在數位安全日益重要的世界中，密碼已成為眾所周知的弱點，不僅難以使用，往往也不安全，是使用者和開發人員的痛點。好消息是，密碼金鑰已成為最受歡迎的驗證機制，不僅易於使用，還能防範網路釣魚，確保帳戶安全。Android 開發人員可使用 Credential Manager API，引導使用者改用密碼金鑰，同時確保繼續支援傳統登入機制 (例如密碼)。

在這篇網誌中，我們將討論鼓勵使用者改用密碼金鑰時，應遵循的一些最佳做法。

瞭解如何使用密碼金鑰驗證

在深入瞭解如何鼓勵使用者改用密碼金鑰之前，請先概略認識密碼金鑰驗證的基本概念：

• 密碼金鑰：這是取代密碼的加密憑證。密碼金鑰與裝置解鎖機制相關聯，是應用程式和網站建議使用的驗證方法。
• Credential Manager：Jetpack API，提供統一的 API 介面，可與不同類型的驗證機制互動，包括密碼金鑰、密碼，以及「使用 Google 帳戶登入」等聯合登入機制。

密碼金鑰如何協助使用者？

如果應用程式允許使用者透過密碼金鑰登入，使用者就能享有幾項實質好處。使用密碼金鑰的優點如下：

• 提升登入體驗：無論使用者採用密碼、密碼金鑰或「使用 Google 帳戶登入」等聯合登入機制，都會看到相同的 UI。
• 縮短登入時間：使用者不必輸入密碼，只要使用手機解鎖機制 (例如生物辨識)，即可順利登入。
• 提升安全性：密碼金鑰採用公開金鑰密碼編譯技術，因此服務供應商的資料侵害不會導致密碼金鑰保護的帳戶遭到入侵，且密碼金鑰採用業界標準 API 和通訊協定，確保不會受到網路釣魚攻擊。(如要進一步瞭解同步處理和安全性，請參閱這篇文章)。
• 跨裝置整合體驗：使用者可以在不同裝置間同步密碼金鑰，無論使用哪種裝置，都能享有簡化的驗證體驗。
• 不必擔心忘記密碼！

為強調密碼金鑰帶來的優質體驗，我們採訪了幾款知名應用程式。X 發現在驗證流程中加入密碼金鑰後，登入率提升了 2 倍。旅遊搜尋引擎 KAYAK 在驗證流程中加入密碼金鑰後，使用者註冊及登入的平均時間減少了 50%。Zoho 是一套以安全性和流暢體驗為主的雲端軟體套件，在 OneAuth Android 應用程式中採用密碼金鑰後，登入速度提升了 6 倍。

你能獲得什麼幫助？

將應用程式遷移至使用密碼金鑰時，您會運用 Credential Manager API，這是 Android 裝置上身分識別和驗證的建議標準。

除了密碼金鑰，Credential Manager API 也支援傳統登入機制，可簡化驗證流程的開發和維護作業！

針對所有這些登入機制，Credential Manager 都提供整合式底部功能表 UI，可節省開發工作，同時為使用者提供一致的體驗。

何時應提示使用者改用密碼金鑰？

瞭解密碼金鑰的優點後，接下來我們將討論如何鼓勵使用者改用密碼金鑰。

以下列出可宣傳密碼金鑰的使用者體驗流程：

• 使用者帳戶註冊：在重要時刻 (例如使用者建立帳戶時) 顯示密碼金鑰建立提示：

帳戶建立期間的情境提示

• 登入：建議您鼓勵使用者在以動態密碼、密碼或其他登入機制登入後，立即提示密碼金鑰。

在登入時提示建立密碼金鑰

• 帳戶救援：帳戶救援的關鍵使用者歷程 (CUJ) 是使用者歷來最常遇到問題的歷程。建議您在帳戶救援期間提示使用者採用密碼金鑰。採用密碼金鑰的使用者在帳戶救援時，會看到與登入時類似的程序。

帳戶救援流程

• 密碼重設：這是提示使用者建立密碼金鑰的絕佳時機。使用者在重設密碼後，通常會更願意接受密碼金鑰帶來的便利性和安全性。

建立密碼金鑰，下次登入時速度更快

您應如何鼓勵使用者改用密碼金鑰？

如要鼓勵使用者從密碼改用密碼金鑰，您需要擬定明確的策略。以下列舉幾項建議的最佳做法：

• 清楚的價值主張：使用簡單且以使用者為中心的提示，說明密碼金鑰的優點。使用可凸顯使用者好處的訊息。強調下列福利：
  • 提升安全性，例如防範網路釣魚。
  • 不必輸入密碼。
  • 可在不同裝置/平台使用同一組密碼金鑰。
  • 一致的驗證體驗。

清楚呈現價值主張的密碼金鑰提示

• 提供順暢的使用者體驗：
  • 使用 Credential Manager 提供的統一 UI 顯示所有可用的登入選項，讓使用者選擇偏好的方法，不必記住上次使用的選項。
  • 使用官方密碼金鑰圖示，讓使用者熟悉密碼金鑰，並提供一致的體驗。
  • 請確保使用者在無法使用密碼金鑰或使用其他裝置時，可以改用傳統登入方式或救援方式 (例如使用者名稱和密碼)。
• 在應用程式的「設定」UI 中清楚說明憑證：在應用程式設定中顯示每個密碼金鑰的實用資訊，確保使用者瞭解驗證選項。如要進一步瞭解如何新增憑證中繼資料，請參閱 Credential Manager 說明文件。

應用程式設定畫面中的密碼金鑰中繼資料

• 教育使用者：在訊息中加入應用程式內的教育資源或連結，詳細說明密碼金鑰，鼓勵使用者採用密碼金鑰。
• 逐步推出：考慮分階段推出，先對部分使用者推出密碼金鑰，收集意見並改善使用者體驗，再擴大推出範圍。

開發人員個案研究

實際開發人員體驗通常會強調，即使是小小的設計選擇 (例如何時何地顯示密碼金鑰提示)，也可能大幅影響採用率和使用者信任度。如要瞭解實際情況，請參閱頂尖應用程式如何在應用程式中的重要時刻策略性地顯示密碼金鑰提示，以提高採用率：

Uber

為加速採用密碼金鑰，Uber 積極在各種使用者歷程中宣傳密碼金鑰，並搭配行銷策略。

Uber 表示：「與新手指引和驗證 CUJ 相比，在應用程式中的重要時刻宣傳建立密碼金鑰，可帶來 90% 以上的密碼金鑰註冊人數」，強調主動式策略的成效。

實作過程中的重要發現和策略：

• 提供密碼金鑰，同時兼顧核心使用者體驗：Uber 在帳戶設定中新增帳戶檢查體驗，強調密碼金鑰的優點，因此密碼金鑰採用率很高。

使用者帳戶健康檢查流程

• 主動向使用者提供密碼金鑰：他們發現，如果等待使用者自行探索密碼金鑰，採用速度會較慢，因此決定主動提供。雖然密碼金鑰使用者登入速度較快，登入成功率也較高，但如果採用速度不夠快，就無法發揮這些優勢。
• 使用其他媒介宣傳密碼金鑰：Uber 也嘗試透過電子郵件廣告活動或橫幅，在使用者帳戶畫面中宣傳密碼金鑰，強調新的登入方式，讓使用者下次登入時更輕鬆安全。
• 尊重使用者的選擇：Uber 瞭解並非所有使用者都已準備好使用密碼金鑰，因此在登入、註冊畫面等重要流程中導入退避邏輯，並在某些情況下，提供密碼金鑰和其他常見的驗證方法。

Uber 的說法如下：

「Uber 發現，採用密碼金鑰的使用者登入時，體驗更快速、順暢且安全。為協助更多使用者善用密碼金鑰，我們在使用者體驗的關鍵時刻 (帳戶設定、註冊和登入) 新增了建立密碼金鑰的提示。這些主動式宣導活動大幅加快了密碼金鑰的採用速度。」

Uber 資深軟體工程師 Ryan O’Laughlin

Economic Times

Economic Times 是 Times Internet 生態系統的一環，他們認為，提供流暢的使用者體驗是吸引使用者改用密碼金鑰的主要誘因。

導入目標式提醒後，Economic Times 發現，在初期推出期間，密碼金鑰建立完成率提升了 ~10%。

實作過程中的重要發現和策略：

• 策略性密碼金鑰產生提示：一開始，Economic Times 在多個使用者流程中積極提示建立密碼金鑰，但觀察結果顯示，這種做法會中斷業務關鍵歷程，例如訂閱購買或解鎖付費功能，導致購物車遭棄置。
• 改良做法：《經濟時報》審慎決定從敏感流程 (例如訂閱結帳程序) 中移除密碼金鑰產生提示，優先完成當下行動。
• 目標式提示：在使用者意圖登入或管理驗證的區域 (例如初始註冊流程、明確的登入頁面或帳戶管理部分)，策略性地保留密碼金鑰產生功能。
• 正面結果：經過改良的部署方式可提高密碼金鑰產生次數，代表使用者採用率高，且不會影響重要業務流程的使用者體驗。

密碼金鑰管理畫面

結論

將密碼金鑰與 Android 的 Credential Manager 整合，不只是採用新技術，更是為使用者打造更安全、便利且愉悅的體驗。著重於導入智慧密碼金鑰，不僅能保護帳戶安全，還能建立信任感，並確保應用程式的驗證策略能因應未來變化。

如要為使用者提供最佳、最佳化且順暢的體驗，請在透過 Credential Manager 實作密碼金鑰驗證時，遵循 UX 指南。歡迎立即查看文件！

• 採用使用者體驗最佳做法進行取樣
• 透過 Credential Manager 讓使用者登入
• API 參考資料 - androidx.credentials
• 透過密碼金鑰驗證使用者
• Google 安全中心 - 密碼金鑰
• Google 安全性網誌：Google 密碼管理工具中的密碼金鑰安全性