Em um mundo em que a segurança digital se torna cada vez mais importante, as senhas se tornaram um elo fraco notório: são complicadas, geralmente inseguras e uma fonte de frustração para usuários e desenvolvedores. Mas há uma boa notícia: as chaves de acesso estão ganhando popularidade como o mecanismo de autenticação mais fácil de usar, resistente a phishing e seguro disponível. Para desenvolvedores Android, a API Credential Manager ajuda a orientar os usuários a usar chaves de acesso, garantindo suporte contínuo para mecanismos de login tradicionais, como senhas.

Neste blog, discutimos algumas das práticas recomendadas que você deve seguir ao incentivar os usuários a fazer a transição para as chaves de acesso.

Entenda a autenticação com chaves de acesso

Antes de conferir as recomendações para incentivar a transição para chaves de acesso, confira uma visão geral dos fundamentos da autenticação com chaves de acesso:

• Chaves de acesso:são credenciais criptográficas que substituem as senhas. As chaves de acesso estão associadas a mecanismos de desbloqueio de dispositivos e são o método de autenticação recomendado para apps e sites.
• Credential Manager:uma API do Jetpack que oferece uma interface de API unificada para interagir com diferentes tipos de autenticação, incluindo chaves de acesso, senhas e mecanismos de login federados, como o recurso Fazer login com o Google.

Como as chaves de acesso ajudam seus usuários?

Os usuários têm vários benefícios tangíveis em apps que permitem o uso de chaves de acesso para fazer login. Confira os principais benefícios de usar chaves de acesso para os usuários:

• Experiência de login aprimorada:os usuários têm a mesma interface, seja usando senhas, chaves de acesso ou mecanismos de login federados, como o recurso "Fazer login com o Google".
• Tempo de login reduzido:em vez de digitar senhas, os usuários usam os mecanismos de desbloqueio do smartphone, como a biometria, o que resulta em uma experiência de login tranquila.
• Segurança aprimorada:as chaves de acesso usam criptografia de chave pública para que violações de dados de provedores de serviços não comprometam contas protegidas por chaves de acesso. Elas se baseiam em APIs e protocolos padrão do setor para garantir que não estejam sujeitas a ataques de phishing. Saiba mais sobre sincronização e segurança neste link.
• Experiência unificada em todos os dispositivos:com a capacidade de sincronizar chaves de acesso em vários dispositivos, os usuários se beneficiam da autenticação simplificada, não importa qual dispositivo estejam usando.
• Sem problemas por senhas esquecidas!

Para destacar a experiência aprimorada com chaves de acesso, ouvimos vários apps importantes. O X observou que as taxas de login melhoraram duas vezes depois de adicionar chaves de acesso aos fluxos de autenticação. O KAYAK, um mecanismo de pesquisa de viagens, observou que o tempo médio que os usuários levam para se inscrever e fazer login diminuiu em 50% depois que incorporaram chaves de acesso aos fluxos de autenticação. A Zoho, um pacote de software abrangente baseado na nuvem e focado em segurança e experiências integradas, conseguiu logins seis vezes mais rápidos ao adotar chaves de acesso no app Android OneAuth.

Quais são as vantagens para você?

Ao migrar seu app para usar chaves de acesso, você vai aproveitar a API Credential Manager, que é o padrão recomendado para identidade e autenticação no Android.

Além das chaves de acesso, a API Credential Manager oferece suporte a mecanismos de login tradicionais, simplificando o desenvolvimento e a manutenção dos seus fluxos de autenticação.

Para todos esses mecanismos de login, o Credential Manager oferece uma interface integrada de página inferior, economizando esforços de desenvolvimento e oferecendo aos usuários uma experiência consistente.

Quando você deve pedir aos usuários para usar chaves de acesso?

Agora que já falamos sobre os benefícios das chaves de acesso, vamos discutir como incentivar seus usuários a migrar para elas.

Confira a seguir uma lista de fluxos de UX em que é possível promover chaves de acesso:

• Registro de conta de usuário:apresente solicitações de criação de chaves de acesso em momentos importantes, como quando os usuários criam contas:

Comandos contextuais durante a criação da conta

• Fazer login:recomendamos que você incentive os usuários a solicitar chaves de acesso no momento em que um usuário faz login com uma senha única, uma senha ou outros mecanismos de login.

Solicitar a criação de chaves de acesso durante o login

• Recuperação de conta:a jornada crítica do usuário (CUJ, na sigla em inglês) para recuperação de conta é uma que historicamente apresenta atrito para os usuários. Pedir que os usuários adotem chaves de acesso durante a recuperação de conta é um caminho recomendado. Os usuários que adotam chaves de acesso têm uma experiência de recuperação de conta semelhante à do login.

Fluxo de recuperação de conta

• Redefinições de senha:esse é o momento perfeito para pedir que os usuários criem uma chave de acesso. Depois da frustração de uma redefinição de senha, os usuários geralmente estão mais abertos à conveniência e à segurança que as chaves de acesso oferecem.

Criar uma chave de acesso para fazer login mais rápido na próxima vez

Como incentivar a transição para chaves de acesso?

Para incentivar os usuários a fazer a transição de senhas para chaves de acesso, é preciso ter uma estratégia clara. Confira algumas práticas recomendadas:

• Proposta de valor clara:use comandos simples e focados no usuário para explicar os benefícios das chaves de acesso. Use mensagens que destaquem os benefícios para os usuários. Destaque os seguintes benefícios:
  • Benefícios de segurança aprimorados, como proteção contra phishing.
  • Não é necessário digitar uma senha.
  • Possibilidade de usar a mesma chave de acesso em vários dispositivos/plataformas.
  • Uma experiência de autenticação consistente.

Solicitação de chave de acesso com uma proposta de valor clara

• Ofereça uma experiência do usuário perfeita:
  • Use a interface unificada fornecida pelo Credential Manager para mostrar todas as opções de login disponíveis. Assim, o usuário pode escolher o método preferido sem precisar lembrar qual usou da última vez.
  • Use o ícone oficial da chave de acesso para criar familiaridade do usuário e uma experiência consistente.
  • Verifique se os usuários podem usar os métodos de login tradicionais ou um método de recuperação, como nome de usuário e senha, se uma chave de acesso não estiver disponível ou se eles estiverem usando um dispositivo diferente.
• Ofereça aos usuários clareza sobre as credenciais na interface de configurações do app:mostre informações úteis sobre cada chave de acesso nas configurações do app para que os usuários entendam as opções de autenticação. Para saber mais sobre como adicionar metadados de credenciais, consulte a documentação do Credential Manager.

Metadados da chave de acesso na tela de configurações do app

• Eduque os usuários:complemente a mensagem para adotar chaves de acesso com recursos educacionais no app ou links que explicam chaves de acesso em detalhes.
• Lançamento progressivo:considere um lançamento gradual para apresentar as chaves de acesso a um subconjunto da sua base de usuários, coletar feedback e refinar a experiência do usuário antes de um lançamento mais amplo.

Estudos de caso de desenvolvedores

As experiências de desenvolvedores no mundo real geralmente destacam como pequenas escolhas de design, como quando e onde mostrar uma solicitação de chave de acesso, podem influenciar significativamente a adoção e a confiança do usuário. Para ver isso em ação, vamos analisar como os principais apps exibiram estrategicamente solicitações de chaves de acesso em momentos importantes para impulsionar uma adoção mais forte :

Uber

Para acelerar a adoção das chaves de acesso, o Uber está promovendo proativamente as chaves de acesso em várias jornadas do usuário, além de estratégias de marketing.

A Uber compartilhou: "Mais de 90% dos registros de chaves de acesso vêm da promoção da criação de chaves de acesso em momentos importantes dentro do app, em comparação com os CUJs de integração e autenticação", destacando a eficácia da estratégia proativa.

Principais aprendizados e estratégias da implementação:

• Ofereça chaves de acesso sem prejudicar a experiência principal do usuário:o Uber adicionou uma nova experiência de verificação da conta nas configurações dela para destacar os benefícios das chaves de acesso, resultando em altas taxas de adoção.

Fluxo de verificação da conta de usuário

• Ofereça chaves de acesso aos usuários de forma proativa:eles aprenderam a não esperar que os usuários descobrissem as chaves de acesso de forma orgânica, porque confiar na adoção orgânica seria mais lento, apesar dos benefícios observados, como logins mais rápidos e aumento nas taxas de sucesso de login para usuários de chaves de acesso.
• Use outras mídias para promover as chaves de acesso:o Uber também está testando a promoção das chaves de acesso por campanhas de e-mail ou banners na tela da conta de um usuário para destacar o novo método de login, facilitando e tornando mais seguro o próximo login.
• Respeite a escolha do usuário:reconhecendo que nem todos os usuários estão prontos para chaves de acesso, o Uber implementou uma lógica de espera em fluxos críticos, como telas de login e inscrição, e, em alguns contextos, oferece chaves de acesso junto com outros métodos de autenticação conhecidos.

Confira o que o Uber tem a dizer:

"No Uber, percebemos que os usuários que adotam chaves de acesso têm uma experiência de login mais rápida, integrada e segura. Para ajudar mais usuários a aproveitar as chaves de acesso, adicionamos lembretes para criar uma chave de acesso em momentos importantes da experiência do usuário: configurações da conta, inscrição e login. Essas abordagens proativas aceleraram significativamente a adoção de chaves de acesso."

Ryan O’Laughlin, engenheiro de software sênior, Uber

Economic Times

O Economic Times, parte do ecossistema da Times Internet, usou uma experiência do usuário integrada como a principal motivação para que os usuários fizessem a transição para as chaves de acesso.

Depois de implementar os lembretes direcionados, o Economic Times observou melhorias de ~10% na taxa de conclusão da criação de chaves de acesso durante o período inicial de lançamento.

Principais aprendizados e estratégias da implementação:

• Solicitações estratégicas de geração de chaves de acesso:inicialmente, o Economic Times solicitava agressivamente a criação de chaves de acesso em vários fluxos do usuário. No entanto, observou-se que essa abordagem interrompia jornadas críticas para os negócios, como compras de assinaturas ou desbloqueio de recursos premium, e levava ao abandono de carrinhos.
• Abordagem refinada:o Economic Times decidiu remover os comandos de geração de chaves de acesso de fluxos sensíveis (como o processo de finalização da compra de assinaturas) para priorizar a conclusão imediata da ação.
• Solicitações segmentadas:elas mantiveram estrategicamente a geração de chaves de acesso em áreas onde a intenção do usuário de fazer login ou gerenciar a autenticação é alta, como fluxos de inscrição inicial, páginas de login explícitas ou seções de gerenciamento de contas.
• Resultado positivo:essa implantação refinada resultou em números melhores de geração de chaves de acesso, indicando uma forte adoção pelos usuários, sem comprometer a experiência do usuário em fluxos de negócios críticos.

Tela de gerenciamento de chaves de acesso

Conclusão

Integrar chaves de acesso ao Gerenciador de credenciais do Android não é apenas adotar uma nova tecnologia, mas criar uma experiência fundamentalmente mais segura, conveniente e agradável para os usuários. Ao focar na introdução inteligente de chaves de acesso, você não está apenas protegendo contas, mas também criando confiança e preparando a estratégia de autenticação do seu aplicativo para o futuro.

Para oferecer aos usuários a melhor experiência possível, otimizada e sem problemas, siga as diretrizes de UX ao implementar a autenticação com chaves de acesso usando o Credential Manager. Confira a documentação hoje mesmo.

• Amostragem com práticas recomendadas de UX
• Fazer o login do usuário com o Gerenciador de credenciais
• Referência da API – androidx.credentials
• Autenticação de usuários com chaves de acesso
• Central de Segurança do Google: chaves de acesso
• Blog de segurança do Google: segurança das chaves de acesso no Gerenciador de senhas do Google