בעולם שבו האבטחה הדיגיטלית הופכת לקריטית יותר ויותר, הסיסמאות הפכו לחוליה חלשה ידועה לשמצה – הן מסורבלות, לרוב לא מאובטחות וגורמות לתסכול בקרב משתמשים ומפתחים. אבל יש חדשות טובות: מפתחות גישה הופכים פופולריים יותר ויותר כמנגנון האימות הכי ידידותי למשתמש, הכי מאובטח והכי עמיד בפני פישינג שזמין כיום. מפתחי Android יכולים להשתמש ב-Credential Manager API כדי לעזור למשתמשים להשתמש במפתחות גישה, וגם כדי להמשיך לתמוך במנגנוני כניסה מסורתיים כמו סיסמאות.

בבלוג הזה נציג כמה שיטות מומלצות שיעזרו לכם לעודד את המשתמשים לעבור לשימוש במפתחות גישה.

הסבר על אימות באמצעות מפתחות גישה

לפני שנעבור להמלצות לעידוד המעבר למפתחות גישה, הנה סקירה כללית של יסודות האימות באמצעות מפתחות גישה:

• מפתחות גישה: אלה פרטי כניסה קריפטוגרפיים שמחליפים את הסיסמאות. מפתחות גישה משויכים למנגנונים של ביטול נעילת המכשיר, והם שיטת האימות המומלצת לאפליקציות ולאתרים.
• ‫Credential Manager: ממשק API של Jetpack שמספק ממשק API אחיד לאינטראקציה עם סוגים שונים של אימות, כולל מפתחות גישה, סיסמאות ומנגנוני כניסה מאוחדים כמו 'כניסה באמצעות חשבון Google'.

איך מפתחות גישה עוזרים למשתמשים?

יש כמה יתרונות מוחשיים למשתמשים באפליקציות שמאפשרות להם להשתמש במפתחות גישה כדי להיכנס לחשבון. היתרונות העיקריים של שימוש במפתח גישה למשתמשים הם:

• חוויית כניסה משופרת: המשתמשים מקבלים את אותו ממשק משתמש בין אם הם משתמשים בסיסמאות, במפתחות גישה או במנגנוני כניסה מאוחדים כמו כניסה באמצעות חשבון Google.
• קיצור זמן הכניסה לחשבון: במקום להקליד סיסמאות, המשתמשים משתמשים במנגנוני ביטול הנעילה של הטלפון, כמו נתונים ביומטריים, וכך נהנים מחוויית כניסה חלקה לחשבון.
• אבטחה משופרת: מפתחות גישה מבוססים על קריפטוגרפיה של מפתח ציבורי, כך שפרצות באבטחת המידע של ספקי שירותים לא יובילו לפגיעה בחשבונות שמוגנים באמצעות מפתחות גישה. הם מבוססים על פרוטוקולים וממשקי API בתקנים של התעשייה, כדי להבטיח שהם לא יהיו חשופים להתקפות פישינג. (כאן אפשר לקרוא מידע נוסף על סנכרון ואבטחה).
• חוויה אחידה במכשירים שונים: היכולת לסנכרן מפתחות גישה בין מכשירים מאפשרת למשתמשים ליהנות מאימות פשוט יותר, לא משנה באיזה מכשיר הם משתמשים.
• אין יותר בעיות שנובעות מסיסמאות שנשכחו!

כדי להדגיש את השיפור בחוויית השימוש במפתחות גישה, קיבלנו משוב מכמה אפליקציות מובילות. X הבחינו בכך ששיעורי הכניסה השתפרו פי 2 אחרי שהוסיפו מפתחות גישה לתהליכי האימות שלהם. מנוע החיפוש לתיירות KAYAK דיווח על ירידה של 50% בזמן הממוצע שנדרש למשתמשים להירשם ולהיכנס לחשבון שלהם אחרי שהחברה שילבה מפתחות גישה בתהליכי האימות שלה. ‫Zoho, חבילת תוכנה מקיפה מבוססת-ענן שמתמקדת באבטחה ובחוויית משתמש חלקה, השיגה מהירות כניסה גבוהה פי 6 על ידי הטמעת מפתחות גישה באפליקציית OneAuth ל-Android.

מה יוצא לכם מזה?

כשמעבירים את האפליקציה לשימוש במפתחות גישה, משתמשים ב-Credential Manager API, שהוא התקן המומלץ לאימות וזיהוי ב-Android.

בנוסף למפתחות גישה, Credential Manager API תומך במנגנוני כניסה מסורתיים, וכך מפשט את הפיתוח והתחזוקה של תהליכי האימות שלכם.

בכל מנגנוני הכניסה האלה, Credential Manager מציע ממשק משתמש משולב של גיליון תחתון, וכך חוסך לכם מאמצי פיתוח ומציע למשתמשים חוויה עקבית.

מתי כדאי לבקש מהמשתמשים להשתמש במפתחות גישה?

אחרי שהסברנו מהם היתרונות של מפתחות גישה, נדבר על הדרכים שבהן כדאי לעודד את המשתמשים לעבור למפתחות גישה.

אלה תהליכי UX שבהם אפשר לקדם מפתחות גישה:

• הרשמה לחשבון משתמש: הצגת הנחיות ליצירת מפתח גישה ברגעים חשובים, כמו כשמשתמשים יוצרים חשבונות:

הנחיות בהקשר במהלך יצירת חשבון

• כניסה לחשבון: מומלץ לעודד את המשתמשים להשתמש במפתחות גישה מיד אחרי שהם נכנסים לחשבון באמצעות קוד אימות חד-פעמי, סיסמה או מנגנוני כניסה אחרים.

הצגת בקשה ליצירת מפתח גישה במהלך הכניסה

• שחזור חשבון: התהליך הקריטי שעובר המשתמש (CUJ) בשחזור חשבון הוא תהליך שבעבר גרם למשתמשים קשיים. מומלץ להציג למשתמשים הנחיות להגדרת מפתחות גישה במהלך שחזור החשבון. המשתמשים שמשתמשים במפתחות גישה נהנים מחוויית שחזור חשבון מוכרת, כמו בזמן הכניסה.

תהליך שחזור החשבון

• איפוס סיסמאות: זה הזמן המושלם להציע למשתמשים ליצור מפתח גישה. אחרי תהליך מתסכל של איפוס סיסמה, המשתמשים בדרך כלל פתוחים יותר לרעיון של שימוש במפתחות גישה, כי הם מציעים נוחות ואבטחה.

יצירת מפתח גישה כדי להיכנס לחשבון מהר יותר בפעם הבאה

איך כדאי לעודד את המעבר למפתחות גישה?

כדי לעודד את המשתמשים לעבור מסיסמאות למפתחות גישה, צריך לגבש אסטרטגיה ברורה. הנה כמה שיטות מומלצות:

• הצעת ערך ברורה: כדאי להשתמש בהנחיות פשוטות וממוקדות במשתמש כדי להסביר את היתרונות של מפתחות הגישה. השתמשו במסרים שמדגישים את היתרונות למשתמשים. כדאי להדגיש את היתרונות הבאים:
  • יתרונות משופרים בתחום האבטחה, כמו הגנה מפני פישינג.
  • אין צורך להקליד סיסמה.
  • אפשר להשתמש באותו מפתח גישה במכשירים או בפלטפורמות שונות.
  • חוויית אימות עקבית.

הנחיה ליצירת מפתח גישה עם הצעת ערך ברורה

• מספקים חוויית משתמש חלקה:
  • אפשר להשתמש בממשק המשתמש המאוחד שמוצע על ידי Credential Manager כדי להציג את כל אפשרויות הכניסה הזמינות, וכך לאפשר למשתמש לבחור את השיטה המועדפת עליו בלי שהוא יצטרך לזכור באיזו שיטה הוא השתמש בפעם האחרונה.
  • כדי ליצור חוויה עקבית ולעזור למשתמשים להכיר את מפתחות הגישה, מומלץ להשתמש בסמל הרשמי של מפתח הגישה.
  • חשוב לוודא שהמשתמשים יכולים לחזור לשיטות הכניסה המסורתיות שלהם או לשיטת שחזור, כמו שם משתמש וסיסמה, אם מפתח הגישה לא זמין או אם הם משתמשים במכשיר אחר.
• מספקים למשתמשים הסבר ברור על פרטי הכניסה בממשק המשתמש של ההגדרות באפליקציה: חשוב לוודא שהמשתמשים מבינים את אפשרויות האימות שלהם. לשם כך, כדאי להציג מידע מועיל על כל מפתח גישה בהגדרות האפליקציה. מידע נוסף על הוספת מטא-נתונים של פרטי כניסה זמין במאמרי העזרה של Credential Manager.

מטא-נתונים של מפתח גישה במסך ההגדרות של האפליקציה

• הסבר למשתמשים: כדאי להוסיף להודעה משאבים חינוכיים בתוך האפליקציה או קישורים שמסבירים בפירוט על מפתחות גישה.
• השקה הדרגתית: כדאי לשקול השקה הדרגתית של מפתחות הגישה לקבוצת משנה של בסיס המשתמשים, כדי לקבל משוב ולשפר את חוויית המשתמש לפני השקה רחבה יותר.

מקרים לדוגמה של מפתחים

במקרים אמיתיים, מפתחים מספרים לעיתים קרובות איך בחירות עיצוביות קטנות – כמו מתי ואיפה להציג הנחיה לשימוש במפתח גישה – יכולות להשפיע באופן משמעותי על האימוץ ועל האמון של המשתמשים. כדי לראות את זה בפועל, נבדוק איך אפליקציות מובילות הציגו באופן אסטרטגי הנחיות לשימוש במפתח גישה ברגעים חשובים באפליקציות שלהן כדי לעודד שימוש במפתח הגישה :

Uber

כדי להאיץ את האימוץ של מפתחות גישה, Uber מקדמת באופן יזום מפתחות גישה בתהליכי משתמש שונים, לצד אסטרטגיות שיווק.

חברת Uber שיתפה: "יותר מ-90% מההרשמות לשימוש במפתחות גישה נובעות מקידום היצירה של מפתחות גישה ברגעים מרכזיים בתוך האפליקציה, בהשוואה לתהליכי ההצטרפות והאימות של לקוחות". הנתון הזה מדגיש את היעילות של האסטרטגיה הפרואקטיבית של החברה.

תובנות ואסטרטגיות מרכזיות מההטמעה:

• הטמעת מפתחות גישה בלי לפגוע בחוויית המשתמש המרכזית: חברת Uber הוסיפה לחשבון שלהם תהליך חדש לבדיקת החשבון, כדי להדגיש את היתרונות של מפתחות הגישה. כתוצאה מכך, שיעורי האימוץ של מפתחות הגישה היו גבוהים.

תהליך בדיקת חשבון משתמש

• הצגת מפתחות גישה למשתמשים באופן יזום: החברה למדה שלא כדאי לחכות שהמשתמשים יגלו את מפתחות הגישה באופן אורגני, כי הסתמכות על אימוץ אורגני הייתה מאטה את התהליך, למרות היתרונות שנצפו כמו כניסה מהירה יותר ושיעורי הצלחה גבוהים יותר בכניסה למשתמשים עם מפתחות גישה.
• שימוש באמצעים נוספים לקידום מפתחות גישה: חברת Uber גם עורכת ניסויים לקידום מפתחות גישה באמצעות קמפיינים באימייל או באנרים במסך החשבון של המשתמש, כדי להדגיש את שיטת הכניסה החדשה ולהפוך את הכניסה הבאה לקלה ומאובטחת יותר.
• כיבוד הבחירה של המשתמשים: מתוך הבנה שלא כל המשתמשים מוכנים למפתחות גישה, Uber הטמיעה לוגיקה של נסיגה בתהליכים קריטיים כמו כניסה למערכת ומסכי הרשמה, ובחלק מההקשרים היא מציעה מפתחות גישה לצד שיטות אימות מוכרות אחרות.

הנה מה שאובר אומרת:

"ב-Uber, ראינו שמשתמשים שאימצו מפתחות גישה נהנים מחוויית כניסה מהירה, חלקה ומאובטחת יותר. כדי לעזור ליותר משתמשים ליהנות ממפתחות גישה, הוספנו תזכורות ליצירת מפתח גישה ברגעים חשובים בחוויית המשתמש: הגדרות החשבון, הרשמה וכניסה. הפנייה היזומה הזו האיצה משמעותית את המעבר שלנו לשימוש במפתחות גישה".

ראיין או'לאפלין (Ryan O’Laughlin), מהנדס תוכנה בכיר, Uber

Economic Times

ב-Economic Times, חלק ממערכת Times Internet, השתמשו בחוויית משתמש חלקה כגורם העיקרי לעידוד המשתמשים לעבור לשימוש במפתחות גישה.

אחרי הטמעת תזכורות ממוקדות, ב-Economic Times נרשמו שיפורים של כ-10% בשיעור ההשלמה של יצירת מפתחות גישה במהלך תקופת ההשקה הראשונית.

תובנות ואסטרטגיות מרכזיות מההטמעה:

• הודעות אסטרטגיות ליצירת מפתחות גישה: בתחילה, Economic Times הציג באופן אגרסיבי הנחיות ליצירת מפתחות גישה במספר תהליכי משתמש, אבל נצפה שהגישה הזו שיבשה תהליכים קריטיים לעסק, כמו רכישות מינויים או פתיחת תכונות פרימיום, והובילה לעגלות קניות נטושות.
• גישה משופרת: ב-Economic Times קיבלו החלטה מכוונת להסיר הנחיות ליצירת מפתחות גישה מתהליכים רגישים (כמו תהליך התשלום על מינוי) כדי לתת עדיפות להשלמת פעולות מיידית.
• הנחיות ממוקדות: הם שמרו באופן אסטרטגי על יצירת מפתחות גישה באזורים שבהם כוונת המשתמש להיכנס לחשבון או לנהל את האימות גבוהה, כמו תהליכי הרשמה ראשוניים, דפי כניסה מפורשים או קטעים של ניהול חשבון.
• תוצאה חיובית: הפריסה המשופרת הזו הובילה לשיפור במספרים של יצירת מפתחות הגישה, מה שמצביע על אימוץ נרחב של המשתמשים, בלי לפגוע בחוויית המשתמש בתהליכים עסקיים קריטיים.

מסך ניהול מפתחות הגישה

סיכום

שילוב מפתחות גישה עם Credential Manager של Android הוא לא רק אימוץ של טכנולוגיה חדשה, אלא גם בנייה של חוויה מאובטחת, נוחה ונעימה יותר למשתמשים. התמקדות בהטמעה חכמה של מפתחות גישה לא רק מאבטחת את החשבונות, אלא גם בונה אמון ומכינה את אסטרטגיית האימות של האפליקציה שלכם לעתיד.

כדי לספק למשתמשים חוויה אופטימלית, חלקה ונוחה, מומלץ לפעול לפי ההנחיות לחוויית משתמש כשמטמיעים אימות באמצעות מפתחות גישה עם Credential Manager. כדאי לעיין במסמכים עוד היום.

• דוגמה עם שיטות מומלצות לחוויית משתמש
• כניסה של משתמש באמצעות Credential Manager
• API Reference – androidx.credentials
• אימות משתמשים באמצעות מפתחות גישה
• מרכז הבטיחות של Google – מפתח גישה
• מאמר בבלוג האבטחה של Google‏: Security of Passkeys in the Google Password Manager (אבטחת מפתחות גישה במנהל הסיסמאות של Google)