デジタル セキュリティの重要性が高まる中、パスワードは悪名高い弱点となっています。パスワードは煩雑で、安全でないことが多く、ユーザーとデベロッパーの不満の原因となっています。しかし、心配はいりません。パスキーは、利用可能な認証メカニズムの中で最もユーザー フレンドリーで、フィッシングに強く、安全であるため、人気が高まっています。Android デベロッパーは、Credential Manager API を使用して、パスワードなどの従来のログイン メカニズムのサポートを継続しながら、ユーザーがパスキーを使用するように誘導できます。

このブログでは、ユーザーにパスキーへの移行を促す際に従うべきベスト プラクティスについて説明します。

パスキーによる認証について

パスキーへの移行を促すための推奨事項に入る前に、パスキーによる認証の基本について説明します。

• パスキー: パスワードに代わる暗号化認証情報です。パスキーはデバイスのロック解除メカニズムに関連付けられており、アプリやサイトで推奨される認証方法です。
• 認証情報マネージャー: パスキー、パスワード、「Google でログイン」などのフェデレーション ログイン メカニズムなど、さまざまな種類の認証とやり取りするための統合 API インターフェースを提供する Jetpack API です。

パスキーはユーザーにどのように役立ちますか？

パスキーを使用してログインできるアプリでは、ユーザーにいくつかの具体的なメリットがあります。ユーザーがパスキーを使用するメリットは次のとおりです。

• ログイン エクスペリエンスの向上: パスワード、パスキー、「Google でログイン」などのフェデレーション ログイン メカニズムを使用する場合でも、ユーザーには同じ UI が表示されます。
• ログイン時間の短縮: パスワードを入力する代わりに、生体認証などのスマートフォンのロック解除メカニズムを使用するため、スムーズにログインできます。
• セキュリティの強化: パスキーは公開鍵暗号を使用するため、サービス プロバイダのデータ侵害によってパスキーで保護されたアカウントが侵害されることはありません。また、業界標準の API とプロトコルに基づいており、フィッシング攻撃を受けないようにしています。（同期とセキュリティの詳細はこちらをご覧ください）。
• デバイス間で統一されたエクスペリエンス: デバイス間でパスキーを同期できるため、使用しているデバイスに関係なく、認証が簡素化されます。
• パスワードを忘れても問題ありません。

パスキーによるエクスペリエンスの向上を裏付けるように、いくつかの著名なアプリから意見が寄せられました。X は、認証フローにパスキーを追加した後、ログイン率が 2 倍に向上したことを確認しました。旅行検索エンジンの KAYAK は、認証フローにパスキーを組み込んだ後、ユーザーが登録してログインするまでの平均時間が 50%短縮されたことを確認しました。Zoho は、セキュリティとシームレスなエクスペリエンスに重点を置いた包括的なクラウドベースのソフトウェア スイートであり、OneAuth Android アプリにパスキーを採用することで、ログインを 6 倍高速化しました。

トレーニングのメリット

アプリを移行してパスキーを使用すると、Android での ID と認証の推奨 標準である Credential Manager API を活用できます。

Credential Manager API は、パスキーに加えて従来のログイン メカニズムもサポートしているため、認証フローの開発とメンテナンスが簡素化されます。

これらのログイン メカニズムすべてで、認証情報マネージャーは統合されたボトムシート UI を提供し、ユーザーに一貫したエクスペリエンスを提供しながら、開発作業を削減します。

ユーザーにパスキーの使用を促すタイミング

パスキーのメリットを説明したので、ユーザーにパスキーへの移行を促す方法について説明します。

パスキーを宣伝できる UX フローを以下に示します。

• ユーザー アカウントの登録: ユーザーがアカウントを作成するときなど、重要なタイミングでパスキーの作成を促すメッセージを表示します:

アカウント作成時のコンテキスト プロンプト

• ログイン: ユーザーが OTP、パスワード、その他のログイン メカニズムでログインした直後に、パスキーを促すことをおすすめします。

ログイン時にパスキーの作成を促す

• アカウント復元: アカウント復元に関するクリティカル ユーザー ジャーニー（CUJ）は、これまでユーザーにとって煩雑なものでした。アカウント復元時にパスキーの採用を促すことをおすすめします。パスキーを採用したユーザーは、ログイン時と同じようにアカウントを復元できます。

アカウント復元フロー

• パスワードの再設定: ユーザーにパスキーの作成を促すのに最適なタイミングです。パスワードの再設定に不満を感じた後、ユーザーは通常、パスキーの利便性とセキュリティを受け入れやすくなります。

次回からより迅速にログインできるようにパスキーを作成する

パスキーへの移行を促す方法

ユーザーにパスワードからパスキーへの移行を促すには、明確な戦略が必要です。推奨されるベスト プラクティスをいくつか紹介します。

• 明確な価値提案: シンプルでユーザー中心のプロンプトを使用して、パスキーのメリットを説明します。ユーザーにとってのメリットを強調するメッセージを使用します。次の特典を強調します。
  • フィッシングからの保護など、セキュリティ上のメリットが向上します。
  • パスワードを入力する必要はありません。
  • デバイスやプラットフォーム間で同じパスキーを使用できます。
  • 一貫した認証エクスペリエンス。

明確な価値提案を含むパスキー プロンプト

• シームレスなユーザー エクスペリエンスを提供する:
  • 認証情報マネージャー が提供する 統合 UI を使用して、利用可能なすべての ログイン オプション を表示し、ユーザーが最後に使用した方法を覚えていなくても、好みの方法を選択できるようにします。
  • 公式のパスキー アイコンを使用して、ユーザーの親近感を高め、一貫したエクスペリエンスを実現します。
  • パスキーが利用できない場合や、別のデバイスを使用している場合は、従来のログイン方法や、ユーザー名とパスワードなどの復元方法に戻れるようにします。
• アプリの設定 UI 内の認証情報についてユーザーに明確に説明する: アプリの設定内で各パスキーに関する役立つ情報を表示して、ユーザーが認証オプションを理解できるようにします。認証情報のメタデータを追加する方法について詳しくは、Credential Manager のドキュメントをご覧ください。

アプリの設定画面のパスキー メタデータ

• ユーザーを教育する: パスキーの採用を促すメッセージに加えて、アプリ内の教育リソースや、パスキーについて詳しく説明するリンクを追加します。
• 段階的なロールアウト: 段階的なロールアウトを検討して、ユーザーの一部にパスキーを導入し、フィードバックを収集して、大規模なリリース前にユーザー エクスペリエンスを改善します。

デベロッパーの事例紹介

実際のデベロッパー エクスペリエンスでは、パスキー プロンプトを表示するタイミングや場所など、小さな設計上の選択が採用とユーザーの信頼に大きな影響を与えることがよくあります。実際にどのように機能するかを確認するために、主要なアプリがアプリの重要なタイミングでパスキー プロンプトを戦略的に表示して、採用を促進している方法を見てみましょう。

Uber

パスキーの採用を促進するために、Uber は、マーケティング戦略とともに、さまざまなユーザー ジャーニーでパスキーを積極的に宣伝しています。

Uber は、「パスキー登録の 90% 以上は、オンボーディングと認証の CUJ と比較して、アプリ内の重要なタイミングでパスキーの作成を促すことで実現しています」と述べており、積極的な戦略の効果を強調しています。

実装から得られた主な知見と戦略:

• コアユーザー エクスペリエンスを中断することなくパスキーを提供する: Uber は、アカウント設定に新しいアカウント チェックアップ エクスペリエンスを追加してパスキーのメリットを強調し、パスキーの採用率を高めました。

ユーザー アカウントのチェックアップ フロー

• パスキーをユーザーに積極的に提供する: パスキー ユーザーのログイン時間の短縮やログイン成功率の向上などのメリットがあるにもかかわらず、自然な採用に頼ると時間がかかるため、ユーザーがパスキーを自然に発見するのを待たないようにしました。
• 追加のメディアを使用してパスキーを宣伝する: Uber は、ユーザーのアカウント画面にメール キャンペーンやバナー を表示して新しいログイン方法を強調し、次回のログインをより簡単かつ安全にするために、パスキーを宣伝する実験も行っています。
• ユーザーの選択を尊重する: すべてのユーザーがパスキーに対応しているわけではないことを認識し、Uber はログイン、登録画面などの重要なフローにバックオフ ロジック を実装し、状況によっては、他の使い慣れた認証方法とともにパスキーを提供しています。

Uber は次のように述べています。

「Uber では、パスキーを採用したユーザーは、より迅速でシームレスかつ安全なログイン エクスペリエンスを利用しています。より多くのユーザーがパスキーのメリットを享受できるように、アカウント設定、登録、ログインなど、ユーザー エクスペリエンスの重要なタイミングでパスキーの作成を促すメッセージを追加しました。このような積極的なアプローチにより、パスキーの採用が大幅に加速しました。」

Uber、シニア ソフトウェア エンジニア、Ryan O’Laughlin 氏

Economic Times

Economic Times は、Times Internet エコシステムの一部であり、ユーザーがパスキーに移行する主な動機としてシームレスなユーザー エクスペリエンス を使用しました。

ターゲットを絞ったメッセージを導入した後、Economic Times は、最初のロールアウト期間中にパスキー作成の完了率が約 10% 向上したことを確認しました。

実装から得られた主な知見と戦略:

• 戦略的なパスキー生成プロンプト: 当初、Economic Times は複数のユーザーフローでパスキーの作成を積極的に促していましたが、このアプローチは、定期購入の購入やプレミアム機能のロック解除などのビジネスに不可欠なジャーニーを中断 させ、カート放棄につながることがわかりました。
• 改善されたアプローチ: Economic Times は、迅速なアクションの完了を優先するため、定期購入の購入手続きのフローなどの機密性の高いフローからパスキー生成プロンプトを削除することを意図的に決定しました。
• ターゲットを絞ったプロンプト: 最初の登録フロー、明示的なログインページ、アカウント管理セクションなど、ユーザーがログインまたは認証の管理を意図している可能性が高い領域で、パスキーの生成を戦略的に維持しました。
• ポジティブな結果: この改善されたデプロイにより、重要なビジネスフローでユーザー エクスペリエンスを損なうことなく、パスキーの生成数が向上し、ユーザーの採用が促進されました。

パスキー管理画面

まとめ

パスキーと Android の認証情報マネージャーの統合は、単に新しいテクノロジーを採用するだけでなく、ユーザーにとって根本的に安全で便利で楽しいエクスペリエンスを構築することです。インテリジェントなパスキーの導入に重点を置くことで、アカウントを保護するだけでなく、信頼を構築し、アプリケーションの認証戦略を将来にわたって維持できます。

ユーザーに最適化されたシームレスなエクスペリエンスを提供するには、UX ガイドラインに沿って認証情報マネージャーでパスキー認証を実装してください。今すぐドキュメントをご確認ください。

• UX のベスト プラクティスを使用したサンプル
• 認証情報マネージャーを使用してユーザーのログインを行う
• API リファレンス – androidx.credentials
• パスキーによるユーザー認証
• Google セーフティ センター - パスキー
• Google セキュリティ ブログ: Google パスワード マネージャーのパスキーのセキュリティ