Trong một thế giới mà bảo mật kỹ thuật số ngày càng trở nên quan trọng, mật khẩu đã trở thành một điểm yếu khét tiếng – mật khẩu rườm rà, thường không an toàn và là nguồn gây khó chịu cho người dùng và nhà phát triển. Tuy nhiên, có một tin vui: khoá truy cập đang ngày càng trở nên phổ biến vì đây là cơ chế xác thực thân thiện với người dùng, chống tấn công giả mạo và an toàn nhất hiện có. Đối với nhà phát triển Android, Credential Manager API giúp bạn hướng dẫn người dùng sử dụng khoá truy cập trong khi vẫn đảm bảo tiếp tục hỗ trợ các cơ chế đăng nhập truyền thống, chẳng hạn như mật khẩu.

Trong blog này, chúng ta sẽ thảo luận về một số phương pháp hay nhất mà bạn nên làm theo khi khuyến khích người dùng chuyển sang khoá truy cập.

Tìm hiểu về quy trình xác thực bằng khoá truy cập

Trước khi tìm hiểu các đề xuất để khuyến khích quá trình chuyển đổi sang khoá truy cập, sau đây là thông tin tổng quan về những điều cơ bản của việc xác thực bằng khoá truy cập:

• Khoá truy cập: Đây là thông tin xác thực mã hoá thay thế cho mật khẩu. Khoá truy cập được liên kết với cơ chế mở khoá thiết bị và là phương thức xác thực được đề xuất cho các ứng dụng và trang web.
• Trình quản lý thông tin xác thực: Một API Jetpack cung cấp giao diện API hợp nhất để tương tác với nhiều loại phương thức xác thực, bao gồm khoá truy cập, mật khẩu và các cơ chế đăng nhập liên kết như Đăng nhập bằng Google.

Khoá truy cập giúp người dùng như thế nào?

Người dùng sẽ nhận được một số lợi ích hữu hình khi sử dụng những ứng dụng cho phép họ dùng khoá truy cập để đăng nhập. Sau đây là những điểm nổi bật khi người dùng sử dụng khoá truy cập:

• Cải thiện trải nghiệm đăng nhập: Người dùng sẽ thấy cùng một giao diện người dùng cho dù họ sử dụng mật khẩu, khoá truy cập hay các cơ chế đăng nhập liên kết như Đăng nhập bằng Google.
• Giảm thời gian đăng nhập: Thay vì nhập mật khẩu, người dùng sử dụng cơ chế mở khoá điện thoại, chẳng hạn như dữ liệu sinh trắc học, nhờ đó có trải nghiệm đăng nhập mượt mà.
• Tăng cường bảo mật: Khoá truy cập sử dụng phương thức mật mã học khoá công khai để các vụ rò rỉ dữ liệu của nhà cung cấp dịch vụ không dẫn đến việc tài khoản được bảo vệ bằng khoá truy cập bị xâm nhập, đồng thời dựa trên các giao thức và API theo tiêu chuẩn ngành để đảm bảo khoá truy cập không bị ảnh hưởng bởi các cuộc tấn công giả mạo. (Đọc thêm về tính năng đồng bộ hoá và bảo mật tại đây).
• Trải nghiệm hợp nhất trên nhiều thiết bị: Nhờ khả năng đồng bộ hoá khoá truy cập trên nhiều thiết bị, người dùng sẽ được hưởng lợi từ quy trình xác thực đơn giản bất kể họ đang sử dụng thiết bị nào.
• Không còn gặp trở ngại do quên mật khẩu!

Nhấn mạnh trải nghiệm được cải thiện với khoá truy cập, chúng tôi đã nhận được phản hồi từ một số ứng dụng nổi bật. X nhận thấy tỷ lệ đăng nhập tăng gấp 2 lần sau khi thêm khoá truy cập vào quy trình xác thực. KAYAK, một công cụ tìm kiếm thông tin du lịch, nhận thấy thời gian trung bình mà người dùng cần để đăng ký và đăng nhập đã giảm 50% sau khi họ tích hợp khoá truy cập vào quy trình xác thực. Zoho là một bộ phần mềm toàn diện dựa trên đám mây, tập trung vào tính bảo mật và trải nghiệm liền mạch. Zoho đã đạt được tốc độ đăng nhập nhanh hơn gấp 6 lần bằng cách áp dụng khoá truy cập trong ứng dụng Android OneAuth của họ.

Lợi ích dành cho bạn

Khi di chuyển ứng dụng để dùng khoá truy cập, bạn sẽ tận dụng Credential Manager API. Đây là tiêu chuẩn được đề xuất cho danh tính và hoạt động xác thực trên Android.

Ngoài khoá truy cập, Credential Manager API còn hỗ trợ các cơ chế đăng nhập truyền thống, giúp đơn giản hoá quá trình phát triển và duy trì các quy trình xác thực của bạn!

Đối với tất cả các cơ chế đăng nhập này, Trình quản lý thông tin xác thực cung cấp giao diện người dùng tích hợp dạng bảng dưới cùng, giúp bạn tiết kiệm công sức phát triển, đồng thời mang đến cho người dùng trải nghiệm nhất quán.

Khi nào bạn nên nhắc người dùng sử dụng khoá truy cập?

Giờ thì bạn đã biết được những lợi ích của khoá truy cập, hãy cùng thảo luận về cách bạn nên khuyến khích người dùng chuyển sang sử dụng khoá truy cập.

Sau đây là danh sách các quy trình trải nghiệm người dùng mà bạn có thể quảng bá khoá truy cập:

• Đăng ký tài khoản người dùng: Giới thiệu lời nhắc tạo khoá truy cập vào những thời điểm quan trọng, chẳng hạn như khi người dùng tạo tài khoản:

Câu lệnh theo bối cảnh trong quá trình tạo tài khoản

• Đăng nhập: Bạn nên khuyến khích người dùng nhắc nhở khoá truy cập ngay sau khi người dùng đăng nhập bằng OTP, mật khẩu hoặc các cơ chế đăng nhập khác.

Nhắc tạo khoá truy cập trong quá trình đăng nhập

• Khôi phục tài khoản: Hành trình trọng yếu của người dùng (CUJ) để khôi phục tài khoản là hành trình từng gây khó khăn cho người dùng. Bạn nên nhắc người dùng sử dụng khoá truy cập trong quá trình khôi phục tài khoản. Người dùng sử dụng khoá truy cập sẽ có trải nghiệm khôi phục tài khoản quen thuộc như khi đăng nhập.

Quy trình khôi phục tài khoản

• Đặt lại mật khẩu: Đây là thời điểm thích hợp để nhắc người dùng tạo khoá truy cập; sau khi gặp phải khó khăn khi đặt lại mật khẩu, người dùng thường dễ dàng chấp nhận sự tiện lợi và tính bảo mật mà khoá truy cập mang lại hơn.

Tạo khoá truy cập để đăng nhập nhanh hơn vào lần tiếp theo

Bạn nên khuyến khích người dùng chuyển sang sử dụng khoá truy cập như thế nào?

Để khuyến khích người dùng chuyển từ mật khẩu sang khoá truy cập, bạn cần có một chiến lược rõ ràng. Sau đây là một số phương pháp hay nhất mà bạn nên áp dụng:

• Tuyên bố giá trị rõ ràng: Sử dụng câu lệnh đơn giản, lấy người dùng làm trung tâm để giải thích lợi ích của khoá truy cập. Sử dụng thông điệp nêu bật lợi ích cho người dùng. Nhấn mạnh những lợi ích sau:
  • Các lợi ích về bảo mật được cải thiện, chẳng hạn như khả năng chống lừa đảo.
  • Không cần nhập mật khẩu.
  • Có thể sử dụng cùng một khoá truy cập trên nhiều thiết bị/nền tảng.
  • Trải nghiệm xác thực nhất quán.

Lời nhắc về khoá truy cập có tuyên bố giá trị rõ ràng

• Mang đến trải nghiệm liền mạch cho người dùng:
  • Sử dụng giao diện người dùng hợp nhất do Trình quản lý thông tin xác thực cung cấp để hiển thị tất cả các lựa chọn đăng nhập hiện có, cho phép người dùng chọn phương thức họ muốn mà không cần phải nhớ phương thức họ đã dùng lần gần đây nhất.
  • Sử dụng biểu tượng khoá truy cập chính thức để người dùng quen thuộc và tạo ra trải nghiệm nhất quán.
  • Đảm bảo rằng người dùng có thể quay lại phương thức đăng nhập truyền thống hoặc phương thức khôi phục (chẳng hạn như tên người dùng và mật khẩu) nếu không có khoá truy cập hoặc nếu họ đang sử dụng một thiết bị khác.
• Cung cấp cho người dùng thông tin rõ ràng về thông tin đăng nhập trong giao diện người dùng Cài đặt của ứng dụng: Đảm bảo người dùng hiểu các lựa chọn xác thực của họ bằng cách hiển thị thông tin hữu ích về từng khoá truy cập trong phần cài đặt của ứng dụng. Để tìm hiểu thêm về cách thêm siêu dữ liệu thông tin xác thực, hãy xem tài liệu về Trình quản lý thông tin xác thực.

Siêu dữ liệu khoá truy cập trên màn hình Cài đặt của ứng dụng

• Hướng dẫn người dùng: Bổ sung thông báo để áp dụng khoá truy cập bằng các tài nguyên giáo dục trong ứng dụng hoặc đường liên kết giải thích chi tiết về khoá truy cập.
• Phát hành từng giai đoạn: Cân nhắc việc phát hành theo từng giai đoạn để giới thiệu khoá truy cập cho một nhóm nhỏ người dùng nhằm thu thập ý kiến phản hồi và tinh chỉnh trải nghiệm người dùng trước khi phát hành rộng rãi.

Nghiên cứu điển hình về nhà phát triển

Kinh nghiệm thực tế của nhà phát triển thường cho thấy những lựa chọn thiết kế nhỏ (chẳng hạn như thời điểm và vị trí xuất hiện lời nhắc khoá truy cập) có thể ảnh hưởng đáng kể đến mức độ sử dụng và niềm tin của người dùng. Để xem cách hoạt động của tính năng này, hãy khám phá cách các ứng dụng hàng đầu đã hiển thị lời nhắc khoá truy cập một cách chiến lược tại những thời điểm quan trọng trong ứng dụng của họ để thúc đẩy người dùng sử dụng khoá truy cập nhiều hơn :

Uber

Để đẩy nhanh việc áp dụng khoá truy cập, Uber đang chủ động quảng bá khoá truy cập trong nhiều hành trình của người dùng, cùng với các chiến lược tiếp thị.

Uber cho biết: "Hơn 90% lượt đăng ký khoá truy cập đến từ việc quảng bá quy trình tạo khoá truy cập tại những thời điểm quan trọng trong ứng dụng so với các CUJ về quy trình tham gia và xác thực", điều này cho thấy hiệu quả của chiến lược chủ động mà họ áp dụng.

Những bài học và chiến lược chính từ việc triển khai:

• Cung cấp khoá truy cập mà không làm gián đoạn trải nghiệm cốt lõi của người dùng: Uber đã thêm một trải nghiệm kiểm tra tài khoản mới vào phần cài đặt tài khoản để làm nổi bật lợi ích của khoá truy cập, nhờ đó đạt được tỷ lệ sử dụng khoá truy cập cao.

Quy trình kiểm tra tài khoản người dùng

• Chủ động giới thiệu khoá truy cập cho người dùng: Họ nhận thấy rằng không nên chờ người dùng tự khám phá khoá truy cập vì việc dựa vào mức độ sử dụng tự nhiên sẽ chậm hơn mặc dù có những lợi ích như đăng nhập nhanh hơn và tăng tỷ lệ đăng nhập thành công cho người dùng khoá truy cập.
• Sử dụng các phương tiện bổ sung để quảng bá khoá truy cập: Uber cũng đang thử nghiệm việc quảng bá khoá truy cập thông qua chiến dịch tiếp thị qua email hoặc biểu ngữ trên màn hình tài khoản của người dùng để làm nổi bật phương thức đăng nhập mới, giúp họ đăng nhập dễ dàng và an toàn hơn vào lần tiếp theo.
• Tôn trọng lựa chọn của người dùng: Nhận thấy rằng không phải người dùng nào cũng sẵn sàng sử dụng khoá truy cập, Uber đã triển khai logic dự phòng trong các quy trình quan trọng như đăng nhập, màn hình đăng ký và trong một số trường hợp, cung cấp khoá truy cập cùng với các phương thức xác thực quen thuộc khác.

Sau đây là thông tin từ Uber:

"Tại Uber, chúng tôi nhận thấy những người dùng sử dụng khoá truy cập có trải nghiệm đăng nhập nhanh hơn, liền mạch hơn và an toàn hơn. Để giúp nhiều người dùng hơn hưởng lợi từ khoá truy cập, chúng tôi đã thêm lời nhắc tạo khoá truy cập vào những thời điểm quan trọng trong trải nghiệm người dùng: phần cài đặt tài khoản, đăng ký và đăng nhập. Những hoạt động chủ động tiếp cận này đã giúp chúng tôi tăng tốc đáng kể việc áp dụng khoá truy cập."

Ryan O’Laughlin, Kỹ sư phần mềm cấp cao, Uber

Economic Times

Economic Times, một phần của hệ sinh thái Times Internet, đã sử dụng trải nghiệm người dùng liền mạch làm động lực chính để người dùng chuyển sang khoá truy cập.

Sau khi giới thiệu lời nhắc có mục tiêu, Economic Times nhận thấy tỷ lệ hoàn tất tạo khoá truy cập tăng khoảng 10% trong giai đoạn triển khai ban đầu.

Những bài học và chiến lược chính từ việc triển khai:

• Lời nhắc tạo khoá truy cập mang tính chiến lược: Ban đầu, Economic Times đã tích cực nhắc người dùng tạo khoá truy cập trong nhiều luồng người dùng, nhưng họ nhận thấy rằng phương pháp này làm gián đoạn các hành trình quan trọng đối với hoạt động kinh doanh, chẳng hạn như mua gói thuê bao hoặc mở khoá các tính năng cao cấp, đồng thời dẫn đến tình trạng bỏ giỏ hàng.
• Phương pháp tinh chỉnh: Economic Times đã cố ý xoá các lời nhắc tạo khoá truy cập khỏi các quy trình nhạy cảm (chẳng hạn như quy trình thanh toán gói thuê bao) để ưu tiên hoàn tất hành động ngay lập tức.
• Lời nhắc có mục tiêu: Họ duy trì một cách có chiến lược việc tạo khoá truy cập ở những nơi người dùng có ý định đăng nhập hoặc quản lý hoạt động xác thực, chẳng hạn như quy trình đăng ký ban đầu, trang đăng nhập rõ ràng hoặc phần quản lý tài khoản.
• Kết quả tích cực: Việc triển khai tinh chỉnh này đã giúp cải thiện số lượng khoá truy cập được tạo, cho thấy người dùng đã áp dụng khoá truy cập một cách hiệu quả mà không ảnh hưởng đến trải nghiệm người dùng trong các quy trình kinh doanh quan trọng.

Màn hình quản lý khoá truy cập

Kết luận

Việc tích hợp khoá truy cập với Trình quản lý thông tin xác thực của Android không chỉ là việc áp dụng công nghệ mới, mà còn là việc xây dựng trải nghiệm cơ bản an toàn, thuận tiện và thú vị hơn cho người dùng. Bằng cách tập trung vào việc giới thiệu khoá truy cập thông minh, bạn không chỉ bảo mật tài khoản mà còn xây dựng niềm tin và đảm bảo chiến lược xác thực của ứng dụng luôn phù hợp trong tương lai.

Để mang đến cho người dùng trải nghiệm tốt nhất, tối ưu và liền mạch, hãy làm theo các nguyên tắc về trải nghiệm người dùng trong khi triển khai phương thức xác thực bằng khoá truy cập thông qua Trình quản lý thông tin xác thực. Hãy xem tài liệu ngay hôm nay!

• Mẫu có các phương pháp hay nhất về trải nghiệm người dùng
• Đăng nhập cho người dùng bằng Trình quản lý thông tin xác thực
• Tài liệu tham khảo API – androidx.credentials
• Xác thực người dùng bằng khoá truy cập
• Trung tâm an toàn của Google – Khoá truy cập
• Blog bảo mật của Google: Tính bảo mật của khoá truy cập trong Trình quản lý mật khẩu của Google