FIDOセキュリティキーUXガイドライン

ご意見をお聞かせください

FIDOを導入している、あるいはFIDO製品を市場に送り出しているサービスプロバイダであれば、あなたのFIDO体験、このFIDO UXガイドライン、および/またはあなたが共有したい他の何かについて、あなたの声を聞き、フィードバックを得たいと考えている。

info@fidoalliance.orgまでご連絡ください。

文書の目的

本文書は、規制業界(銀行やヘルスケアなど)のユースケースに基づき、FIDO セキュリ ティキーを第 2 要素とする多要素認証(MFA)を実現しようとする依拠当事者および実装者のた めの、ユーザエクスペリエンス(UX)ガイドラインおよびベストプラクティスを提供する。 これらのガイドラインは、FIDO導入時の意思決定を迅速化することを目的とし、利用者にどのような情報と管理を与えるべきかを規定している。 これらのUXに関する推奨事項は、モバイルアプリやモバイルウェブではなく、デスクトップ/ノートパソコンでアクセスするブラウザベースのサイトに最適化されていることに注意してください。 しかし、このガイドラインには、セキュリティポリシーやアカウント回復に関する推奨事項は含まれていない。

本文書の原則は、FIDO UX タスクフォースメンバーとの協力のもと、Blink が実施した複数回(N = 68)のモデレートおよび非モデレート消費者調査のセッションを経て策定された。 ユーザー・リサーチの参加者には、主に仕事でセキュリティ・キーを所有し、使用している消費者と、個人的なオンライン・バンキングで二要素認証を使用しているが、リサーチ・セッション以前にセキュリティ・キーの使用経験がない、セキュリティ・キー・ユーザー候補が含まれる。 なお、今回の調査範囲には、キー購入希望者を誘引する戦略は含まれていない。 ユーザー調査に加え、現在市場にあるセキュリティ上の主要な二要素認証体験が FIDO UX タスクフォースによってレビューされ、調査と評価プロセスのインプットとなった。

これらの提言は、FIDOアライアンスのUXタスクフォースから、プロシューマー向けにデスクトップ/ノートPCのセカンドファクターとしてFIDOセキュリティキーのMFAを実装する方法についての見解を示したものである。 本書では、「プロシューマー」とは、セキュリティとプライバシーに配慮し、個人生活においてセキュリティとプライバシーの技術やサービスをいち早く採用する消費者を指す。

本ガイドラインは、FIDO のロゴ使用ガイドライン、FIDO プライバシー原則、FIDO デプロイメントを障害者ユーザ ーにアクセシブルにするためのガイド(2022 年夏公開予定)、デスクトップ認証機能のための FIDO UX ガイドライン、およびその他の技術文書などの他の FIDO 出版物と併用して使用する必要がある。 この文書のガイダンスを反映したライブ・リファレンス・インプリメンテーションは、https://digitalbank-test.com。

FIDOのデバイス、オペレーティングシステム、およびブラウザのサポートは、時間の経過とともに変化する。 FIDOセキュリティキー認証の実装中に問題が発生した場合は、FIDO-devメーリングリストなどのオンラインリソース、またはFIDOアライアンスに電子メールでお問い合わせください。

対象読者

想定される読者は、FIDO セキュリティキーを活用する MFA 展開のインターフェースまたはユーザーエクスペリエンス要素の責任者であり、このガイドラインは規制された業界のユースケースに基づいていることに留意されたい。 この対象者には、ユーザー・エクスペリエンス・デザイナー、プロダクト・マネージャー、ソフトウェア開発チームが含まれるが、これらに限定されない。

FIDOアライアンスとFIDO UXタスクフォースについて

FIDO(Fast Identity Online)アライアンス(www.fidoalliance.org)は、パスワードに過度に依存する世界を減らすための認証標準という、焦点を絞った使命を持つオープンな業界団体である。

FIDOアライアンスは、パスワードやSMS OTPSよりも安全で、消費者がより簡単に使用でき、サービスプロバイダーがより簡単に導入・管理できるサインイン体験を提供するオープンスタンダードで、認証の本質を変えるために活動している。 FIDO認証は、オンラインサービスでの認証において、より強力で、よりプライベートで、より使いやすくなっている。

アライアンスは、企業、決済、電気通信、政府、ヘルスケアにまたがる何百ものグローバルな技術リーダーたちによって推進されており、パスワードへの依存を世界から減らすという組織の使命を支持するために集まっている。 アライアンスメンバーは、FIDO仕様の開発に影響を与え、FIDO認証の展開のためのベストプラクティスを確立し、アライアンス、その使命、およびFIDO仕様に対する世界的な認知を促進することによって、この使命に貢献しています。

このプロジェクトのためのFIDO UXタスクフォースは、FIDOアライアンス理事会により、消費者向けのウェブベースのサイト、デスクトップ/ノートPCのプラットフォームを問わず、FIDOセキュリティキーによるMFAを実装するための課題に取り組み、UXのベストプラクティスを開発するために設立された。 このプロジェクトのメンバー・ボランティアには、Feitan、Google、IBM、Idemia、JP Morgan Chase Bank、Meta、Microsoft、NIST、OneSpan North America、Onfido、Trusona、Trustkey、Visa、VMware、Yubicoのプロダクト・リーダーが含まれている。 本ガイドラインの目的は、RPが消費者セキュリティの主要な利用者のために、より優れた一貫性のあるユーザー体験を設計し、最終的に採用を最大化できるようにすることである。

なぜFIDOなのか?

インターネットとモバイル・テクノロジーは、コミュニケーション、取引、サービス提供の方法に革命をもたらした。 しかし、このような進歩は、オンライン・サービスのユーザー認証にイライラさせる危険なパスワードに過度に依存するという問題も生み出した。

2012年、思想をリードする組織や個人が集まり、FIDOアライアンスを結成した。 アライアンスの使命は、よりシンプルで強力な最新の認証方法の標準を作成し、その普及を促進することである。 FIDOアライアンスの成功例には以下のようなものがある:

  • 公開鍵暗号方式に基づく、フィッシングに強い強力な認証のための標準規格を発表
  • ワールド・ワイド・ウェブ・コンソーシアム(W3C)と協力し、FIDO技術を公式ウェブ標準として確立。
  • ソリューション開発と相互運用性テストを促進するために、認証ツール、プロセス、グローバルワークショップを確立。
  • 世界有数の家電メーカーやウェブサービスブランドの多くに対して、FIDO標準ベースのアプローチを世界的に支持することを達成した。

このような成功と FIDO 認証の世界的な認知度の高まりから、FIDO ロゴの付いた製品やサー ビスは、耐フィッシング性、相互運用性、およびユーザーフレンドリーな認証と関連付けられている。

FIDOセキュリティキー登録ユーザージャーニー:ユーザーゴールとプロセスステップ

画像の説明

エンド・ツー・エンドのユーザー体験は、ユーザー・ジャーニーとして提示される。 FIDOセキュリティキーの登録と認証のユーザージャーニーは、最大12のプロセスステップを含み、特定のユースケースを念頭に開発された(すなわち、規制された業界のウェブサイトを利用する消費者が、第二要素としてFIDOセキュリティキーによるMFAを有効にしようとしている)。 UXガイドラインでは、以下の4つのコンセプトが参照されています。

  1. ユーザージャーニー:これは、デスクトップ/ラップトップにおけるエンドツーエンドのセキュリティキーの登録と認証プロセスにおける、高レベルのユーザゴールとプロセスステップをキャプチャするものである。
  2. プロセスステップ:各ジャーニーは、「サインイン時の認識」や「認証オプションの比較」といったプロセスステップに分かれており、これらは “認識 “や “検討 “といったハイレベルなユーザーゴールに該当する。
  3. ユースケース:これは、UXセキュリティキーガイドラインが通知するために設計された具体的な使用シナリオを指す。つまり、消費者は、規制された業界(例えば、銀行やヘルスケア)内のブラウザベースのウェブサイト上で、第二要素としてFIDOセキュリティキーによるMFAを有効にする。
  4. 第2要素としてセキュリティキーを使用するMFAサインイン:これは、WindowsまたはMac OSのデスクトップ/ラップトップ上で第2要素としてFIDOセキュリティキーを含むMFAサインインを指します。

FIDOセキュリティキー登録ユーザーの旅とテストサイト

1

画像の説明

表示
デジタルバンク・テスト・ドット・コム
クローム

2

オンライン・バンキングの登録」リンクからユーザー名とパスワードを設定してください。

3

画像の説明

ユーザー名とパスワードを使ってデジタルバンクにサインインしてください。

4
画像の説明

アカウント取引」ページで、メインナビゲーションまたは「プロフィール」の下にある「セキュリティとプライバシー」設定を選択します。 または、トースト通知内の「セキュリティとプライバシー」リンクをクリックします。

5

画像の説明

セキュリティとプライバシー設定のページを一番下までスクロールし、 “Learn more(さらに詳しく)”を読んで、セキュリティキーに関する情報をご覧ください。

6

画像の説明

セキュリティキーの追加」を選択し、キーのニックネームを入力し、「続行」を選択します。

7

画像の説明 画像の説明

8

画像の説明

これであなたのFIDOキーは第二の認証要素として登録されました!

別のキーをお持ちの場合は、バックアップとして今すぐ追加してください。 2つ目のキーを追加しない場合は、「セキュリティとプライバシー設定」に戻ってセキュリティキーの登録情報を確認し、キーの名前を変更したりアカウントからキーを削除したりするオプションを確認します。

9

画像の説明

セカンドファクターとしてFIDOセキュリティキーを登録した後、デジタルバンクからサインアウトします。 ユーザー名とパスワードを入力してデジタルバンクにサインインし、キーを接続します。

シンプル、迅速、安全!

始めよう

それでは、セキュリティキーの登録と認証の旅における各ユーザゴールについて、FIDOの推奨展開とサンプルUIを深く掘り下げていきます。

意識

画像の説明

目的:パスワードのみの認証に代わる利用可能なオプションについてユーザーの認識を促し、セキュリティキーを含む新しいサインインオプションを管理するために、ユーザーを「セキュリティとプライバシー」設定に誘導する。

このステップでは、RP が、メッセージ戦略とサイト情報アーキテクチャの更新を組み合わせることで、 パスワードのみの認証に代わる利用可能な認証(FIDO セキュリティ・キーやプラットフォーム・デスクトッ プ認証など)について、どのように顧客の認知度を高めることができるかについて詳述する。 RP は、対象としている顧客セグメントまたは事業分野に応じて、プラットフォーム認証機 能および/またはセキュリティ・キーを顧客に推進することを選択することができる。 当社のユーザー調査によると、顧客は、新しいサインイン方法を設定するために行動を起こす前に、新しい認証オプションに何度も触れる必要がある場合があります。

推薦の言葉

サインインの前に

  • ウェブサイト以外でも、複数のチャネルを戦略的に活用し、アカウントのセキュリティを最適化するための目的地として、セキュリティとプライバシー設定を宣伝しましょう。
    • サイト外では、Eメールキャンペーン、ホームメーラー、ソーシャルメディアなどを活用し、ユーザーに「セキュリティとプライバシー」の設定にアクセスし、アカウントのセキュリティについて学び、強化し、セキュリティキーの使用を含むMFAを設定するよう勧める。
    • プライバシーとセキュリティに関する推奨事項に関する顧客へのオンライン・コミュニケーションでは、常にセキュリティとプライバシーの設定ページにリンクする。
    • セキュリティ・キーの使用によって最も恩恵を受ける可能性のある特定の顧客プロフ ァイル(例えば、富裕層のバンキング顧客)を対象に、セキュリティ・キーの利点を 含む認証オプションに関する教育資料を送付することを検討する。

サインイン時に

  • 不慣れなセキュリティ・キーの方法である可能性が高いものを特別に宣伝するのではなく、パス ワードのみの認証に代わるものが利用可能であるという一般的な認識を促進する:
    • デスクトップ・ウェブでバイオメトリクスを提供する RP については、サインイン UI に、パスワードのみの認証に代わるバイオメトリクス・アイコン(指紋など)を表示する。
      • 我々の調査では、ユーザーがバイオメトリクス・ログインを使用していないにもかかわらず、指紋アイコンをきっかけにパスワード以外のログインを検討することが実証された。
      • おなじみの指紋アイコンは、セキュリティ・キーという未知の概念に特別に言及するよりも、サインイン・オプションの更新に対するユーザーの関心を集めるのに効果的だった。
    • デスクトップ・ウェブでバイオメトリクスを提供していない RP は、サインイン UI 上で、より広範なカテゴリの認証を表すアイコン(例えば、ユー ザー・アウトラインとチェックマーク、または PIN コードを示すアスタリスク付きの錠前)の使用を検討す べきである。
    • サインインUIの認証アイコンの横に、サインイン後にユーザーをセキュリティとプライバシー設定に誘導し、新しいサインインオプションを設定するためのコールトゥアクションとして、簡潔で静的なメッセージを含める。

サインイン後

  • サイトアーキテクチャを更新したり、サイト上でこの設定リンクを戦略的に宣伝したりすることで、セキュリティとプライバシー設定を、アカウントのセキュリティを管理するための発見可能な宛先にしてください。
    • セキュリティーとプライバシーの設定をサイト内で発見しやすくします。 メイン・サイト・ナビゲーション内に「セキュリティとプライバシー」設定のリンクを設置するか、「プロフィール」の下に独自のリンク先として追加してください(つまり、より一般的な「設定」メニュー項目の外に)。
  • ウェブサイトの中で、複数のメッセージング戦略を戦略的に活用し、アカウントのセキュリティを最適化するための目的地として、セキュリティとプライバシーを促進します。
    • 複数回のサイト訪問で興味を喚起するには、複数のメッセージング形式を活用する。 例えば、バナー広告や「トースト」通知などの一時的なメッセージング戦略を利用して、「セキュリティとプライバシー」にアクセスしてサインイン方法を更新するようユーザーを誘う。
    • 新しいサインイン方法の登録を促すためには、特にセキュリティキーの採用のために、複数のメッセージの暴露が必要になることが多い。
      • セキュリティ・キーの登録は複数のステップを経る必要があり、セキュリティ・キーについて学び、購入し、登録するには時間と労力の投資が必要です。
      • 私たちの調査によると、他のサイト目標との関連で、ユーザーが行動を起こす前に、新しいサインインオプションを設定するというアイデアに何度も触れる必要があることが多い。 ユーザーが関連するメッセージに気づき、都合の良いときに行動を起こす機会を何度か与える。
        • 例えば、複数回のサイト訪問時にトースト通知を表示し、ユーザーにセキュリティとプライバシー設定にアクセスしてサインイン方法を更新するよう促す。

啓発アカウントのセキュリティを強化するためのセキュリティとプライバシー設定の促進

サンプルUI

セキュリティとプライバシーの設定をより発見しやすい場所にすることで、ユーザーがアカウントのセキュリティとサインインオプションを積極的に管理することを促進する。

サインイン時に

  • バイオメトリクス認証を提供するサイトでは、サインインUI内にバイオメトリクス・アイコン(指紋)を使用し、バイオメトリクスサインイン(パスワードのみの認証に代わるもの)が利用可能であることを伝える。
    • 我々の調査は、ユーザーがバイオメトリクスサインインを使用していないにもかかわらず、指紋アイコンがパスワードのみのサインインに代わるものを検討するきっかけとなったことを実証した。
  • サインインオプションを更新するための持続的な行動喚起を含める(例:「新しいサインインオプションを設定するには、サインイン後にセキュリティとプライバシーをご覧ください」)。

サインイン後

  • 新しいサインインオプションを追加するために、ユーザーを「セキュリティとプライバシー」に誘導するトースト通知を採用する。
  • トースト通知に認証アイコンを追加する(バイオメトリクスサインインを提供するRPの場合、指紋など)。
  • セキュリティとプライバシー」リンクを、メインのアカウント・ナビゲーション、またはユーザー・プロフィール・メニューの「設定」に追加します。
画像の説明

画像の説明

図1 – 指紋アイコンと行動喚起テキストを使ったサインインUIの例

画像の説明

図2 – 生体認証アイコンとセキュリティとプライバシー設定へのリンクが表示されたトースト通知

画像の説明

図3 – メインナビゲーションまたはユーザープロフィールの「セキュリティとプライバシー設定」リンク

考察

画像の説明

目的:「セキュリティとプライバシー」設定ページをデザインし、セキュリティキーを含む利用可能な認証オプションについてユーザーが学び、比較できるようにすることで、ユーザーがアカウントの保護に積極的に関与できるようにする。

顧客が自分のアカウントを認証し、保護するためのより強力な方法として、セキュリティ・キーを提供する企業が増えている。 しかし、当社の調査によると、ほとんどの消費者は、消費者向けウェブサイト認証のオプションとしてのセキュリティ・キーになじみがない。

セキュリティキーの利点、FIDOセキュリティキーの購入方法、複数のキーを登録することによるアカウント回復の準備方法について顧客を教育することは、顧客が消費者導入の障壁を克服するのに役立つ。

推薦の言葉

セキュリティ・キーなど、あなたのサイトで利用可能な認証オプションについて、ユーザーが比較・学習できるように、以下の条件を満たす「セキュリティとプライバシー」設定ページを提供してください:

  • パスワードに加えて2つ目の認証方法を追加することで、アカウントのセキュリティを向上させることを明示的に推奨する。
    • この推奨メッセージがユーザーによって却下可能であることを確認してください。
  • アイコンを使ってストーリーを語る。 ストーリーはユーザーにとって覚えやすく、アイコンはストーリーを語る。
    • セキュリティとプライバシー設定に関する推奨メッセージにアイコノグラフィを追加し、視認性と視覚的な関心を高め、プラットフォーム認証機能(指紋アイコンなど)やセキュリティキーなど、追加すべき推奨方法を示す。
    • 各認証方法を区別し、ページのスキャナビリティを高めるために、認証方法名の横にもアイコンを使用する。
  • ユーザーが現在登録しているサインイン方法を示す明確な視覚的インジケータを提供する。
  • 各手法の認証プロセスおよび/または独自の価値提案について簡潔に説明すること。
    • セキュリティー・キーに関する消費者の認識を高める必要があるため、セキュリティー・キーが第二の要素(すなわち、パスワードに加えて使用される)であること、複数のセキュリティー・キーを使用することが可能であり、推奨されることを強調することを推奨する。
      • テキストの例”デジタルバンクにサインインする際、セキュリティキーを使用することで、より安全かつ便利に二段階認証を完了することができます。セキュリティキーはいくつでも追加できます。”
  • セキュリティ・キーやプラットフォーム認証機能の詳細については、”Learn more “リンクで順次公開していく。
    • ユーザがセキュリティ・キーの使用に関して疑問や不安を抱いたときに、「Learn more」リンクがセキュリティ・キー登録の前後に表示されるようにする。
    • ユーザー・リサーチを通じて、参加者がセキュリティ・キーに関して抱いていた疑問や懸念のうち、採用の障壁となりうるものを取り上げたトピックを特定した。

画像の説明

図4 – エビデンスに基づく、「もっと知りたい」コンテンツ
複数回のユーザー調査を通じて開発されたセキュリティ・キー

考察セキュリティとプライバシー設定ページ

サンプルUI

トースト通知、メイン・サイト・ナビゲーション、および/またはユーザー・プロフィールから、以下を含むセキュリティとプライバシー設定ページにユーザーをリンクする:

  1. 生体認証とセキュリティーキーのアイコンを使用した、ユーザーによる解除が可能な追加のサインイン方法を追加することを推奨するメッセージ
  2. 利用者が現在どの方法を利用しているか、またどの方法がまだ利用可能かをすぐに確認できるようにするための、登録済みステータス表示またはタグ。
  3. セキュリティー・キーのセクションには、セキュリティー・キーの価値と第二の認証要素としての役割について、アイコンと簡単な説明を掲載する。
  4. セキュリティ・キー登録の前後に表示される「詳細」リンク

画像の説明

図5 – セキュリティとプライバシーの設定ページ(セキュリティキーの登録前)

入学

画像の説明

目的:ユーザが FIDO セキュリティ・キーを第 2 要素として認証し、アカウント回復のために追加 のキーを登録(即時または後日)できるようにする。

推薦の言葉

  • 複数のキーの使用を奨励する:複数のタッチポイントで、アカウントの回復とバックアップのために複数のキーを追加するようユーザーに強く勧める。
  • キーの更新、追加、削除をサポートする: セキュリティ・キーを含むすべての認証方法について、既存の認証情報の更新(「change」または「update」ボタンなど)、現在使用中の認証方法の削除(「remove」ボタンなど)、またはユーザのプロファイルへの新しい認証方法の追加(「add」ボタンなど)のための明示的なアフォーダンスを提供する。
  • セキュリティ・キーを使用することの価値提案を再度説明する:例えば、「セキュリティ・キーを使用すると、DigitalBankにサインインする際に、より便利で安全に2段階認証を完了できます。
  • ユーザがニックネームを追加する機能を追加する:登録を開始する際に、ユーザが選択したニックネームの入力を要求する。
    • ニックネームはユーザにのみ見えるものであり(すなわち、安全であるべきパスワードと同等ではない)、ユーザがどの鍵を登録したかを将来的に思い出させる役割を果たすことを指定する。
  • FIDO APIコールを行い、ブラウザやOSが残りのセキュリティキー登録UIを処理できるようにする。
  • オプションの認証ステップ: セキュリティ・キーの登録プロセスの一環として、認証(すなわち、セキュリティ・キーの製造元やモデルなど、製造元の情報をサイトと共有する許可をユーザーに求めること)を要求するよう、サイトを構成することができる。 セキュリティ・キーの製造元から詳細が入手できる場合、認証を要求することで、セキュリティ・キーがアカウントに登録された後、製造元とモデルがユーザーに表示されるようになる。
    • FIDOアライアンスは、この認証ステップをコンシューマーユーザーのケースに追加することを推奨していません。なぜなら、セキュリティキーの登録プロセスにおいて、ユーザーが余分なダイアログを介してサイトへの許可を与える必要があるからです。
    • あなたの組織がよりシンプルな登録プロセスを選択した場合、認証は許可ダイアログをバイパスしてオフにすることができます。 このオプションでは、キーのメーカーやモデルに関する詳細は、後日、顧客には知らされない。
    • この追加の認証ステップを追加することは、労働力シナリオのセキュ リティ・キー登録において価値があるかもしれない。
  • オプションのユーザー認証ステップ: セキュリティ・キーの登録プロセスの一環として、セキュリティ・キーで認証するためにPINまたは指紋の追加をユーザーに求めるという意味で、ユーザー認証を要求するようにサイトを構成することもできます。 このオプションの検証ステップは、このUXガイドラインに関連する調査の範囲外でした。
  • セキュリティキーの登録ランディングページに、登録の成功またはエラーメッセージを表示する。
    • セキュリティ・キーの登録に成功した場合は、成功メッセージを表示し、セキュリティ・キー・アイコンと成功の視覚的なインジケータ(セキュリティ・キー・アイコンの横にあるチェックマークなど)を表示します。
    • セキュリティキーの登録に失敗した場合は、エラーメッセージを表示して登録に失敗したことを理解させ、登録プロセスを再開できるようにする。
  • 複数のタッチポイントで、アカウントの回復とバックアップのために2つ目のセキュリティキーを追加するようユーザーを促す。
    • セキュリティ・キーの登録に先立ち、「セキュリティとプライバシー」設定ページでメッセージを表示し、ユーザーに複数のキーを追加するよう促す。
    • セキュリティ・キーの登録後すぐに、2つ目のセキュリティ・キーを追加することを強く推奨し、その機会を提供する。
    • Key successfully added “画面で、2つ以上のセキュリティー・キーを使用すべきことを強調するために、複数の戦略を用いる:
      • 見出しセキュリティーキーは1つしか登録できません」と太字で強調する見出しをつける。
      • テキスト1つのセキュリティー・キーが紛失または盗難にあった場合に備えて、少なくとも2つのセキュリティー・キーを追加することを明示的に推奨する。
      • イラスト:セキュリティー・キーが1つしか登録されていない状態や、セキュリティー・キーが2つ登録されている状態をイラストで強調する。
    • 「2つ目のキーを追加する」オプション:ほとんどの参加者は、すぐに別のセキュリティキーを追加する準備ができていない可能性が高いため、「完了」をデフォルトのアクションとして、同じように表示され、アクセス可能な2つのアクションボタン(「完了」対「2つ目のキーを追加」)を提供します。

登録:第二因子としてFIDOセキュリティキーで認証し、追加のキーを追加する

サンプルUI

“セキュリティ・キーの追加 “登録ページには、以下を含める:

  1. 登録プロセスを終了する能力
  2. セキュリティ・キーのアイコンまたは画像
  3. 二要素認証方法としてのセキュリティ・キーについて説明するメッセージング
  4. セキュリティ・キー・ニックネームの追加要件
  5. セキュリティー・キーがユーザーにしか見えないように指定する(つまり、セキュリティーが必要なパスワードと同等ではない)。
  6. ニックネームが後の時点でどのセキュリティキーを登録したかをユーザーに思い出させる目的であることを指定するメッセージング

画像の説明

図6 – セキュリティ・キーの追加ページ

「成功裏に追加されました」画面には、以下の内容が含まれているはずです:

  1. 登録に成功したことを視覚的に示すセキュリティ・キー・アイコン(チェックマークなど)
  2. ユーザー定義のセキュリティキーのニックネーム
  3. サインインのために、セキュリティ・キーに簡単にアクセスできるようにしておくようにとの注意喚起
  4. 登録される鍵は1つであること、また、1つの鍵を紛失したり盗まれたりした場合に備えて、複数のセキュリティ・キーを追加することを推奨する。
  5. セキュリティーキーの1つは簡単にアクセスできるようにし、もう1つは安全な場所に保管するよう指示すること
  6. 別のセキュリティー・キーを追加しますか」という質問に対するバイナリ応答であるべきプライマリー・アクション・ボタン。 オプション(はい、もう1つ追加)を含め、同じように目立つアクションボタンを2つ入れる。
  7. ほとんどのユーザーは、登録するための別のセキュリティ・キーを手元に置いている可能性は低いため、デフォルトとして「完了」アクション・ボタンが用意されている。
  8. 登録に失敗したことを示すアイコンとテキスト
  9. セキュリティ・キーの再登録またはキャンセルを行う明示的なアクション・ボタン

98画像の説明

図8 – MacユーザーのFIDO登録後のサインイン

マネジメント

目的:どのセキュリティ・キーが登録されたのか、セキュリティ・キーが登録されたのはいつなのか、セキュリティ・キーが最後に使用されたのはいつなのかを確認するために、ユーザーを支援する。 登録されているセキュリティ・キーの名前を変更したり削除したり、セキュリティ・キーを追加したりするための、明確で発見可能なオプションを提供する。

推薦の言葉

  • 登録後、セキュリティとプライバシー設定に戻ります(ユーザーが新しいセキュリティキーを追加する場合を除く)。 ドリルダウンすることなく、関連するセキュリティキーデータをページに表示する。
    • 以下のセキュリティ・キー情報を含める:
      • 主なニックネーム
      • 追加日
      • 最終使用日
      • セキュリティキーの製造者情報(認証がオンになっており、ユーザーが共有を選択した場合)
  • セキュリティとプライバシー設定の “セキュリティキー “セクションに “キーを追加 “ボタンを表示する。
  • 新しいニックネームでセキュリティ・キーの名前を変更できる可視オプションをユーザーに提供する。
  • アカウントからセキュリティ・キーを削除するための目に見えるオプションをユーザーに提供する。
    • を削除するかどうかを確認する。
    • セキュリティキーの上に赤いマイナスマークなど、「削除」を視覚的に示すアイコンを表示する。

サンプルUI

登録後すぐに、ユーザーが2つ目のセキュリティキーの追加を選択しない限り、ユーザーをセキュリティとプライバシー設定に戻します。

Security and Settings(セキュリティと設定)」ページで、セキュリティ・キーのデータを表示し、登録が正常に行われ、セキュリティ・キーが不正に使用されていないことを確認できるようにします。 セキュリティキーのニックネームを更新したり、セキュリティキーの登録を解除したりする権限をユーザーに与える:

  1. 主なニックネーム
  2. 追加日および最終使用日
  3. 認証セキュリティ・キーの製造者情報(オプション)
  4. 主な行動喚起として「キーを追加」オプションを永続させる
  5. 「名前の変更」と「削除」オプション

画像の説明

図9 – セキュリティとプライバシーの設定ページ(セキュリティキーの登録後)

認証

画像の説明

目的:FIDOセキュリティ・キーが登録されているユーザが、ユーザ名とパスワードを入力した後に、第二要素としてセキュリティ・キーでサインインできるようにする。

推薦の言葉

  • セキュリティキーの登録後、第一要素(すなわち、ユーザー名とパスワード)のサインイン経験は変更しないでください。
    • ユーザー調査によると、セキュリティキーがアカウントに追加されたことを伝えるためにホームページを更新することは、プライバシーとセキュリティの侵害と見なされた。
  • FIDO以外のセカンダリ・セキュリティ・キーのサインイン・パス を保持する。
    • ユーザーがアカウントに登録したマルチユーザーアクセスやその他の二次認証方法を保持するために、「ユーザーを切り替える」「別の方法でサインインする」リンクを提供する。
  • ユーザー名とパスワードが入力された後、準備ができたらセキュリティーキーを接続するようユーザーに促す。
    • セキュリティ・キー接続のためのブラウザ・ダイアログを自動的に起動するのではなく、ユーザーがセキュリティ・キーの接続を開始するためのオプション(「セキュリティ・キーを使用する」ボタンなど)を提供する。
    • ユーザーがセキュリティ・キーの接続を開始することで、追加のクリックが発生しますが、ユーザーがセキュリティ・キーを手元に持ち合わせていない場合に、ブラウザのダイアログがタイムアウトしないようにすることができます。
      • 私たちの調査によると、OSやブラウザのダイアログに直接アクセスすることは、セキュリティ・キーが手の届くところにないユーザーに不安を与えることが示唆された。 また、セキュリティーキーを取得する際にブラウザーのダイアログがタイムアウトし、登録プロセスを再開する必要があったため、ユーザーは不満を感じていた。
  • サインアウト
    • ユーザーがFIDOセキュリティキーを登録したら、ユーザー名とパスワードだけで、以前と同じUIを使ってウェブサイトからサインアウトできるようにしてください。

サンプルUI

  1. セキュリティキーの登録後、ユーザー名とパスワードを入力するためのサインイン UI は、登録前と同じでなければならない。
  2. サインイン時に、ユーザーがユーザー名とパスワードを入力した後、「Connect your security key」ページをセキュリティキーのアイコンとともに表示する。
  3. セキュリティ・キーを使用する」ボタンで、ユーザーがキーの接続を開始できるようにします。
  4. キャンセルオプションを含める。
  5. 鍵が利用できない場合、ユーザーがバックアップ方法を利用できるように、”Sign in another way “オプションを含める。
  6. セキュリティキーの登録後、サインアウトUIは登録前と同じでなければならない。

画像の説明

図10 – セキュリティ・キー登録後のサインインUI

画像の説明

図11 -サインイン時の2つ目の認証要素として、セキュリティキーの接続を促すプロンプトが表示される

画像の説明

図12 セキュリティ・キー登録後のサインアウトUI

FIDOセキュリティキーでカスタマーサクセスを最適化する

目的:ユーザーの成功と採用を促進するための有用な戦略について知っておく。

  • 馴染みのある認証言語とシンボルでリードする
    • セキュリティ・キーという馴染みのない概念を明示的に宣伝するのではなく、(生体認証がサポートされている場合は)馴染みのある指紋アイコンや、PINのロックとアスタリスクのような認証を表す他の画像を使用して、パスワードのみのサインインに代わる選択肢の利用可能性を宣伝する。
  • セキュリティとプライバシーの設定ページを、一般的なアカウントセキュリティと特にセキュリティキーについて管理し学習するためのオンサイトハブとして宣伝する。
    • サインインオプションとしてセキュリティキーの発見を容易にするために、セキュリティとプライバシーの設定ページにアクセスするようユーザーに促す。 利用者がセキュリティ・キーの性質と利点について学び、セキュリティ・キーの購入や登録のために、セキュリティ・キーを特定する行動を起こせるような状況を作る。
  • セキュリティ・キーがどのように機能するかについてユーザーを教育し、信頼と信用を浸透させる。
    • 認証のためにセキュリティ・キーを提供するサイトは増えているが、我々の調査によると、ユーザー教育の不足が採用の障壁となっている。
    • 私たちの調査によると、セキュリティ・キーがUSBドライブに似ていることから、セキュリティ・キーにマルウェアやウイルスが含まれていて、ユーザーがセキュリティ・キーをマシンに挿入すると自動的に感染するのではないかと心配するユーザーもいる。 セキュリティ・キーがどのように機能し、USBドライブと区別されるのかを「さらに詳しく」の文章で分かりやすく説明することで、ユーザーを安心させ、採用への障壁を取り除くことができる。
    • 顧客サポートの準備:
      • FIDOセキュリティ・キーによる登録と認証の方法
      • どのセキュリティ・キーがFIDO認証を受けており、お客様のサイトと互換性があるか
      • なぜFIDOセキュリティ・キーは安全でセキュアで便利なウェブサイト認証の代替手段なのか?
  • セキュリティ・キーの紛失や盗難の際にアカウントへのアクセスが遮断されないよう、複数のセキュリティ・キーを登録することを強く推奨する。
  • あなたのブランドとFIDOアライアンスのパートナーシップをアピールしてください。
    • 比較的知られていないFIDOのブランド要素に対する顧客の信頼は、まずFIDOがあなたの信頼できるブランドと結びついていることから生まれる。
    • さらに、セキュリティ意識の高い消費者は、FIDO基準を知っている可能性が高く、セキュリティ・キーを使用する可能性が高くなる。

FIDOセキュリティキーUXガイドライン用語集

永続的なメッセージング:

UI内で一貫した位置に表示されるメッセージテキスト。 永続的なメッセージングは、ユーザーが特定の訪問時にメッセージを見落とした場合でも、メッセージが元の場所に残っており、必要であれば、後で理解したり、行動したりできるようにするのに役立ちます。

一時的なメッセージング:

画面に一定時間表示されて消える短いメッセージで、ユーザーの注意を引くために利用できる。 例えば、「トースト」通知の斬新さと動きは、持続的なメッセージングよりも効果的にユーザーの注意を引くことができる。 このタイプの通知は、ユーザーデータを不明瞭にすべきではなく、ユーザーによって解除可能であるべきであり、ユーザーがタスクフローを継続することを妨げるようなエラーのために使用されるべきではない。

プログレッシブな情報開示

インタラクションデザインの手法のひとつで、複数の画面にまたがって情報やオプションを並べることで、ユーザーの圧倒感を軽減する。 漸進的な情報開示は、一度にすべての関連情報、アクション、タスクをユーザーに浴びせることなく、重要な情報を手の届く範囲に保つ。

セキュリティキー:

UI全体を通して、(USBキーや鍵ではなく)「セキュリティ・キー」という用語を使用することをお勧めします。

プロシューマー:

本書において、「プロシューマー」とは、セキュリティとプライバシーに配慮し、個人生活においてセキュリティとプライバシーの技術やサービスをいち早く採用する消費者を指す。