며, 이들은 규제를 받지 않는 산업을 대표하는 피그마 프로토타입과 라이브 데모 웹사이트를 통해 상호작용했습니다. 모든 참가자는 아이폰 또는 안드로이드 모바일 기기를 사용했고, 두 명의 참가자는 스크린 리더를 사용했습니다.

시작하기

이 연구를 통해 사용자에게 비밀번호를 생성하도록 유도하는 가장 성공적인 장소 세 곳을 파악했습니다. 요약된 UX 및 콘텐츠 원칙과 유용한 도구로 시작하세요. 그런 다음 네 가지 일반적인 사용자 여정에 대한 자세한 가이드라인을 계속 읽어보세요.

UX 원칙

이해해야 할 10가지 UX 원칙
웹사이트 시작
암호키를 사용합니다.

콘텐츠 원칙

세 가지 콘텐츠 원칙
를 위해 특별히 제작되었습니다.
콘텐츠 전략가.

UX 원칙

1. 계정 관련 작업과 함께 암호키를 생성하라는 메시지가 표시됩니다.

사람들이 이미 계정 생성, 계정 복구 또는 계정 설정의 일부로 계정 관리에 익숙해져 있는 경우, 비밀번호 생성 옵션을 쇼핑과 같은 다른 핵심 사이트 작업을 수행하는 데 방해가 되거나 방해가 되는 것이 아니라 사이트 경험에 도움이 되는 개선 사항으로 인식할 가능성이 더 높습니다. 로그인 환경 중에 비밀번호를 만들라는 메시지가 제대로 표시되지 않았습니다.

2. 2. 익숙하지 않은 것(패스키)과 익숙한 것을 연결합니다.

패스키는 새로운 용어이자 새로운 시각적 기호이며 소비자를 위한 새로운 인증 방법입니다. 가능하면 패스키를 익숙한 개념, 시각 자료, 경험에 연결하여 패스키의 본질과 가치를 이해하도록 도와주세요. 예를 들어 생체 인식 환경은 친숙합니다.

3. 3. OS 대화 상자 전후에 검증된 패스키 메시지와 아이콘을 사용합니다.

패스키 OS 대화 상자를 트리거하기 전에 현재 작업의 상태와 관련된 패스키 메시지, 아이콘 및 동작을 표시합니다. 패스키 OS 대화 상자가 완료되거나 해제된 후 메시지와 아이콘을 사용하여 작업의 결과 상태를 표시합니다. 이는 신뢰 당사자(RP) 웹사이트와 OS 대화상자 사이에 ‘핸드셰이크’를 제공하고, 패스키를 통해 계정 액세스 및 보안을 최적화하기 위해 OS와 RP가 어떻게 협력하고 있는지 명확하게 설명하여 새로운 개념의 패스키에 대한 사람들의 신뢰와 관심을 높이는 데 도움이 됩니다.

4. 패스키와 관련된 자유와 선택권을 허용합니다.

소비자가 자신의 경험을 계속 제어하고 브랜드에 대한 신뢰를 쌓을 수 있도록 비밀번호 생성 및 관리와 관련된 명확한 옵션을 제공하세요. 비밀번호를 사용하거나 사용하지 않고 계정을 만들 수 있도록 허용합니다. 비밀번호 재설정 시 새 비밀번호를 만들거나 대신 패스키를 만들도록 허용하세요.

5. 패스키 사용 전후에 접근성 원칙을 준수합니다.

패스키는 사용자가 인식할 수 있는 방식으로 제공되고, 보조 기술을 사용하여 조작할 수 있으며, 패스키를 사용하는 여정에서 워크플로 전반에 걸쳐 다양한 기능적 요구가 있는 사용자가 이해할 수 있을 때 가장 접근성이 높습니다. 장애인이 액세스할 수 있는 FIDO 배포를 위한 지침 및 기본 웹 콘텐츠 접근성 지침(WCAG)과 같은 접근성 지침을 준수합니다.

6. 고객 여정 전반에 걸쳐 패스키 히어로 프롬프트를 일관되게 사용하세요.

특정 기호, 헤드라인, 메시지, 콜투액션이 포함된 패스키용 ‘히어로’를 만듭니다. 고객 여정에서 계정과 관련된 순간에 전체 영웅 콘텐츠를 일관되게 사용하세요. 예를 들어, 전체 영웅을 사용하는 것과 ‘비밀번호 생성’ 버튼만 사용하는 것을 비교해 보세요.

그림 1: 패스키 영웅 프롬프트.

7. 패스키에 대한 유용한 정보를 유지합니다.

추가 클릭 없이도 비밀번호에 대한 유용한 정보를 휴먼 인터페이스에서 확인할 수 있습니다. 예를 들어, 패스키가 생성된 후에도 계정 설정의 영웅 메시징에서 패스키 ‘무엇’ 및 ‘어디’ 메시지를 유지합니다. 텍스트를 기본적으로 표시하고 추가 클릭 아래에 숨기지 마세요. 다른 예로, 사람들에게 비밀번호를 비활성화할 수 있는 선택권을 주어야 하지만 비밀번호 없이 로그인하는 방법을 이해하지 못할 수도 있으므로 ‘비밀번호 비활성화’ 링크 옆에 비밀번호를 비활성화하면 어떤 기능이 수행되는지에 대한 간단한 설명을 추가하세요. 휴먼 인터페이스에서 이 설명을 계속 유지합니다. 예를 들어, 마우스오버 시에만 노출되는 툴팁에는 이 정보를 넣지 마세요.

8. 계정 설정에서 비밀번호를 기본 옵션으로 설정합니다.

비밀번호의 표시 및 상호작용 모델을 개인의 계정 설정에서 사용자 아이디, 비밀번호 또는 2FA와 같은 다른 인증 항목의 표시 및 상호작용 모델과 일치시킵니다. 예를 들어, 계정 설정 내의 다른 로그인 옵션에 H2 머리글이 붙어 있다면 ‘비밀번호’에도 H2 머리글을 붙이세요.

9. 의미 있는 콘텐츠가 담긴 ‘패스키 카드’를 표시하여 패스키에 모양을 부여합니다.

문자, 숫자, 기호의 가시적인 조합인 비밀번호와 달리 디지털 패스키는 대부분 사람들에게 보이지 않습니다. 계정 설정에서 패스키 카드 어포던스를 표시합니다. 카드 안에는 비밀번호 아이콘, 메시지, 옵션이 포함되어 있어 비밀번호가 활성 상태이고 사용 가능하며 관리할 수 있다는 신뢰를 심어주고 안심할 수 있습니다. 패스키가 두 개 이상인 경우 각 패스키에는 고유한 카드가 있습니다.

그림 2: 비밀번호가 있는 계정 설정 인터페이스.

10. 고유한 보안 및 비즈니스 요구사항에 따라 UX를 계획하세요.

이 가이드라인은 동기화된 패스키를 사용하는 FIDO 고유의 UX 개념에 중점을 둡니다. 이 작업을 통해 다양한 형태의 신원 증명 및 비-FIDO 인증 예제를 볼 수 있습니다. 본 가이드라인은 신원 증명 또는 기타 비-FIDO 인증 메커니즘에 대한 보안 가이드라인을 규정하지 않으며, 이는 각 RP마다 고유한 비즈니스 요구 사항과 보안 정책에 따라 달라질 수 있습니다. 가이드라인 전체에서 자체 보안 정책과 비즈니스 동인이 작용하는 부분을 나타내는 이 기호 [ i ]를 찾아보세요.

콘텐츠 원칙

UX 원칙은 콘텐츠 디자인 및 전략에 어떻게 적용되나요? 비밀번호 콘텐츠를 안내하기 위해 다음 세 가지 핵심 원칙을 강조하고 있습니다. 또한 조사에 사용한 언어를 보여주는 권장 사항도 포함했습니다. 테스트한 콘텐츠를 그대로 사용하거나 회사의 스타일, 목소리, 어조에 맞게 수정하여 사용할 수 있습니다.

1. 패스키 언어와 아이들이 알고 있는 단어를 짝지어 줍니다.

패스키는 많은 사용자에게 새로운 개념입니다. 비밀번호가 이미 사용하고 있는 다른 방법과 어떻게 연관되는지 보여줌으로써 이 새로운 로그인 방법의 가치를 이해하도록 도와주세요. 예를 들어, “패스키를 사용하면 복잡한 비밀번호를 기억할 필요가 없습니다.” 또는 “패스키는 지문, 얼굴 또는 비밀번호를 사용하여 만든 암호화된 디지털 키입니다.”라고 설명할 수 있습니다.

2. 2. OS 대화 상자 전후에 명확한 “핸드셰이크” 메시지를 사용합니다.

OS 대화 상자 앞에 “계정 만들기” 또는 “패스키 만들기” 메시지를 명확하게 표시하고, 그 뒤에 확인 또는 성공 메시지를 표시하여 사용자가 OS 패스키 환경에 대해 확신을 가질 수 있도록 하세요. 이를 통해 사용자는 회사가 OS와 협력하여 패스키를 통해 계정을 보호하고 있다는 사실을 안심할 수 있습니다.

3. 고객 여정 전반에 걸쳐 패스키 메시지를 사용합니다.

고객 경험 및 인터페이스의 여러 영역에서 비밀번호 프롬프트와 정보를 사용하여 계정 생성, 복구, 설정 등 고객 여정에서 계정과 관련된 순간에 사용자가 비밀번호를 사용하도록 유도하세요. 여기에는 명확하게 표시된 ‘비밀번호 생성’ 버튼부터 ‘왜’, ‘무엇을’, ‘어디에’ 비밀번호를 입력해야 하는지에 대한 자세한 메시지까지 다양합니다.

콘텐츠 추천

계정 만들기

그림 3: 계정 생성 시 OS 대화 상자 전후에 사용되는 ‘핸드셰이크’ 메시지의 스크린샷입니다.

이러한 화면의 복사 가능한 콘텐츠와 재사용 가능한 디자인 에셋은 FIDO 얼라이언스 피그마 UI 키트에서 사용할 수 있습니다.

계정 복구

그림 4: 계정 복구 콘텐츠의 스크린샷.

이러한 화면의 복사 가능한 콘텐츠와 재사용 가능한 디자인 에셋은 FIDO 얼라이언스 피그마 UI 키트에서 사용할 수 있습니다.

계정 설정

그림 5: 비밀번호가 있는 경우와 없는 경우의 계정 설정 스크린샷.

이러한 화면의 복사 가능한 콘텐츠와 재사용 가능한 디자인 에셋은 FIDO 얼라이언스 피그마 UI 키트에서 사용할 수 있습니다.

유용한 도구

패스키즈 UX 아키텍처 다이어그램

패스키즈 UX 아키텍처 다이어그램은 가이드라인에 포함된 네 가지 사용자 여정을 나타냅니다.

  • 사용자 여정 1: 비밀번호로 새 계정 만들기
  • 사용자 여정 2: 계정 복구 시 패스키 및/또는 새 비밀번호 만들기
  • 사용자 여정 3: 계정 설정에서 비밀번호 생성, 확인 및 관리하기
  • 사용자 여정 4: 비밀번호로 로그인하기
그림 6: Passkeys UX 아키텍처 다이어그램.
FIDO 얼라이언스 피그마 UI 키트에서 소스 파일 받기

데모 비디오

피그마 UI 키트

FIDO 얼라이언스 피그마 UI 키트는 바로 사용할 수 있는 UX 구성 요소와 콘텐츠 모음입니다. 이 가이드라인의 모든 경험에 대한 소스 파일은 패스키 아이콘, 패스키 OS 대화 상자 등을 포함하여 UI 키트에서 찾을 수 있습니다. 이를 사용하여 패스키 UX를 바로 시작할 수 있습니다.

https://fidoalliance.org/design-system/ui-kit/

네 가지 사용자 여정별로 정리된 세부 가이드라인

자세한 가이드라인은 패스키에 대한 네 가지 사용자 여정을 단계별로 안내합니다.

사용자 여정 1: 비밀번호로 새 계정을 만듭니다.

그림 7: 비밀번호로 계정을 만들기 위한 UX 아키텍처 다이어그램.

UX 목표: 사람들이 패스키(비밀번호 없이)로 새 계정을 만들 수 있도록 합니다.

  • 사람들이 식별자와 비밀번호를 사용하여 새 계정을 만들 수 있도록 허용합니다(비밀번호 없음).
  • 보안 정책 및 비즈니스 요구 사항에 따라 대체 인증 방법을 포함하세요.
  • 패스키 생성 성공률을 높여 RP의 계정 생성 시간을 단축하세요.
  • 플랫폼 클라우드에서 비밀번호를 동기화하여 사용자의 모든 디바이스에서 비밀번호 없이 로그인할 수 있으므로 계정 복구에 대한 걱정을 줄일 수 있습니다.

1단계: ‘로그인 또는 계정 만들기’ 버튼을 선택합니다.

홈페이지에서 사용자가 인증되지 않은 상태일 때 로그인하거나 새 계정을 만들 수 있는 검색 가능한 단일 콜투액션을 표시하세요.

그림 8: 1단계 로그인 또는 계정 만들기 버튼을 클릭합니다.
핵심 학습: 홈페이지에서 사람들이 인증되지 않은 상태일 때 로그인과 계정 생성에 대해 하나의 어포던스를 제공하세요.
증거

연구 결과, 사람들이 로그인을 선택한 후 계정 생성 옵션을 표시하는 것보다 로그인과 계정 생성 옵션을 함께 표시할 때 디지털비즈에서 계정 생성 동작이 더 많이 검색되는 것으로 나타났습니다. 또한, 일부 참가자는 계정이 있는지 여부가 확실하지 않은 경우가 있는데 다목적 버튼이 도움이 된다고 답했습니다.

2단계: 식별자(디지털비즈의 경우 이메일)를 입력하여 “로그인 또는 계정 만들기”를 클릭합니다.

사용자가 ‘로그인 또는 계정 만들기’ 버튼을 선택하면 ‘로그인 또는 계정 만들기’라는 제목의 페이지가 표시되고, ‘이메일 주소’라는 제목의 수정 가능한 텍스트 필드에 ‘이메일 주소 입력’이라는 안내 텍스트로 채워져 로그인 또는 계정 만들기를 시작하도록 유도하는 콜투액션이 표시됩니다. 사람들이 유효한 이메일을 입력하기 전에 비활성 상태에서 ‘계속’이라는 제목의 작업 버튼을 표시하여 이메일을 입력하는 것이 로그인 또는 계정 생성의 첫 번째 단계임을 강조합니다. 유효한 이메일 주소를 입력한 경우 ‘계속’ 버튼을 실행 가능한 상태로 표시합니다. 이메일이 시스템에서 인식되지 않으면 입력한 이메일 주소와 연결된 새 계정을 만드세요.

그림 9: 2단계. 로그인 또는 계정 만들기 페이지로 이동합니다.
주요 학습: 비밀번호 필드를 제거합니다.
증거

연구 결과에 따르면 로그인과 계정 생성 프로세스를 모두 이메일 주소만 입력하라는 메시지(비밀번호 입력란 없음)로 시작하면 계정 생성 및 비밀번호로 로그인하는 것이 비밀번호가 필요 없는 간단하고 짧은 프로세스라는 인식을 심어주는 데 도움이 되는 것으로 나타났습니다. 이러한 방식을 “식별자 우선” 접근 방식 또는 “홈 영역 검색”이라고도 합니다.

3단계: 표시된 이메일 주소를 확인하여 “계정 만들기”를 클릭합니다.

비밀번호 생성 OS 대화 상자를 표시하기 전에 표시된 이메일 주소로 계정이 생성 중임을 강조하는 페이지를 표시합니다. “계정 만들기”라는 제목과 ” 을 사용하여 계정 만들기”라는 안내 문구를 눈에 잘 띄게 표시하여 사람들이 패스키라는 생소한 개념을 접하기 전에 계정 만들기를 위한 올바른 길을 가고 있다는 확신을 가질 수 있도록 합니다. 성공적인 계정 생성을 위해 사람들이 고유 식별자를 확인하거나 업데이트할 수 있도록 허용합니다.

그림 10: 3단계. 계정 생성을 확인합니다.
핵심 학습: 패스키를 만드는 것이 계정 생성의 일부라는 RP의 확신을 주면 패스키에 대한 관심과 신뢰가 높아집니다.
증거

연구 결과, 비밀번호 대신 (익숙하지 않은) 비밀번호를 생성하라는 메시지가 표시되면 계정 생성 방식에 대한 참가자들의 기대치가 낮아지는 것으로 나타났습니다. 계정 생성 디자인의 초기 반복을 테스트할 때, 2단계(로그인 또는 계정 생성을 위한 이메일 입력)에서 낯선 ‘비밀번호 생성’ OS 대화상자(4단계)로 바로 이동하는 것이 짧기는 하지만 참가자들에게 혼란을 준다는 사실을 발견했습니다. 이로 인해 계정을 만드는 올바른 길을 가고 있다는 확신이 약해졌고, 일부 참가자는 패스키를 만들기 전에 계정 생성을 포기했습니다.

4단계: 표시된 이메일 주소의 비밀번호를 생성합니다.

비밀번호 OS 대화 상자를 표시하여 사람들이 지정된 이메일에 대한 비밀번호를 만들거나 만들지 않도록 선택할 수 있도록 합니다. Android에서는 ‘계속’ 버튼을, iOS에서는 ‘확인’ 버튼을 선택하여 비밀번호를 생성하면 모바일 OS에서 화면 잠금을 사용하여 인증하라는 메시지를 표시합니다. Android 사용자는 ‘취소’ 버튼을 선택하면 패스키 생성을 거부할 수 있고, iOS 사용자는 대화 상자 오른쪽 상단의 ‘X’를 선택하면 패스키 생성을 거부할 수 있습니다.

패스키 생성에 성공하면 OS에서 패스키 생성 확인 메시지가 표시되고 자동으로 사라지므로 별도의 조치가 필요하지 않습니다.

참고: 4a, 4b, 4c 단계는 OS(iOS 또는 Android)에 의해 제어됩니다. RP는 OS 대화 상자의 디자인을 제어할 수 없으므로 모든 주요 학습 내용이 가이드 라인과 연결되지는 않습니다.e.

그림 11: 4a 단계. Android: ‘비밀번호 만들기’ 대화 상자.
그림 12: 4b단계. Android: ‘화면 잠금 사용’ 대화 상자.
그림 13 : 4c 단계. Android: ‘화면 잠금 사용’ 성공.
그림 14: 4a 단계. iOS: ‘로그인’ 대화 상자.
그림 15: 4b단계. iOS: “로그인”, “완료”.
핵심 학습 내용 1/3: 패스키는 새로운 것이지만, 터치나 얼굴로 로그인하는 것은 모두에게 익숙하고 많은 사람들이 신뢰하는 방식이었습니다.
증거

연구 결과, 비밀번호 대신 (익숙하지 않은) 비밀번호를 생성하라는 메시지가 표시되면 계정 생성 방식에 대한 참가자들의 기대치가 낮아지는 것으로 나타났습니다. 참가자 중 누구도 패스키에 대해 들어본 적이 없었으며, 많은 사람들이 처음에는 새 계정과 관련된 패스키의 성격과 목적에 대해 불확실성을 표명했습니다.

대부분의 참가자는 ‘패스키 생성’ OS 대화 상자의 텍스트와 기호를 바탕으로 패스키가 비밀번호 대신 디바이스의 인증 시스템(예: 얼굴 또는 터치)을 사용하여 신원을 확인하는 새로운 로그인 옵션이라고 추론했습니다. 많은 참가자에게 얼굴이나 터치로 로그인하는 것은 모바일 앱이나 비밀번호 관리자에 대한 이전 경험을 바탕으로 빠르고 간편하며 안전하다고 인식되는 친숙하고 신뢰할 수 있는 프로세스였습니다. 여러 참가자가 얼굴이나 터치로 로그인하는 것이 비밀번호를 사용하는 것보다 빠르고 간편하며, 생체 인식은 해킹하기 어려운 고유 식별자라고 언급했습니다.

핵심 학습 2/3: ‘화면 잠금’은 많은 소비자에게 생소한 용어였기 때문에 PIN, 비밀번호 또는 패턴을 사용하는 사람들이 현재 디바이스 설정에서도 비밀번호가 작동한다는 사실을 인식하기 어려웠습니다.
증거

조사에 따르면 많은 참가자가 ‘화면 잠금’이라는 용어가 무엇을 의미하는지 모른다고 자연스럽게 언급했습니다. 이러한 이해 부족은 비밀번호, 암호 또는 패턴을 비밀번호 사용 가능 디바이스의 화면 잠금으로 사용하는 소비자들이 비밀번호를 채택하는 데 걸림돌이 될 수 있습니다./h5

핵심 학습 내용 3: 일부 소비자에게는 개인 정보 보호 및 보안 문제가 패스키 도입을 가로막는 잠재적 장벽이 될 수 있습니다.
증거

조사에 따르면 많은 참가자가 모바일 앱에서 얼굴이나 터치로 로그인한 긍정적인 경험을 바탕으로 패스키를 만드는 것이 편하다고 답했지만, 일부 참가자는 개인정보 보호 및 보안에 대한 우려로 인해 패스키 생성을 거부하기도 했습니다.

일부 참가자는 패스키를 단일 요소 인증으로 간주하여 비밀번호와 코드 또는 링크를 사용하는 MFA보다 덜 안전하다고 인식했습니다. 모바일 기반 쇼핑 사이트에 로그인할 때 얼굴, 터치, PIN 또는 비밀번호를 사용하는 것을 꺼리는 다른 참가자들은 해당 정보가 어디에 저장되어 있고 누가 액세스할 수 있는지(예: RP, Apple 또는 Google)에 대한 불확실성 때문에 불편하다고 설명했습니다. 패스키 도입이 보편화됨에 따라 이러한 개인정보 보호 및 보안 문제는 계정 생성 과정 외의 교육을 통해 해결할 수 있습니다.

사이트에서 새 계정을 만들려고 하는 일부 신규 사용자가 비밀번호 생성을 거부할 것으로 예상합니다. 비밀번호 생성을 거부하는 신규 사용자의 경우, 비밀번호 생성이 다른 인증 모델로 정상적으로 대체되도록 허용하세요. 디지털비즈는 우아하게 이메일 OTP로 돌아갑니다. 선택하는 대체 옵션은 고유한 보안 및 비즈니스 목표에 부합해야 합니다. [ i ]

5단계: 계정 생성 확인: 오버레이 닫기 또는 계정 확인 보기를 클릭합니다.

비밀번호를 생성한 사람과 비밀번호 생성을 거부한 사람 모두에게 홈페이지 상단에 오버레이로 ‘계정 생성됨’ 확인 메시지가 표시되며, 인증된 프로필 아이콘이 표시됩니다. 브랜드 보이스와 톤에 맞는 ‘환영’ 헤드라인으로 시작하세요. 이 시점에서 패스키를 만들기로 선택한 사람과 그렇지 않은 사람 모두 인증이 완료됩니다.

‘계정 보기’ 버튼을 기본 작업으로 제공하여 사람들이 설정에서 새 비밀번호에 대한 정보를 보거나 비활성화할 수 있도록 안내합니다. 사용 가능한 모든 로그인 방법을 나열합니다. 대화 상자를 닫을 때 ‘X’ 어포던스를 표시하여 사람들이 사이트 활동을 시작할 수 있도록 합니다.

그림 16: 5a 단계. 계정 및 패스키 생성을 확인합니다.
그림 17: 5b단계. 비밀번호 없이 생성된 계정 확인.

[ i ] 도용자가 합법적인 사용자의 이메일 주소를 사용하여 계정을 생성하는 것을 제한하거나 방지하려면 새 계정을 만들 때 어떤 형태로든 신원 증명을 하는 것이 좋습니다. 디지털비즈는 이메일 OTP와 매직링크를 사용하지만, 자체 보안 정책과 비즈니스 동인에 따라 사용해야 하는 본인 인증 방법이 결정됩니다.

주요 학습 내용 1 / 2: 패스키 OS 대화 상자 전후에 검증된 메시지를 사용하세요.
증거

조사에 따르면 패스키 생성이 OS 대화상자만으로 끝나고 RP의 계정 생성 확인 메시지 없이 로그인한 상태로 디지털비즈 홈페이지로 돌아갔을 때, 많은 참가자가 자신의 계정 상태에 대한 불확실성을 표명하고 패스키와 새 계정에 액세스하는 방법에 대해 질문하는 것으로 나타났습니다.

특히 참가자들은 디지털비즈 계정을 성공적으로 만들었는지, 터치나 얼굴 인증을 사용할 수 없는 기기에서 비밀번호가 없는 로그인 환경이 어떤지 등 패스키의 본질에 대해 잘 알지 못했습니다. RP에서 계정 생성 확인 화면을 추가한 것은 이러한 우려를 해소하는 데 매우 효과적이었습니다.

핵심 학습 2/2: 참가자들은 비밀번호가 아닌 패스키를 사용하여 새 계정을 만든 후, 패스키를 사용할 수 없는 기기에서 계정에 액세스하는 방법에 대한 정보를 찾았습니다.
증거

조사에 따르면 모바일에서 비밀번호로 로그인하는 것이 쉽고 편리하다고 평가한 참가자들은 터치나 얼굴 인식이 불가능한 다른 기기에서 새 계정에 어떻게 액세스할 수 있을지에 대해 자연스럽게 우려를 표명하기도 했습니다. 로그인 옵션에 대한 메시지(예: “비밀번호 또는 이메일로 보내드리는 코드를 사용하여 로그인하세요”라는 메시지)를 추가하면 우려하는 참가자들이 백업 인증 수단으로 비밀번호가 없어도 모바일 디바이스 잠금 해제 방법을 지원하지 않는 다른 디바이스에서 이 계정에 안정적으로 액세스할 수 있다는 사실을 안심시킬 수 있습니다. [ i ] 디지털비즈는 이메일 OTP와 매직링크를 사용하지만, 자체 보안 정책과 비즈니스 동인에 따라 사용해야 하는 신원 증명 방법이 결정됩니다.

6단계: 계정 설정에서 비밀번호 ‘카드’를 확인합니다.

사용자가 5단계에서 ‘계정 보기’ 버튼을 선택한 경우 보안 설정으로 이동합니다. 새 계정으로 비밀번호가 생성되었음을 확인하려면 확인 표시가 있는 비밀번호 로고와 “비밀번호 생성됨”이라는 텍스트, 설정 페이지에서 비밀번호 “카드”로 이동하는 “비밀번호 보기”라는 제목의 링크를 표시합니다.

‘로그인 옵션’ 제목 아래에 비밀번호와 비밀번호를 사용할 수 없는 경우 선택할 수 있는 대체 방법을 포함하여 사이트에서 인증하는 데 사용할 수 있는 모든 방법을 지정합니다.

설정에서 비밀번호를 사용하는 이유, 비밀번호란 무엇이며 비밀번호가 저장되는 위치를 설명하는 메시지를 영구적으로 표시합니다. 이 패스키 교육 메시지에는 다음 내용이 포함되어 있습니다:

패스키를 사용해야 하는 이유는 무엇인가요?

패스키를 사용하면 복잡한 비밀번호를 기억할 필요가 없습니다.

패스키란 무엇인가요?

비밀번호는 지문, 얼굴 또는 화면 잠금을 사용하여 생성하는 암호화된 디지털 키입니다.

패스키는 어디에 저장되나요?

패스키는 비밀번호 관리자에 저장되므로 다른 장치에서도 로그인할 수 있습니다.

사람들이 비밀번호를 비활성화할 수 있는 옵션을 제공하고 비밀번호 비활성화 후 계정에 액세스하는 방법을 설명하는 메시지를 포함하세요. 예를 들어, “패스키를 비활성화하면 비밀번호 또는 DigitalBiz가 이메일로 전송하는 코드를 사용하여 로그인합니다.”라고 설명합니다.

패스키는 새로운 용어이자 새로운 시각적 아이콘이며 소비자를 위한 새로운 인증 방법입니다. 가능하면 사람들이 패스키의 특성과 가치를 익숙한 개념, 시각 자료, 경험 등과 비교하여 이해할 수 있도록 도와주세요. 예를 들어, 장치 아이콘 및 잠금 아이콘(알려진)과 함께 비밀번호 아이콘(알 수 없음)을 사용합니다.

그림 18: 6단계. 계정 보안 설정.
핵심 학습 내용 1 / 2: 사람들에게 패스키에 대해 교육하려면 익숙하지 않은 것(패스키)을 익숙한 것과 연관시켜야 합니다.
증거

연구 결과에 따르면 사람들은 비밀번호의 특성과 비밀번호를 사용해야 하는 이유를 이해하려고 노력하지만, 기술적인 설명은 종종 혼란과 우려 증가, 계정 생성을 포기하는 결과를 초래하는 것으로 나타났습니다. 패스키를 익숙한 기술과 비교한 간략한 메시지와 도식화를 통해 적절한 수준의 정보를 제공함으로써 안심하고 계속 진행할 수 있는 자신감을 주는 데 가장 효과적이었습니다.

핵심 학습 2/2: 비밀번호에 비해 추상적이고 무형적이라는 이유로 패스키에 대해 불안감을 느끼는 사람들이 있습니다. ‘패스키 카드’를 통해 패스키를 보다 실체적으로 만드는 것은 사람들에게 패스키의 본질과 가치에 대해 안심시키는 데 효과적인 전략이었습니다.
증거

연구에 따르면 참가자들은 패스키의 본질과 가치를 이해하려고 노력했지만 모호하거나 기술적인 설명은 종종 혼란을 야기하고 우려를 키우는 것으로 나타났습니다. 하지만 패스키 카드는 사람들이 인터페이스에서 한눈에 알아볼 수 있고, 나중에 계정 설정에서 찾아볼 수 있으며, 패스키에 대한 유용한 정보를 얻는 데 사용할 수 있는 확실한 개체를 제공했습니다.

사용자 여정 2: 계정 복구 시 새 비밀번호 대신 또는 추가로 비밀번호 키를 만듭니다.

그림 19: 비밀번호 분실로 인한 계정 복구 워크플로우의 UX 아키텍처 다이어그램.

UX 목표: 사람들이 새 비밀번호 대신 또는 추가로 비밀번호 키를 만들 수 있도록 합니다.

  • 신원 인증 후 사람들이 패스키 또는 새 비밀번호를 만들 수 있도록 허용합니다.
  • 사람들이 새 비밀번호를 만들면 비밀번호 키도 만들 수 있도록 허용하세요.

1단계: 비밀번호 찾기 환경을 시작합니다.

‘비밀번호 찾기’ 링크를 통해 비밀번호 찾기 환경을 시작합니다.

그림 20: 1단계. “비밀번호 찾기” 링크.

2단계: 이 단계부터는 ‘계정 확인’ 콜투액션을 사용합니다.

이 워크플로를 통해 궁극적으로 사람들이 비밀번호를 생성할 수 있으므로, 이 단계부터는 ‘비밀번호 재설정’ 콜오브액션 대신 ‘계정 확인’ 콜오브액션을 사용하세요.

그림 21: 2단계. ‘계정 확인’ 버튼으로 이메일 주소를 확인합니다.

3단계: 본인 인증을 계속 진행합니다.

디지털비즈의 신원 확인 프로세스는 신원 확인을 위해 이메일을 전송합니다. FIDO 얼라이언스는 특정 신원 증명 방법을 권장하지 않습니다. 고유한 보안 정책과 비즈니스 동인에 따라 계정 복구 시 신원 증명 방법이 결정됩니다. [ i ]

그림 22: 3단계. 디지털비즈에서 보낸 계정 이메일을 확인합니다.

4단계: 새 자격증명(비밀번호 또는 암호)을 만듭니다.

본인 인증이 완료되면 패스키 또는 새 비밀번호를 만들 수 있도록 선택권을 제공합니다.

패스키 영웅 프롬프트를 사용하여 패스키를 기본 경로로 홍보합니다. 새 비밀번호를 만들기로 선택한 경우에도 나중에 계정 설정에서 비밀번호를 만들 수 있음을 알리는 텍스트를 포함하세요.

그림 23: 4단계. 새 자격증명(비밀번호 또는 암호)을 만듭니다.
핵심 학습 내용 1: 사람들이 계정 관리를 염두에 두고 계정에 액세스하려고 할 때 마찰을 겪을 때, 패스키 생성은 다른 핵심 사이트 관련 작업을 수행하는 데 방해가 되거나 방해가 되는 것이 아니라 해당 작업과 관련된 향상된 기능으로 느껴집니다.
증거

연구 결과에 따르면 사람들은 비밀번호를 재설정하는 답답한 경험을 상상하면서 새로운 개념의 패스키를 고려할 때, 패스키가 계정에 다시 액세스해야 하는 당장의 필요를 충족시킬 뿐만 아니라 향후에는 이러한 답답하고 시간 소모적인 비밀번호 재설정 작업을 피할 수 있을 것으로 예상하여 새로운 개념의 패스키에 대한 동기 부여와 관심을 높였습니다.

핵심 학습 내용 2/3: 메시징은 참가자가 패스키를 만들도록 영감을 주는 데 효과적이었습니다.
증거

비밀번호 대신 패스키를 만드는 것은 ‘비밀번호 찾기’ 워크플로우의 맥락에서 예상치 못한 선택이었습니다. 참가자들은 패스키 또는 새 비밀번호를 만들 수 있는 선택권이 주어졌을 때 적절한 순간에 결정을 내릴 수 있도록 패스키에 대한 주요 질문에 대한 간단하고 적절한 답변을 제공하는 메시지에 대해 감사의 뜻을 표했습니다.

핵심 학습 내용 3: 신규 계정 생성에 비해 기존 비밀번호를 사용하는 사람들은 특히 비밀번호를 포기하는 것을 꺼릴 수 있습니다. 이미 비밀번호를 사용하고 있는 사용자는 비밀번호를 만들거나 새 비밀번호를 만들거나 둘 다를 선택할 수 있습니다.
증거

연구에 따르면 비밀번호 분실로 인한 계정 복구 시나리오를 경험한 참가자들은 새 계정을 만드는 시나리오에 비해 비밀번호를 포기하는 것을 더 꺼려했으며, 특히 다른 디바이스에서의 계정 액세스를 중요하게 생각하는 경우 비밀번호를 포기하는 것을 더 꺼려했습니다.

기존 비밀번호를 복구할 때 비밀번호를 재설정하고도 패스키를 생성할 수 있다는 것은 기존 비밀번호 사용자가 패스키를 생성하도록 유도하는 효과적인 방법이었습니다.

5a단계 – 4단계에서 ‘계속’을 선택한 경우, 패스키를 생성합니다.

OS 대화 상자를 표시하여 사람들이 패스키를 만들거나 만들지 않도록 선택할 수 있도록 합니다. Android에서는 ‘계속’ 버튼을, iOS에서는 ‘확인’ 버튼을 선택하여 비밀번호를 만들면 모바일 운영체제에서 화면 잠금을 사용하여 인증하라는 메시지가 표시됩니다.

Android를 사용하는 사람은 OS 대화 상자에서 ‘취소’ 버튼을 선택하여 패스키 생성을 거부할 수 있고, iOS를 사용하는 사람은 대화 상자 오른쪽 상단의 ‘X’를 선택하여 패스키 생성을 거부할 수 있습니다.

패스키 생성에 성공하면 OS에서 패스키 생성 확인 메시지가 표시되고 자동으로 사라집니다. 그런 다음 “패스키 생성됨” 확인을 표시합니다.

그림 24: 5a 단계. “패스키 생성됨” 확인.

5b단계: 4단계에서 ‘새 비밀번호 만들기’를 선택한 경우 새 비밀번호를 만듭니다.

사용자가 ‘계정 확인’ 페이지(화면 5)에서 ‘비밀번호 만들기’를 선택하면 새 비밀번호를 만들 수 있는 페이지로 이동합니다.

그림 25: 5b1 단계 새 비밀번호를 만듭니다.

새 비밀번호가 성공적으로 생성되면 ‘새 비밀번호 생성됨’ 확인 페이지로 이동하고 비밀번호 영웅 프롬프트를 사용하여 비밀번호 생성을 다시 한 번 추진합니다.

그림 26: 5b2 단계 새 비밀번호 생성 확인 메시지가 비밀번호 영웅 프롬프트와 함께 표시됩니다.

비밀번호를 생성한 사람에게는 홈페이지 상단에 오버레이를 통해 ‘성공’ 메시지를 표시하고 인증된 프로필 아이콘을 표시합니다. 브랜드 보이스와 아이덴티티에 맞는 ‘성공’ 헤드라인으로 리드하세요. ‘계정 보기’ 버튼을 기본 작업으로 제공하여 사람들이 설정에서 새 비밀번호에 대한 정보를 보거나 비활성화할 수 있도록 안내합니다. 사용 가능한 로그인 방법을 나열합니다.

대화 상자를 닫을 때 ‘X’ 어포던스를 표시하여 사람들이 사이트 활동을 시작할 수 있도록 합니다.

그림 27: 단계 6b3. “패스키 생성됨” 확인.
키 학습: 비밀번호 재설정 시 새 비밀번호 생성을 포기하는 것은 패스키가 제공하는 이점을 소중히 여기는 사람들에게도 어려운 일입니다. 웹사이트의 비밀번호를 이미 알고 있는 사람들은 먼저 비밀번호를 재설정하고 그 후에 패스키를 만들 수 있는 기능을 높이 평가했습니다.
증거

연구에 따르면 비밀번호 분실로 인한 계정 복구 시나리오를 경험한 참가자들은 새 계정을 만드는 시나리오에 비해 비밀번호를 포기하는 것을 더 꺼려했으며, 특히 다른 디바이스에서의 계정 액세스를 중요하게 여기는 것으로 나타났습니다. 기존 비밀번호를 복구할 때 비밀번호를 재설정하고도 패스키를 생성할 수 있다는 것은 비밀번호를 사용하는 사람들이 패스키를 생성하도록 유도하는 효과적인 방법이었습니다.

핵심 학습: 패스키 OS 대화 상자 전후에 검증된 메시지 사용
증거

연구 결과, 패스키가 생성되어 로그인한 상태로 DigitalBiz 홈페이지로 돌아왔을 때 RP에서 ‘성공’ 확인 화면을 추가하면 사람들이 패스키가 생성되었고 이제 어떻게 로그인할 수 있는지 알 수 있는 데 매우 효과적이라는 사실이 밝혀졌습니다.

키 학습: 참가자들은 비밀번호를 생성한 후 비밀번호를 사용할 수 없는 기기에서 계정에 액세스하는 방법에 대한 정보를 찾았습니다.
증거

연구 결과, 비밀번호로 로그인하는 것이 쉽고 편리하다고 평가한 참가자들은 터치나 얼굴 인식이 불가능한 다른 기기에서 새 계정에 어떻게 액세스할 수 있을지 자연스럽게 우려를 표명했습니다. 로그인 옵션에 대한 메시지(예: “비밀번호 또는 이메일로 보내드리는 코드를 사용하여 로그인하세요”라는 메시지)를 추가하면 우려하는 참가자들이 비밀번호가 없어도 모바일 디바이스 잠금 해제 방법을 지원하지 않는 다른 디바이스에서 이 계정에 안정적으로 액세스할 수 있다는 점을 안심시킬 수 있습니다. [ i ]디지털비즈는 이메일 OTP와 매직링크를 추가 로그인 옵션으로 사용하지만, 자체 보안 정책과 비즈니스 동인에 따라 어떤 추가 인증 방법을 사용해야 할지 결정됩니다.

사용자 여정 3: 계정 설정에서 비밀번호를 생성하고, 확인하고, 관리합니다.

그림 28: 계정 설정에서 비밀번호를 만들기 위한 워크플로우의 UX 아키텍처 다이어그램.

UX 목표: 사람들이 패스키를 생성하고, 보고, 관리할 수 있도록 합니다.

  • 해당 사용자의 비밀번호가 없는 경우: 계정 설정 상단에 있는 비밀번호 영웅 프롬프트에 비밀번호를 입력합니다.
  • 이 사용자에 대한 패스키가 있는 경우: 해당 사용자가 패스키를 ‘카드’로 볼 수 있도록 허용합니다. 패스키당 한 장의 카드.
  • 이 사용자에 대한 비밀번호가 있는 경우: 인터페이스의 비밀번호 위에 비밀번호 UI를 배치합니다.
  • 이 사용자에 대한 비밀번호가 있는 경우: 비밀번호를 비활성화할 수 있는 기능을 제공합니다.

이 사용자에 대한 비밀번호가 없는 경우: 계정 보안 설정 상단에 비밀번호 영웅 프롬프트를 표시합니다.

그림 29: 패스키 히어로 프롬프트가 있는 계정 보안 설정.

이 사용자에 대한 패스키가 있는 경우: 패스키 카드(패스키당 하나씩), 패스키에 대한 정보 및 패스키에 대한 작업을 표시합니다.

그림 30: 암호키를 사용한 계정 설정.
주요 학습 내용: 대부분의 참가자들은 계정 설정에서 언제든지 기존 계정을 업데이트할 수 있는 비밀번호를 생성할 수 있는 옵션을 높이 평가했습니다. 대부분의 참가자는 계정 설정이 인증 설정을 사전에 파악하고 업데이트할 수 있는 직관적이고 유용한 공간이라고 평가했습니다.
증거

연구 결과에 따르면 참가자들은 패스키의 본질과 가치를 이해하려고 노력했지만, 모호하거나 기술적인 설명으로 인해 혼란을 겪거나 패스키 생성을 포기하는 경우가 많았습니다. 하지만 친숙한 생체 인식 아이콘과 패스키를 익숙한 기술과 비교하는 간단한 메시지를 통해 참가자들에게 패스키에 대해 알리고 생소한 기술을 사용할 수 있다는 자신감을 심어주는 데 가장 효과적인 정보를 제공했습니다. 이미 패스키를 가지고 있는 사람의 경우, 패스키 카드는 인터페이스에서 눈에 잘 띄는 개체가 되어 나중에 계정 설정에서 찾아서 패스키에 대한 유용한 정보를 얻을 때 사용할 수 있습니다.

사용자 여정 4: 비밀번호로 로그인합니다.

그림 31: 로그인 워크플로우의 UX 아키텍처 다이어그램.

UX 목표: 사람들이 패스키 및 기타 방법으로 로그인할 수 있도록 합니다.

  • 사용자 이름 입력 필드에 자동 완성=”webauthn”을 추가하여 자동 완성을 사용 설정합니다. 이를 통해 사람들은 비밀번호 관리자를 사용하여 패스키로 빠르고 쉽게 로그인할 수 있습니다.
  • 다른 로그인 방법으로의 자연스러운 폴백을 지원합니다. 사람들이 로그인하거나 계정을 만들 때 다른 식별자(예: 디지털비즈는 이메일 주소 사용)를 입력하도록 허용합니다.

설문조사를 통해 ‘비밀번호로 로그인’ 전용 링크, 버튼, 자동 입력 기능을 사용한 참가자들의 성공률과 만족도를 조사했습니다. 테스트 결과, 자동 입력 기능을 사용하면 사람들이 비밀번호로 로그인하는 데 가장 성공적으로 성공할 수 있는 것으로 나타났습니다.

그림 32: 1단계: 1. 식별자 입력 필드에서 자동 채우기를 사용 설정합니다.

1단계: 로그인 또는 계정 만들기 버튼을 클릭합니다.

핵심 학습: 홈페이지에서 로그인과 계정 생성 모두에 대해 하나의 어포던스를 제공합니다.
증거

연구 결과, 사람들이 로그인을 선택한 후 계정 생성 옵션을 표시하는 것보다 로그인과 계정 생성 옵션을 함께 표시할 때 디지털비즈에서 계정 생성 동작이 더 많이 검색되는 것으로 나타났습니다. 또한, 일부 참가자는 계정이 있는지 여부가 확실하지 않은 경우가 있는데 다목적 버튼이 도움이 된다고 답했습니다.

2단계: 로그인 또는 계정 만들기 페이지 – 자동 완성 기능을 지원합니다.

그림 33: 2a 단계. Google 비밀번호 관리자 자동 완성 기능 스크린샷
주요 학습 내용 1, 2: 자동 완성 기능으로 놀라울 정도로 빠르고 효율적으로 로그인할 수 있습니다.
증거

연구 결과, 자동 입력 기능이 활성화되었을 때 비밀번호로 로그인하는 것에 대한 참가자의 반응은 압도적으로 긍정적이었습니다. 자동 완성 기능이 있는 비밀번호로 로그인할 때 가장 많이 사용된 형용사는 ‘간편하고, 빠르고, 효율적이며, 매끄럽다’였습니다.

가이드라인 정보

이 문서에 대한 질문 및 피드백

패스키를 배포하거나 마켓플레이스에서 패스키를 지원하는 제품을 개발하는 서비스 제공업체라면 여러분의 경험, 본 UX 가이드라인 또는 기타 공유하고자 하는 내용에 대한 피드백을 보내주시기 바랍니다. info@fidoalliance.org 으로 문의해 주세요.

이 문서의 목적

이것은 FIDO 얼라이언스의 세 번째 UX 가이드라인 개요서입니다. 이 문서의 패스키 UX 가이드라인은 FIDO 배포 시 의사 결정을 가속화하고 패스키를 신속하고 잘 설계되고 사용 가능한 방식으로 구현할 수 있도록 돕기 위한 것입니다. 이 문서는 비규제 산업에 기반을 둔 소비자 중심 웹사이트에서 동기화된 비밀번호를 사용하고자 하는 신뢰 당사자(RP)와 구현자를 위한 사용자 경험(UX) 가이드라인과 모범 사례를 제공합니다. 디바이스 바인딩 패스키를 활용하는 FIDO 배포에 관한 UX 지침은 FIDO 보안 키 UX 가이드라인을 참조하세요.

이 문서의 대상

이 가이드라인은 대규모 개발 및 배포에 앞서 패스키 데모를 만들고자 하는 서비스 제공업체의 제품, 디자인 및 개발 책임자를 위한 실용적인 전략, 디자인 및 콘텐츠 메시지 리소스입니다. 이 가이드라인은 피그마 UI 키트와 함께 의사 결정을 가속화하고 서비스 제공업체가 자체 데모와 패스키 배포를 설계 및 개발하는 데 필요한 작업을 줄이고 구현 프로세스를 간소화하는 것을 목표로 합니다.

이 문서에 포함된 내용으로 인해 기대되는 결과

  • 비밀번호를 이용한 신규 계정 생성을 줄이거나 없애세요.
  • 고객 여정에서 어떤 접점이 패스키 전략을 구축하는 데 가장 적합한지 알아보세요.
  • 패스키 채택을 최적화하고 비밀번호 복구 프로세스를 줄이세요.
  • 패스키 채택률을 높이고 패스키를 성공적으로 생성하세요.
  • 기존 고객이 비밀번호 대신 패스키를 사용할 수 있도록 합니다.
  • 공식적인 사용성 연구를 통해 입증된 재사용 가능한 UX 패턴으로 시간과 비용을 절감하세요.
  • FIDO 얼라이언스 피그마 UI 키트를 사용하여 나만의 프로토타입을 만들어 패스키 작업을 가속화하세요.
  • 패스키 콘텐츠 원칙에서 벗어나 필요에 맞게 패스키 작업을 가속화하세요.

범위 정보

가이드라인의 근거를 제공한 연구의 범위

총 26명의 참가자를 대상으로 비밀번호를 생성하고 로그인하는 모델을 보여주는 클릭 가능한 Figma 프로토타입을 사용하여 반복적이고 중재된 소비자 인터뷰를 네 차례 진행했습니다. 초기 인터뷰에서는 Windows 10 이상 컴퓨터에서 Android 및 iPhone 휴대폰과 함께 하이브리드를 사용하여 로그인할 수 있는 라이브 데모 웹사이트를 선보이기도 했습니다.

연구 및 디자인 에이전시인 Blink UX는 FIDO 얼라이언스 사용자 경험 워킹 그룹(UXWG)과 협력하여 미국 전역의 소비자들과 Zoom을 통해 원격으로 이 연구를 진행했습니다. 연구 참여자는 18~60세의 소비자들로, 로그인용 패스키를 지원하는 모바일 장치(예: iOS 16을 실행하는 아이폰 또는 OS 9 이상을 실행하는 안드로이드 폰)를 사용했습니다. 모든 참가자는 휴대폰에서 화면 잠금(예: PIN 또는 비밀번호, 얼굴 또는 터치)을 사용하도록 설정하고 모바일 Safari, Chrome 또는 Edge를 기본 브라우저로 사용했습니다. 아이폰과 안드로이드를 사용하는 두 명의 참가자는 시각장애인 또는 저시력자였으며, 각 기기의 기본 스크린 리더(토크백 또는 보이스오버)를 사용하여 모바일 웹에서 콘텐츠를 탐색하고 소비했으며, FIDO와 패스키를 지원하는 라이브 디지털비즈 테스트 사이트를 사용했습니다.

이러한 UX 권장 사항은 기본 모바일 앱이 아닌 브라우저 기반 사이트에 최적화되어 있다는 점에 유의하세요.

이 문서의 디자인 및 메시지 권장 사항은 잘 알려진 비밀번호 배포 사례 감사, 비밀번호를 개발한 플랫폼 제공업체 및 브랜드와의 인터뷰, 네 차례의 반복적인 UX 연구 등 수개월에 걸친 조사, 연구 및 UXWG 구성원 간의 협업을 통해 개발되었습니다.

이러한 조사 과정에서 UXWG는 처음에 RP가 사람들에게 새로운 개념의 비밀번호를 홍보하고 교육할 수 있는 50개 이상의 가능한 접점을 파악했으며, 모바일 웹에서 비밀번호로 계정을 만들고 기존 계정에 비밀번호를 추가하거나 여러 디바이스 및 플랫폼에서 비밀번호로 로그인할 수 있도록 했습니다.

UX의 맥락에서 프라이밍이란 고객이 특정 행동을 하도록 미묘하게 영향을 미치고 유도하는 메시지와 시각적 요소를 사용하는 인터페이스를 디자인하는 것을 의미합니다. 프라이밍은 명시적인 지침을 제공하지 않고도 경험을 직관적으로 만드는 데 사용되며, 이는 경험에 대한 즐거움에 기여합니다.

보안 정책은 이 가이드라인의 적용 범위를 벗어납니다.

이 가이드라인은 동기화된 패스키를 사용하는 FIDO 고유의 UX 개념에 중점을 둡니다. 이 작업을 통해 다양한 형태의 신원 증명 및 비-FIDO 인증 예제를 볼 수 있습니다. 본 가이드라인은 신원 증명 또는 기타 비-FIDO 인증 메커니즘에 대한 보안 가이드라인을 규정하지 않으며, 이는 각 RP마다 고유한 비즈니스 요구 사항과 보안 정책에 따라 달라질 수 있습니다. 가이드라인 전체에서 자체 보안 정책과 비즈니스 동인이 작용하는 부분을 나타내는 이 기호 [ i ]를 찾아보세요.

고객 여정 접점 조사

UXWG는 고객 여정에서 패스키를 사용할 수 있는 50개 이상의 접점을 확인했습니다. 초기 감사와 세부적인 검토를 위한 논의를 통해 UXWG는 비밀번호로 로그인하는 모든 사용자에게 비밀번호를 생성하라는 메시지, 하이브리드 로그인, 비밀번호 관련 마케팅, 고객 지원 메시지 등 테스트할 18개의 접점을 확인했습니다. 여러 차례에 걸친 협업과 다양한 아이디어 도출, 첫 두 차례의 테스트에서 사람들의 의견을 관찰하고 경청하며 조사에서 얻은 인사이트를 종합한 끝에 UXWG는 사람들이 비밀번호를 생성하고 로그인하는 것을 가장 잘 받아들이는 접점에 집중할 수 있는 9개의 접점을 찾아냈습니다. 이 9가지 계정 관련 접점이 이 가이드라인의 핵심입니다.

  1. iOS에서 비밀번호로 계정 만들기
  2. Android에서 비밀번호로 계정 만들기
  3. 계정 설정에서 iOS의 암호키 만들기
  4. 계정 설정에서 Android에서 비밀번호를 만듭니다.
  5. 비밀번호 분실로 인해 계정을 재설정하는 동안 iOS에서 비밀번호 키 만들기
  6. 비밀번호 분실로 인해 계정을 재설정하는 동안 Android에서 비밀번호 키 만들기
  7. 비밀번호를 생성한 것과 동일한 iOS 장치에서 비밀번호로 로그인합니다.
  8. 비밀번호를 생성한 것과 동일한 Android 장치에서 비밀번호로 로그인합니다.
  9. 패스키를 비활성화할 때 발생하는 비용

저자 및 인수자 정보

왜 FIDO인가?

인터넷과 모바일 기술은 우리가 소통하고, 거래하고, 서비스를 제공하는 방식에 혁신을 가져왔습니다. 하지만 이러한 발전은 온라인 서비스의 사용자 인증을 위해 불편하고 위험한 비밀번호에 과도하게 의존하는 문제를 야기하기도 했습니다.

2012년, 여러 선도적인 조직과 개인이 모여 FIDO 얼라이언스를 결성했습니다. 얼라이언스의 사명은 더 간단하고 강력한 최신 인증 방법의 표준을 만들고 널리 채택되도록 촉진하는 것입니다. FIDO 얼라이언스의 성공 사례는 다음과 같습니다:

  • 공개 키 암호화를 기반으로 하는 강력하고 피싱에 강한 인증을 위한 표준을 발표했습니다.
  • 월드와이드웹 컨소시엄(W3C)과 협력하여 현재 수십억 개의 디바이스 브라우저와 플랫폼에 내장되어 있는 FIDO 기술을 공식 웹 표준으로 확립했습니다.
  • 솔루션 개발 및 상호 운용성 테스트를 촉진하기 위해 인증 도구, 프로세스 및 글로벌 워크숍을 구축했습니다.
  • 세계 유수의 소비자 가전 제조업체 및 웹 서비스 브랜드에서 FIDO 표준 기반 접근 방식에 대한 글로벌 승인을 획득했습니다.
  • 패스키를 도입하여 운영 체제 및 신뢰 당사자 전반에서 확장된 지원을 받아 FIDO 인증의 규모를 확대했습니다.

이러한 성공과 FIDO 인증에 대한 전 세계적인 인식을 고려할 때, FIDO 로고가 표시된 제품 및 서비스는 피싱에 강하고 상호 운용이 가능하며 인간 친화적인 인증과 관련이 있습니다.

FIDO 얼라이언스 소개

FIDO(Fast Identity Online) 연합( www.fidoalliance.org)은 비밀번호에 대한 전 세계의 과도한 의존도를 줄이기 위한 인증 표준을 목표로 하는 개방형 산업 협회입니다.

FIDO 얼라이언스는 비밀번호와 SMS OTP보다 더 안전하고, 소비자가 사용하기 쉽고, 서비스 제공업체가 배포 및 관리하기 쉬운 로그인 환경을 제공하는 개방형 표준으로 인증의 본질을 바꾸기 위해 노력하고 있습니다. FIDO 인증은 온라인 서비스에 인증할 때 더 강력하고, 더 비공개적이며, 더 쉽게 사용할 수 있습니다.

이 연합은 전 세계의 비밀번호 의존도를 낮추기 위한 조직의 사명을 지원하기 위해 모인 기업, 결제, 통신, 정부 및 의료 분야의 수백 명의 글로벌 기술 리더들이 주도하고 있습니다. 얼라이언스 회원은 FIDO 사양 개발에 영향을 미치고, FIDO 인증 배포를 위한 모범 사례를 수립하며, 얼라이언스, 얼라이언스의 사명 및 FIDO 사양에 대한 글로벌 인식을 제고함으로써 이 임무에 기여합니다.

패스키 정보

비밀번호를 대체하는 패스키는 사용자의 모든 디바이스에서 웹사이트와 앱에 더 빠르고 간편하며 안전하게 로그인할 수 있도록 도와줍니다. 비밀번호와 달리 패스키는 피싱에 강하고 항상 강력하며 비밀이 공유되지 않도록 설계되어 있습니다.

앱과 웹사이트의 계정 등록을 간소화하고, 사용하기 쉬우며, 사람들의 모든 기기에서 작동하고, 심지어 물리적으로 가까운 곳에 있는 다른 기기에서도 작동합니다.

기술적 관점에서 볼 때, 패스키는 비밀번호 없는 인증을 위한 ‘검색 가능한’ FIDO 자격증명입니다. 암호화 키는 보안 인증에 사용되는 사람들의 장치(컴퓨터, 휴대폰 또는 보안 키)에서 사용됩니다.

휴대폰 또는 컴퓨터 운영 체제로 관리되는 암호 키는 클라우드 서비스를 통해 사용자의 장치 간에 자동으로 동기화됩니다. 또한 클라우드 서비스에는 암호화된 FIDO 자격 증명의 사본이 저장됩니다. 또한 패스키는 복사할 수 없는 단일 장치에서만 사용할 수 있도록 설계할 수도 있습니다. 이러한 패스키를 ‘장치 바인딩 패스키’라고도 하며, 예를 들어 물리적 보안 키 또는 컴퓨터 플랫폼에 여러 개의 장치 바인딩 패스키가 포함될 수 있습니다. 이 문서에 수록된 UX 연구와 그에 따른 지침은 동기화된 패스키를 다룹니다.

‘패스키’라는 단어는 일반 명사이므로 ‘비밀번호’라고 부르는 것과 같은 방식으로 생각하면 됩니다. 문장을 시작할 때를 제외하고는 소문자로 작성해야 합니다. ‘패스키'(및 복수형 ‘패스키’라는 용어)는 특정 플랫폼에 국한된 기능이 아닌 크로스 플랫폼에서 일반적으로 사용되는 용어입니다.

FIDO 얼라이언스 UX 워킹 그룹(UXWG) 소개

전 세계 기업들이 FIDO 표준에 기반한 비밀번호 없는 인증으로의 전환을 가속화하면서 사용자 경험이라는 주제가 가장 중요한 화두로 떠올랐습니다. 간단히 말해, UX가 충분하지 않으면 소비자는 비밀번호 대체 수단으로 패스키를 채택하는 데 더디게 되고 우회 방법을 찾게 됩니다. 또한 MFA는 더 이상 보안 또는 수익 송금 수단으로만 여겨지지 않습니다. 더 나은 인증 사용자 경험은 온라인 서비스에 더 빠르고 원활하게 액세스할 수 있게 하고 브랜드 호감도를 높여 매출 성장을 견인할 수 있습니다.

FIDO 솔루션의 채택을 가속화하고 비밀번호에 대한 전 세계의 과도한 의존도를 줄이려는 FIDO 얼라이언스의 비전을 달성하기 위해 UX 워킹 그룹(UXWG)은 사용성 및 UX와 관련된 문제에 대해 FIDO 얼라이언스 내에서 주제별 전문가 및 내부 자문 역할을 합니다.

FIDO 얼라이언스 UXWG는 31개 기업에서 79명으로 구성되어 있습니다. UXWG 의장은 케빈 골드먼입니다. 발행 시점의 모든 UXWG 회원을 포함합니다:

매트 데이비 , AgileBits, Inc. dba 1Password | 벤지 데브남 , 1Password | 트래비스 호건 , 1Password | 마이클 혼 , 아메리칸 익스프레스 | 수 쿠멘 , 아메리칸 익스프레스 | 리키 몬델로 , Apple Inc. | 미첼 아르멘타 , Axiad IDS, Inc. | Jing Gu , Beyond Identity, Inc. | 베키 리 , 비욘드 아이덴티티, Inc. | 아비 바비르 , CVS Health | 폴 이바니브스키 , CVS Health | 시사 쿠리안 , CVS Health | 닐 샤 , CVS Health | 줄리아 샤그니에 , Dashlane | 리우 이슬람 , Dashlane | 휴고 르루프 , Dashlane | 매튜 밀러 , Duo Security, Inc. | Sierre Wolfkostin , Duo Security, Inc. | Dirk Balfanz , Google Inc. | 크리스티안 브랜드 , Google Inc. | 실비아 콘벤토 , Google Inc. | Mitchell Galavan , Google Inc. | Court Jacinic , Google Inc. | Rebecca Shareff , Google Inc. | 칭지에 두 , HYPR | 폴 튜닉 , HYPR | 사라 지머스 , HYPR | 선일 조지 , IBM | 셰인 위든 , IBM | 조지 후자르 , 아이데미아 , 앨리슨 와그너 , 아이데미아 | 엘리자베스 비즐리 , Intuit | 라칸 칼리드 , Intuit | 유팅 랴오 , Intuit | Calvin Ma , Intuit | Arim Yoon , Intuit | Judy Clare , JP Morgan Chase Bank, NA | Julia Trinidad , JP Morgan Chase Bank, NA | Robert Warne , JP Morgan Chase Bank, NA | Tatsuya Karino , Mercari, Inc. | Kotaro Oi , Mercari, Inc. | 엘리스 클라크 , 메타 | 야오 딩 , 메타 | 성페이 구 , 메타 | 송진징 , 메타 | 팀 카팔리 , 마이크로소프트 | 제임스 황 , 마이크로소프트 | 재키 콤프 , 녹녹랩스 | 비토리오 베르토치 , 오크타, Inc. | 아밋 바티아 , 페이팔 | 필 카탈파모 , 페이팔 | 리사 그로시 , 페이팔 | 매트 웰시 , 페이팔 | 김종수 , 삼성전자 주식회사. | 캠 샴포 , 소니 그룹 코퍼레이션 | 매니쉬 케다왓 , 타겟 코퍼레이션 | 톰 셰필드 , 타겟 코퍼레이션 | 김재범 , 한국정보통신기술협회 | 케빈 골드만 , 트루소나, Inc. | 앤드류 워드 , 트루소나, Inc. | 스티븐 오 , TrustKey | 리사 크로스비 , 미국 은행 | 파멜라 데그넌 , 미국 은행 | 크리스티나 디바인 , 미국 은행 | 레슬리 존슨 , 미국 은행 | 댄 런딘 , 미국 은행 | 코트니 마쿠슨 , 미국 은행 | 마이클 토스 , 미국 은행 | 아만다 윌리스 , 미국. 은행 | 패트릭 리히 , VMware | 조이스 오시타 , VMware | 지니 엘스워스 , 웰스파고 , 밥 패리건 , 웰스파고 , 개빈 펑 , 웰스파고 , 니티아 스리니바산 , 웰스파고 , 에이미 울리히 , 웰스파고 , 유에 친 , WiSECURE Technologies | 블레이크 헨슨 , 유비코 | 아서 로 , 유비코

가이드라인의 인수자 정보

FIDO 얼라이언스는 501(c)(6) 비영리 단체입니다. 독립적인 제3자 UX 리서치 회사를 고용하면 비용이 발생합니다. 세 곳의 FIDO 얼라이언스 회원사가 이 연구 비용에 기여했습니다. 이 작업을 가능하게 하는 데 재정적 지원을 아끼지 않은 1Password, Google, 미국 은행, 트루소나에 감사의 말씀을 전합니다.

본 가이드라인은 FIDO의 로고 사용 가이드라인, FIDO 개인정보 보호 원칙, 장애인이 FIDO 배포에 접근하기 위한 지침, FIDO 얼라이언스 디자인 시스템, passkeys.dev 및 기타 기술 문서를 포함한 다른 FIDO 얼라이언스 간행물과 함께 사용해야 합니다. 이 문서에 포함된 모든 휴먼 인터페이스는 FIDO 얼라이언스 피그마 UI 키트에서 완전히 편집 가능한 피그마 구성 요소로 찾을 수 있습니다.

FIDO 프로토콜에 대한 디바이스, 운영 체제 및 브라우저 지원은 시간이 지남에 따라 변경될 수 있습니다. 패스키를 구현하는 동안 문제가 발생하면 FIDO 개발 메일링 리스트와 같은 온라인 리소스를 활용하거나 이메일을 통해 FIDO 얼라이언스에 문의하시기 바랍니다.