Google 推動一項新的 Android 個人資料驗證方案,試圖用系統直接發送的「已驗證郵箱驗證」取代傳統郵箱驗證碼流程,讓應用開發者在用戶註冊、登入及帳戶恢復等場景中,減少依賴一次性密碼或「魔法連結」的郵件驗證步驟。據報導,這項新功能已整合進 Android 的 Credential Manager API(認證管理器 API)之中。
傳統驗證的痛點與新方案優勢
Google 認為,現時個人資料驗證長期處於安全性與便利性之間的權衡之中。傳統的郵箱驗證碼及短訊驗證方式總體有效,但操作路徑較長,用戶往往需要在新建應用與郵箱之間來回切換,這種「上下文切換」會增加摩擦成本。此外,郵箱地址雖獲取門檻低,但在垃圾郵件過濾、郵件投遞穩定性等方面,並非總是足夠可靠。 報導還指出,Google 將用戶在驗證環境中的額外停留時間視為影響轉化率的潛在因素。
按 Google 的說法,用戶在「驗證迴圈」中每多停留一秒,即可能增加其流失意圖、放棄流程的機率,進而直接影響應用或服務的註冊轉化表現。因此,Google 提出的替代方案,是向 Android 設備直接發放經過加密驗證的郵箱驗證。這類驗證與設備本人綁定,工作方式與近年廣泛推廣的 passkey(通行密鑰)有相似之處,並透過 Credential Manager API 在個人資料驗證過程中交付給應用。
從技術標準來看,這套 API 採用了 W3C 的 Digital Credential API(數位認證 API)規範。報導指出,它未來有可能在「確認郵箱歸屬權」這一任務上,取代現有發送及核驗一次性驗證碼或短訊訊息的做法。Google 表示,新方案在互動層面也更靈活,用戶可更明確知道自己被要求提供哪些資料,以及這些資料將如何分享給第三方服務提供者。 對開發者而言,只需接入 Digital Credential API,即可在應用中調用這種保存在設備端的郵箱驗證。
這不僅適用於新用戶註冊、帳戶找回,還包括執行敏感操作及設定變更前的再次驗證,皆可透過「一鍵同意」方式完成。 不過,這項功能目前仍有適用範圍限制。Google 表示,現階段僅支援普通消費者帳戶,綁定 Workspace 服務的 Google 帳戶以及受監管帳戶暫不在支援之列。已驗證認證可包含姓名、姓氏、全名、頭像等多種資料欄位,但真正由 Google 主動完成的驗證,目前只有郵箱地址本人。
按 Google 的設想,這項嵌入 Credential Manager API 的「已驗證郵箱驗證」功能,最終目標是讓個人資料驗證不再是一項由用戶手動完成的獨立步驟,而是成為移動端原生體驗的一部分。報導同時指出,Google 近日也在其他安全敏感領域採取類似思路,例如對第三方來源應用側載支援加強風險提示與管控,顯示其正試圖在 Android 生態中,對更多關鍵安全環境實施更強的系統級主導。
