我们希望得到您的反馈

如果您是部署FIDO或向市场投放FIDO产品的服务提供商，我们希望听到您的意见，并就您的FIDO经验、这些《FIDO用户体验指南》和/或您想分享的任何其他内容获得您的反馈。

请通过info@fidoalliance.org与我们联系

文件目的

本文件以受监管行业（如银行业）的使用案例为基础，为FIDO桌面验证器体验的依赖方和实施方提供用户体验（UX）指南和最佳实践。 这些指南旨在加快 FIDO 实施过程中的决策，并明确规定应向用户提供哪些信息和控制措施。

本文件中的原则是由Blink与FIDO用户体验工作组的成员合作，经过多次（100多次）有主持和无主持的消费者调研后制定的。 在研究和评估过程中，还对市场上现有的移动和桌面生物识别身份验证体验进行了审查，并将其作为参考。

这些建议代表了 FIDO 关于如何在桌面上为消费者实施 FIDO 身份验证的观点，应与其他 FIDO 出版物（如 FIDO 营销指南、FIDO 徽标使用 指南、FIDO 隐私原则 和其他技术文档）结合使用。 反映本文件指导意见的实时参考实施情况可在https://digitalbank-test.com上找到。

设备、操作系统和浏览器对 FIDO 的支持会随着时间的推移而变化。 如果您在实施FIDO身份验证过程中遇到困难，请考虑使用FIDO-dev邮件列表等在线资源，或直接通过电子邮件与FIDO联盟联系。

预期受众

目标受众是任何负责为基于浏览器的网站实施 FIDO 桌面身份验证界面或用户体验的人员–请注意，这些指南是基于受监管的行业用例制定的。 受众包括但不限于用户体验设计师、产品经理和软件开发团队。

关于FIDO联盟和FIDO用户体验工作组

FIDO（快速身份在线）联盟（www.fidoalliance.org）成立于 2012 年 7 月，旨在解决强身份验证技术之间缺乏互操作性的问题，并解决用户在创建和记忆多个用户名和密码时遇到的问题。

FIDO 联盟正在通过更简单、更强大的身份验证标准改变身份验证的本质，这些标准定义了一套开放、可扩展、可互操作的机制，从而减少了对密码的依赖。 在对在线服务进行身份验证时，FIDO 身份验证更强大、更私密、更易用。

该联盟由企业、支付、电信、政府和医疗保健领域的数百位全球技术领袖推动，他们共同支持该组织的使命，即减少全球对密码的依赖。 联盟成员通过影响FIDO规范的制定、建立部署FIDO身份验证的最佳实践，以及提高全球对联盟、联盟使命和FIDO规范的认识，为实现这一使命做出贡献。

FIDO董事会成立了FIDO用户体验工作组，以应对这一挑战，并为FIDO的实施开发最佳用户体验实践。 该项目的成员志愿者包括来自苹果、美国银行、eBay、Facebook、谷歌、HYPR、IBM、Intuit、摩根大通银行、微软、Trusona、Visa 和富国银行的产品负责人。 FIDO用户体验工作组与Blink UX公司合作，首次对FIDO用户旅程进行了正式的可用性研究，并积极与FIDO执行团队合作，以建立FIDO用户体验最佳实践，让所有人都能更方便地使用无密码身份验证。

为什么选择 FIDO？

互联网和移动技术彻底改变了我们的通信、交易和服务方式。 但是，这些进步也带来了一个问题–过度依赖令人沮丧且有风险的密码来验证在线服务用户的身份。

2012年，几个思想领先的组织和个人联合成立了FIDO联盟。 该联盟的使命是为更简单、更强大的现代身份验证方法制定标准，并促进其广泛采用。 FIDO联盟自成立以来取得的一些成功包括

• 已发布的基于公钥加密技术的不可篡改的强认证标准
• 与万维网联盟（W3C）合作，将 FIDO 技术确立为官方网络标准，该标准现已内置于领先的数十亿设备浏览器和平台中
• 建立认证工具、流程和全球研讨会，促进解决方案开发和互操作性测试
• 全球许多领先的消费电子产品制造商和网络服务品牌都认可了基于 FIDO 标准的方法

鉴于这些成功经验以及全球对FIDO身份验证的日益认可，标有FIDO标识的产品和服务都与不可篡改、可互操作和用户友好的身份验证联系在一起。

FIDO 注册之旅

FIDO 注册历程和流程步骤将以如下格式出现在整个文件中：

术语和概念

在介绍用户体验指南时，我们引用了三个概念。 端到端的用户体验以用户旅程的形式呈现。 每个旅程都包含流程步骤，这里介绍的两个旅程是根据特定用例开发的。

1. 用户旅程：它记录了用户在桌面端到端 FIDO 注册和注册后身份验证流程中的高层次目标和流程步骤。
2. 流程步骤：每段旅程都分为 “登录 “和 “检测设备是否合格 “等流程步骤，这些步骤又阶梯式地上升到高级用户目标，如 “认知 “或 “考虑”。
3. 使用案例：这是指《用户体验指南》所针对的具体使用场景–在本例中，是指受监管行业（如银行业）中基于浏览器的网站上的 FIDO 桌面身份验证。
4. 生物识别登录或 FIDO 登录：指任何利用设备解锁功能的 FIDO 登录，包括 Windows Hello（设备 PIN）和 MacOS（设备密码）上的非生物识别模式。

FIDO 注册之旅和测试站点

认识

目的：通过多种策略推广 FIDO 登录的可用性

本步骤详细介绍了依赖方如何通过针对使用支持 FIDO 身份验证的设备的用户的持续和短暂消息传递策略组合，提高客户对 FIDO 的认识。 用户研究表明，客户可能需要多次接触FIDO的概念，然后才会采取注册行动。

建议

• 在登录时提高生物识别意识：在进行 FIDO 注册前，通过持续的图标和文字向用户说明 FIDO 登录选项的可用性，并将其作为主页上登录用户界面的一部分。
• 根据用户平台区分生物识别图标：我们的研究表明，个人电脑和安卓手机用户认为通用指纹图标最能清楚地传达 “生物识别登录 “功能，而 Mac 和 iPhone 用户则认为苹果 Touch ID 指纹图标最容易识别。
• 在注册时添加FIDO品牌：由于大多数消费者对FIDO品牌还不熟悉，因此在FIDO注册前在主页上宣传FIDO标志，不如显示指纹图标和 “行动号召 “来启用设备生物识别技术更能引起人们对使用FIDO登录的兴趣。
• 确定设备资格：用户使用用户名和密码登录后，检测访问网站的用户是否使用支持 FIDO 身份验证的设备，并只邀请此类用户注册。
• 通过多个接触点和各种营销渠道，提高人们对 FIDO 的认识。
  • 提供安全设置，允许用户随时启动（或删除）FIDO 注册。
  • 利用电子邮件活动、家庭邮件和/或社交媒体等工具，宣传启用设备生物识别技术登录桌面的可用性。
    • 数字营销渠道的优势在于能够将用户直接链接到RP网站，让用户了解更多有关为何以及如何启动FIDO凭证注册的信息。 非数字渠道可引导用户访问相关的安全设置来启动 FIDO 注册。
  • 向客户支持部门介绍 FIDO 注册、身份验证和价值主张。
    • 包括有关哪些设备配置支持 FIDO 登录的信息，以及如何在支持 FIDO 登录的设备上启用 Windows Hello 或 Apple Touch ID 的说明。

认识：FIDO注册前登录

用户界面示例

在进行 FIDO 注册之前，通过在网站主页上使用持久性图标和文字作为登录用户界面的一部分，提高人们对 FIDO 登录选项可用性的认识。

1. 使用用户容易识别的生物识别图标（指纹），传达 “生物识别登录 “的可用性。
2. 根据用户的桌面平台 （Mac 或 Windows 操作系统）区分显示的图标。
3. 包括 “行动呼吁”，如 “启用设备生物识别技术，访问数字银行”。

在登录时以生物识别信息和图标为先导，在注册时添加 FIDO 品牌。

由于大多数消费者对FIDO品牌还不熟悉，因此在FIDO注册前在主页上宣传FIDO标识，不如显示指纹图标和相关的 “行动号召 “来启用设备生物识别技术，更能引起人们对使用FIDO登录的兴趣。

图 1 – Mac（左）和 PC（右）的预 FIDO 注册登录用户界面示例

考虑因素

目的：邀请支持 FIDO 身份验证的设备上已登录的用户注册。

建议

• Invite only users on devices that are capable to support FIDO Authentication, e.g., those where users can utilize Windows Hello or Apple Touch ID: This targeting is critical to reduce frustration and increase the likelihood of customer success in registering.
  • 请注意，有些 Windows 10 用户可能没有注册 Windows Hello，在这种情况下，向这些用户指出如何使用此功能的相关文档可能会有所帮助。
• 注重价值主张：邀请信息应简明扼要地阐述FIDO的价值主张，即 “简单安全的登录方式可替代密码”，从而激发用户的兴趣。
  • 我们建议根据用户测试结果制作以下邀请信息。 两者都有效地传达了FIDO的价值主张，并以 “简单 “或 “可选 “为主题：
    • 简单：”您可以使用更简单的登录方式！ 了解如何在下次登录时跳过密码。立即注册.
    • 可选项：”添加一种简单安全的方式来访问您的账户。立即注册“。
  
• 包含与用户设备平台相对应的生物识别图像：邀请信息应包含与用户设备平台相对应的生物指纹图标。 我们的研究表明，指纹图像能非常有效地帮助用户快速识别邀请函的目的是 “启用生物识别登录”。
• 多次邀请用户：在多次访问网站时显示邀请信息，确保用户有机会考虑 FIDO、根据需要进行研究并在方便时采取行动。 我们的研究表明，用户通常需要多次接触FIDO，然后才会根据网站的其他目标采取注册行动。
• 有策略地采用多种邀请函信息样式：为了激发用户多次访问网站的兴趣，请使用一种以上的邀请函格式。 例如，可以从一个吸引眼球的 “聚光灯 “页面开始，要求用户通过删除信息或注册 FIDO 来做出回应。 在接下来的几场会议中，通过更隐蔽的 “祝酒辞 “通知邀请用户注册，这种通知不需要强制互动。
• 给用户控制权：所有信息邀请都应包括一种让用户解除当前会话信息的方法。 用户希望在接下来的几个会话（例如总共三个会话）中再次出现被驳回的信息。
• 始终链接到FIDO注册页面：确保所有注册信息都包含指向FIDO注册登陆页面的明确链接。

考虑：有针对性的邀请

用户界面示例

1. 使用简短的邀请消息，传达“无需密码即可简单安全登录”的 FIDO 价值主张 。
2. 包括一个明确的链接或按钮，用于注册或 “设置新的登录”，导航到专门的 FIDO 注册页面。
3. 允许用户关闭当前会话 的任何邀请消息 。

有策略地交替使用多种 FIDO 注册邀请格式，以吸引 FIDO 设备上的用户参与多个会话（图 2 和图 3）。

显示与用户平台相关的生物指纹图标。 在所有注册邀请函上，向 Mac OS 用户显示 Apple Touch ID 指纹图标（图 2），向 PC 用户显示通用指纹图标（图 3）。

图 2 – Mac 用户的 “Spotlight “页面接管邀请格式

图 3 – 面向个人电脑用户的 “Toast “通知邀请格式

注册

目的：向符合条件的设备用户介绍 FIDO 并允许他们注册。

建议

提供符合以下标准的专用注册登陆页面：

• 提供明确的启动注册功能（如 “注册 “按钮）。
• 给予用户控制权：为用户提供离开注册流程的持久选项。
• 包括动画或图像，以说明 使用 Windows Hello 或 Apple Touch ID 和生物识别（例如手指扫描）在台式计算机上注册 FIDO 的过程。
• 使用简单的信息描述 FIDO 注册过程（例如，”输入您用来解锁计算机的密码、PIN 码、手指扫描、面部扫描或安全密钥”）。
• 介绍FIDO品牌：在用户注册时，展示 FIDO 批准的品牌并明确将该技术称为 “FIDO “是适当的，也是有帮助的。 在 “了解更多 “中提供的这些附加信息可以建立对FIDO技术的信任，并明确注册流程。
• Progressively disclose more information about FIDO in a “Learn more” link: The following statements developed through user testing addressed the top questions and concerns research participants had about FIDO before registering:
  • FIDO 是一种内置于所有主流桌面设备（PC 和 Mac）和浏览器中的技术，用户无需密码即可安全登录。
  • 与手机使用生物识别技术的方式相同，FIDO 现在也可以在桌面浏览的网站上使用生物识别技术登录。
  • FIDO 使登录变得简单、安全和私密！
  • FIDO 技术使用电脑内置的身份验证方法（如 Windows Hello 或 Apple Touch ID），确保您的登录信息安全，不被黑客窃取，因为这些信息从未离开过您的电脑。
  • 一旦您注册了计算机的 PIN 码、面部识别、指纹或安全密钥，FIDO 就会验证它确实是您本人，并且不会在互联网上传输您的任何登录信息。
  • 注册 FIDO 后，您在该设备上就多了一个登录选项–您的密码仍然有效。
  • 全球零售、电信、金融和技术领域的领先企业都已在使用 FIDO。

注册：专用登陆页面

用户界面示例

从邀请函中，将 FIDO 设备上的用户链接到一个专门的注册页面，其中包括以下内容：

1. 退出注册过程的能力
2. 一个 动画或图像，用于演示 使用 Windows Hello 或 Apple Touch ID 注册或登录 FIDO 以及在笔记本电脑上进行手指扫描
3. 有关向 FIDO 注册过程的简单说明（例如，使用密码、PIN、手指扫描、面部扫描或用于解锁计算机的安全密钥）
4. “注册”或“设置新登录”的显式功能
5. 通过 “了解更多 “链接逐步披露有关 FIDO 的其他信息，包括有关 FIDO 的隐私、安全性和便利性的关键事实
6. 经 FIDO 认证的品牌

图 4 – FIDO 注册登陆页面

认证

目的：允许用户登录 Windows Hello 或 Apple Touch ID，以通过 FIDO 进行身份验证和注册。

建议

• 提示使用 Windows Hello 或 Apple Touch ID 进行身份验证：用户选择 “注册 “后，在 FIDO 注册页面顶部显示相关系统对话（Windows Hello 或 Apple Touch ID），提示用户进行身份验证。
• Display authentication error messaging on the FIDO registration landing page: If authentication with Windows Hello or Apple Touch ID fails, display updated messaging on the FIDO registration page to help users succeed in authenticating with Windows Hello or Apple Touch ID.
  • 例如”FIDO 注册失败。请输入您用来解锁此电脑的密码、PIN 码、手指扫描、面部扫描或安全密钥。在注册 FIDO 之前，您必须在计算机上设置 Windows Hello 或 Apple Touch ID。
• 在 FIDO 注册登陆页面上显示认证成功信息： 如果使用 Windows Hello 或 Apple Touch ID 身份验证成功，则在 FIDO 注册页面上显示成功信息，同时显示与用户平台相关的手指扫描图标和成功的可视化指示符（如绿色复选标记）。

验证身份Windows Hello 或 Apple Touch ID

用户界面示例

1. Windows Hello 或 Apple Touch ID 系统对话框：用户选择注册后，在 FIDO 注册页面顶部显示相关的 Windows Hello 或 Apple Touch ID 对话框，提示用户进行身份验证。
2. 错误信息：如果使用 Windows Hello 或 Apple Touch ID 身份验证失败，请更新 FIDO 注册页面，并提供说明性错误信息。
3. 成功信息：如果身份验证成功，则在 FIDO 注册页面上显示成功信息。 用与用户平台相关的手指扫描图标和绿色复选标记取代注册动画，以表示注册成功。
4. 包括 FIDO 批准的品牌标识。
5. 退出：当用户使用 FIDO 登录网站后，确保用户可以使用之前使用过的用户名和密码登录退出。

图 7 – 使用标准网站用户界面退出登录

FIDO 登录

目的：允许注册设备上的用户使用 FIDO 登录。

建议

• 尽可能将 FIDO 作为主要登录路径：对于使用 FIDO 注册设备的用户，用一个 “登录 “按钮和与每个用户平台相关的生物识别图像取代用户名和密码字段。
• FIDO 认证：在 “登录 “按钮下方显示 “FIDO Certified（FIDO 认证）”品牌，以表明登录体验已更新并受 FIDO 支持。
• 保留二级非 FIDO 登录路径：提供 “切换用户 “和 “以其他方式登录 “链接，以保留用户名和密码登录功能。
• 注销：当用户使用 FIDO 登录网站后，确保用户可以使用与之前使用用户名和密码相同的用户界面退出网站。

FIDO 登录

用户界面示例

1. 将用户名和密码字段替换为用户名和单个登录按钮，以及与用户平台相关的生物识别图像。
2. 在 “登录 “按钮下方显示FIDO 批准的品牌。
3. 通过 “切换用户 “和 “以其他方式登录 “链接保留用户名和密码登录选项。

图 8 – Mac 用户的 FIDO 注册后登录

利用 FIDO 优化客户成功

目的：了解有助于提高用户成功率和采用率的策略

• 宣传您的品牌与FIDO之间的合作关系：客户对FIDO新品牌的信任首先来自于FIDO与您值得信赖的品牌之间的联系。
• 以生物识别语言和符号为先导：在FIDO注册之前，使用消费者熟悉的指纹符号来提高FIDO登录意识，因为消费者很容易将这些符号与 “生物识别登录 “联系起来，而不是对大多数消费者来说很陌生的FIDO品牌。
• 在注册时引入经 FIDO 批准的品牌，并提供 “了解更多 “的教育信息。
  • 为了开始建立对品牌和技术的熟悉度和信心，可在注册页面上显示经 FIDO 批准的品牌以及有关 FIDO 技术的其他上下文信息。
  • 在 “了解更多 “部分，说明为什么 FIDO 是一种独特的安全、可靠和方便的登录方式。
• 向用户介绍 FIDO 技术的工作原理，以树立信心和信任感。
  • 我们的研究表明，尽管许多用户认为生物识别登录是可取的、方便的和安全的，但一些用户最初表示不愿意与银行或FIDO共享生物识别或其他计算机登录信息。
  • 在注册页面的 “了解更多信息 “部分，向用户保证FIDO使用他们电脑上现有的身份验证机制（如Windows Hello或Apple Touch ID）来验证他们的身份；他们的PIN码、密码、面部扫描、手指扫描或安全密钥不会与FIDO或您的网站共享，也不会离开他们的电脑。
  • 让客户支持人员了解如何注册和登录FIDO（包括成功使用FIDO所需的配置信息和/或无法使用FIDO的设置，如在 “私密 “或 “隐身 “模式下浏览），以及为什么FIDO是一种安全、可靠和方便的网站身份验证替代方案。