Hello! I’m Teysir, a Frontend Engineer in the Apps unit here at Nulab. I recently had the privilege of leading a project focused on modernizing and improving our password recovery functionality. This initiative was crucial for delivering a more secure and streamlined experience for our users.
The friction of a forgotten password is a universal pain point in the user journey. Our recent project was designed not only to modernize this frustrating flow but also to use this moment of account recovery as a strategic opportunity to drive user security through passkey adoption.
目次
English version
Modernizing Account Recovery
We in the project team first set out to refactor and modernize our entire password reset experience. The core objective of the project was twofold: for end users who forgot their password, we needed a newly designed solution that delivers streamlined and secure experience and promotes passwordless access.
Technically, the project involved refactoring the existing implementation and migrating to the latest React and Next.js, and modernizing the password reset page’s functionality and design. As a result, we achieved a modern and highly maintainable password recovery function that ensures consistent UI/UX across all authentication features.
Promoting Passkeys at the Optimal Moment
While refactoring the front end was one challenge, the even bigger question was deciding the optimal point in the flow to introduce passkey creation.
We in the project team considered three main approaches:
- Option A (Replace Password Reset): Allowing users to create a passkey instead of setting a new password. This was rejected due to concerns about creating UX inconsistency, as other flows require knowing the current password.
- Option B (Passive promotion): Executing the standard password reset and only promoting the benefits of passkeys on the view, without allowing direct creation. We were concerned this would have limited effectiveness in driving specific registration action.
- Option C (Strategic enrollment): First, complete the mandatory password reset, and then immediately add an optional screen where the user can create a passkey.
FIDO Alliance Design Guideline
We ultimately adopted Option C, based on the FIDO Alliance design guideline “Create Passkey After Account Recovery Due To Forgotten Password”.
According to the UX knowledge shared in the guidelines, when users are in the midst of account management and experiencing the friction of a password reset, proposing passkey creation feels like a relevant feature that enhances the task, rather than an unnecessary interruption.
Through this flow, the project team secured the following points:
Password recovery flow
- Maintaining Consistency (as password reset is always performed).
- Respecting User Choice (respecting the preference of existing users who might temporarily want to retain their password).
- Security Improvement (passkey creation is naturally encouraged, expected to lead to improved account security).
Results: Clear improvement in security adoption.
The true success of this project is evident in the rapid passkey adoption rate following the production release in August 2025.
As a result of strategically introducing the passkey promotion at the optimal moment in the account recovery process, the effect clearly appeared.
Based on the recent data, approximately 7% of users who completed the password reset created a passkey immediately afterward.
Improvement in daily registration rate: A comparison of the daily increase rate of passkey registrants before and after the password reset improvement release clearly shows the effect of this promotional placement:
- Pre-release Daily Registration Rate: Approximately 32.5 users/day.
- Post-release Daily Registration Rate: Approximately 55.0 users/day.
This data confirms that by introducing the optional passkey creation promotion immediately after the mandatory password reset resulted in a clear and measurable positive impact on user security adoption.
Summary
Our project team’s modernization effort did more than just provide a new UI/UX. By intentionally utilizing the high-friction user experience (forgotten password) as an opportunity for a high-value security upgrade, we successfully guided many users towards safer passwordless authentication. Passkeys are safer and simpler than conventional passwords.
We are proud to have delivered this solution and we will continue to strive to expand the possibilities of account management and user experience.
—
日本語版
こんにちは!NulabのAppsユニットでフロントエンドエンジニアをしているテイシーです。私は2025年8月にリリースされた、パスワードリセット機能の刷新・改善プロジェクトをリードしました。この取り組みは、ユーザーの皆様により安全でスムーズな認証体験を提供するために極めて重要でした。
パスワードを忘れてしまった時の「面倒くさい」という経験は、誰にでもある共通のストレスポイントですよね。私たちはこのプロジェクトで、ストレスフルなアカウント回復フローのモダン化だけでなく、この機会を戦略的なセキュリティ向上のチャンスと捉え、パスキーの導入促進に注目しました。
結果として、パスキー登録率が劇的に向上するという測定可能な成果を得ることができました。本記事では、この成功がどのようにして実現したのか、戦略的なタイミングとユーザー中心の設計がいかに重要であったかをご紹介します。
アカウント回復のモダン化
私たちプロジェクトチームが最初に取り組んだのは、パスワードリセット体験全体のリファクタリングとモダン化です。プロジェクトの主要な目的は、パスワードを忘れたエンドユーザーに対して、効率的で安全な体験を提供し、パスワードレスアクセスを促進する、新たに設計されたソリューションを提供することでした。
技術的には、既存の実装を最新のReactとNext.jsに対応するようにリファクタリングし、パスワードリセットページの機能とデザインを現代的に刷新しました。その結果、認証機能全体で一貫したUI/UXを保証する、モダンで保守性の高いパスワード回復機能を実現しました。
パスキーをプロモーションする最適なタイミング
フロントエンドのリファクタリングもさることながら、フローのどのタイミングでパスキー作成を促すかという点が、ADR(アーキテクチャ設計書)にも記録された最も重要な戦略的決定となりました。
私たちは以下の3つの主要なアプローチを検討しました。
- Option A(パスワードリセットの代替):新しいパスワードを設定する代わりに、パスキーの作成を許可する。これは、他のフローで現在のパスワードが必要になるため、UXの一貫性を欠く懸念がありました。
- Option B(受動的なプロモーション): 通常のパスワードリセットを実行し、画面上でパスキーのメリットを宣伝するだけに留め、直接的な作成を許可しない。これでは、具体的な登録行動を促す効果が限定的になるのではないかと懸念しました。
- Option C(戦略的な導入): まず必須のパスワードリセットを完了させ、その直後に、オプションとしてパスキーを作成できる画面を追加する。
FIDOアライアンスのデザインガイドライン
最終的に、私たちはFIDOアライアンスのデザインガイドラインに明記されている「パスワードを忘れたことによるアカウント回復後にパスキーを作成する」という推奨事項に基づき、Option C (戦略的導入)を採用しました。
ガイドラインで示されているUX知見によると、ユーザーがアカウント管理の真っただ中でパスワードリセットという摩擦を経験している時にパスキーの作成を提案すると、不必要な中断ではなく、タスクを強化する関連性の高い機能として認識されることが分かりました。
このフローにより、プロジェクトチームは次の点を確保しました。
パスワードリセットフロー
- 一貫性の維持: パスワードリセットが常に実行されるため、現在のシステム仕様との一貫性が保たれます。
- ユーザー選択の尊重: 既存ユーザーが一時的にパスワードを保持したいという嗜好を尊重します。
- セキュリティ向上: パスキー作成が自然と促され、アカウントセキュリティの向上につながることが期待されました。
結果:セキュリティ導入率の明確な向上
このプロジェクトの真の成功は、2025年8月中の本番リリース後の、ユーザーによるパスキーの急速な採用率に表れています。
アカウント回復プロセスの最適な瞬間にパスキーのプロモーションを戦略的に導入した結果、その効果が明確に現れました。
直近のデータに基づくと、パスワードリセットを完了したユーザーのうち、約7%がその直後にパスキーを登録しています。
デイリー登録率の改善: パスワードリセットの改善リリース前後でのパスキー登録者の1日あたりの増加率を比較すると、このプロモーション配置の効果が明確にわかります。
- リリース前のデイリー登録率: 約 32.5人/日。
- リリース後のデイリー登録率: 約 55.0人/日。
このデータは、必須のパスワードリセット直後にオプションのパスキー作成画面を戦略的に導入したことが、ユーザーのセキュリティ採用に明確で測定可能なプラスの影響をもたらしたことを裏付けています。
まとめ
私たちプロジェクトチームのモダン化プロジェクトは、単に新しいUI/UXを提供するだけにとどまりませんでした。摩擦点の高いユーザー体験(パスワード忘れ)を、高価値のセキュリティアップグレードの機会として意図的に活用することで、より安全なパスワードレス認証へと多くのユーザーを導くことに成功しました。パスキーは従来のパスワードよりも安全でシンプルです。
このソリューションを提供できたことを誇りに思っています。これからも、アカウント管理とユーザー体験の可能性を押し広げていくことに尽力していきます。
