Logowanie się bez hasła za pomocą kluczy

Klucze

Wstęp

Klucze dostępu to bezpieczniejsza i łatwiejsza w obsłudze alternatywa dla haseł. Dzięki kluczom dostępu użytkownicy mogą logować się w aplikacjach i na stronach internetowych za pomocą czujnika biometrycznego (np. czytnika linii papilarnych lub rozpoznawania twarzy), kodu PIN lub wzoru, dzięki czemu nie muszą zapamiętywać haseł ani nimi zarządzać.

Deweloperzy i użytkownicy nienawidzą haseł: zmniejszają komfort korzystania z aplikacji, utrudniają konwersję i narażają bezpieczeństwo zarówno użytkowników, jak i deweloperów. Menedżer haseł Google na Androida i Chrome usprawnia funkcję autouzupełniania. Dla deweloperów, którzy oczekują jeszcze dalszych ulepszeń konwersji i bezpieczeństwa, klucze dostępu i federacja tożsamości to najnowsze rozwiązania branżowe.

Klucz dostępu może spełnić wymagania dotyczące uwierzytelniania wielopoziomowego w jednym kroku.Zastępuje zarówno hasło, jak i hasło jednorazowe (np. 6-cyfrowy kod SMS), co zapewnia solidną ochronę przed atakami phishingowymi i uniknie problemów UX związanych z SMS-ami lub hasłami jednorazowymi w aplikacji. Ponieważ klucze dostępu są ustandaryzowane, pojedyncza implementacja umożliwia korzystanie z usług bez hasła na wszystkich urządzeniach użytkowników, w różnych przeglądarkach i systemach operacyjnych.

Klucze dostępu są łatwiejsze:

  • Użytkownicy mogą wybrać konto, na które będą się logować. Nie musisz wpisywać nazwy użytkownika.
  • Użytkownicy mogą uwierzytelniać się za pomocą blokady ekranu urządzenia, takiej jak czytnik linii papilarnych, rozpoznawanie twarzy lub kod PIN.
  • Po utworzeniu i zarejestrowaniu klucza dostępu użytkownik może płynnie przejść na nowe urządzenie i od razu z niego korzystać bez ponownej rejestracji (w przeciwieństwie do tradycyjnego uwierzytelniania biometrycznego, które wymaga konfiguracji na każdym urządzeniu).

Klucze są bezpieczniejsze:

  • Deweloperzy zamiast hasła zapisują na serwerze tylko klucz publiczny, co oznacza, że włamanie się na serwery przez nieuczciwego użytkownika jest znacznie mniej przydatne. W przypadku naruszenia bezpieczeństwa dane są znacznie mniej skuteczne.
  • Klucze dostępu chronią użytkowników przed atakami phishingowymi. Klucze działają tylko w zarejestrowanych witrynach i aplikacjach. Nie można nakłonić użytkownika do uwierzytelnienia na stronie wprowadzającej w błąd, bo weryfikację obsługuje przeglądarka lub system operacyjny.
  • Klucze dostępu obniżają koszty wysyłania SMS-ów, ponieważ są bezpieczniejsze i tańszym sposobem uwierzytelniania dwuskładnikowego.

Czym są klucze dostępu?

Klucz dostępu to cyfrowe dane logowania powiązane z kontem użytkownika i witryną lub aplikacją. Klucze dostępu umożliwiają użytkownikom uwierzytelnianie bez konieczności wpisywania nazwy użytkownika i hasła oraz podawania żadnego dodatkowego czynnika uwierzytelniania. Ta technologia ma zastąpić starsze mechanizmy uwierzytelniania, takie jak hasła.

Gdy użytkownik chce zalogować się w usłudze, która używa kluczy, w wyborze właściwego klucza pomaga mu przeglądarka lub system operacyjny. Przypomina to sposób, w jaki obecnie działają zapisane hasła. System poprosi go o odblokowanie urządzenia, aby mieć pewność, że tylko prawowity właściciel może użyć klucza. Może to być wykonane za pomocą czujnika biometrycznego (np. czytnika linii papilarnych lub rozpoznawania twarzy), kodu PIN lub wzoru.

Aby utworzyć klucz dostępu dla witryny lub aplikacji, użytkownik musi najpierw zarejestrować się w tej witrynie lub aplikacji.

  1. Przejdź do aplikacji i zaloguj się, korzystając z dotychczasowej metody logowania.
  2. Kliknij przycisk Utwórz klucz dostępu.
  3. Sprawdź informacje przechowywane w ramach nowego klucza dostępu.
  4. Aby utworzyć klucz dostępu, odblokuj ekran urządzenia.

Gdy użytkownik wróci do tej witryny lub aplikacji, aby się zalogować, może wykonać te czynności:

  1. Przejdź do aplikacji.
  2. Kliknij pole nazwy konta, aby wyświetlić listę kluczy dostępu w oknie autouzupełniania.
  3. Wybierz klucz dostępu.
  4. Aby dokończyć logowanie, odblokuj ekran urządzenia.

Urządzenie użytkownika generuje podpis na podstawie klucza dostępu. Ten podpis służy do weryfikacji danych logowania między punktem początkowym a kluczem.

Użytkownik może przy użyciu klucza dostępu logować się w usługach na dowolnym urządzeniu niezależnie od tego, gdzie jest on przechowywany. Na przykład klucz utworzony na telefonie komórkowym może służyć do logowania się w witrynie na laptopie.

Jak działają klucze dostępu?

Klucze dostępu powinny być używane przez infrastrukturę systemu operacyjnego, co pozwala menedżerom kluczy dostępu na tworzenie i udostępnianie ich aplikacjom działającym w danym systemie operacyjnym oraz tworzenie ich kopii zapasowych. Na Androidzie klucze dostępu można przechowywać w Menedżerze haseł Google, który synchronizuje klucze między urządzeniami z Androidem, na których jest zalogowany użytkownik zalogowany na to samo konto Google. Klucze są bezpiecznie szyfrowane na urządzeniu przed synchronizacją i wymagają odszyfrowania na nowych urządzeniach. Użytkownicy systemu operacyjnego Android 14 lub nowszego mogą wybrać przechowywanie kluczy dostępu w zgodnym menedżerze haseł innej firmy.

Użytkownicy nie są ograniczeni do używania kluczy tylko na urządzeniu, na którym są dostępni – kluczy dostępu można używać podczas logowania się na laptopie, nawet jeśli klucz nie jest zsynchronizowany z laptopem – o ile telefon znajduje się w pobliżu laptopa, a użytkownik zatwierdza logowanie na telefonie. Klucze dostępu są oparte na standardach FIDO i mogą je obsługiwać wszystkie przeglądarki.

Na przykład użytkownik otwiera stronę example.com w przeglądarce Chrome na komputerze z systemem Windows. Ten użytkownik zalogował się już wcześniej w aplikacji example.com na urządzeniu z Androidem i wygenerował klucz dostępu. Na komputerze z systemem Windows użytkownik decyduje się zalogować się przy użyciu klucza z innego urządzenia. Oba urządzenia zostaną połączone, a użytkownik zostanie poproszony o zgodę na użycie klucza dostępu na urządzeniu z Androidem, na przykład przy użyciu czytnika linii papilarnych. Po wykonaniu tej czynności jest zalogowany na komputerze z systemem Windows. Sam klucz dostępu nie jest przenoszony na komputer z systemem Windows, więc zazwyczaj example.com proponuje utworzenie nowego klucza. Dzięki temu telefon nie będzie wymagany przy następnym logowaniu. Więcej informacji znajdziesz w artykule Logowanie się przez telefon.

Kto używa kluczy dostępu?

Wiele usług korzysta już w swoich systemach z kluczy dostępu.

Zobacz, jak to działa

Wypróbuj klucze dostępu w tej wersji demonstracyjnej: https://passkeys-demo.appspot.com/

Kwestie dotyczące prywatności

  • Ponieważ logowanie się za pomocą danych biometrycznych może spowodować, że użytkownicy będą mieli wrażenie, że wysyłają do serwera informacje poufne. W rzeczywistości materiał biometryczny nigdy nie opuszcza urządzenia osobistego.
  • Same klucze dostępu nie umożliwiają śledzenia użytkowników ani urządzeń między witrynami. Ten sam klucz dostępu nigdy nie jest używany w przypadku więcej niż 1 witryny. Protokoły kluczy dostępu zostały zaprojektowane tak, aby żadne informacje udostępniane witrynom nie mogły być używane jako wektor śledzenia.
  • Menedżerowie kluczy dostępu chronią klucze dostępu przed nieuprawnionym dostępem i używaniem. Na przykład Menedżer haseł Google szyfruje tajne klucze dostępu w pełni. Tylko użytkownik może uzyskiwać do nich dostęp i z nich korzystać. Mimo że kopie zapasowe są zapisane na serwerach Google, Google nie może ich używać do podszywania się pod inne osoby.

Kwestie bezpieczeństwa

  • Klucze dostępu korzystają z kryptografii klucza publicznego. Kryptografia klucza publicznego zmniejsza zagrożenie wynikające z potencjalnych naruszeń bezpieczeństwa danych. Gdy użytkownik tworzy klucz dostępu na stronie lub w aplikacji, na urządzeniu użytkownika jest generowana para kluczy publiczny–prywatny. Witryna przechowuje tylko klucz publiczny, ale tylko to jest bezużyteczne dla atakującego. Osoba przeprowadzająca atak nie może uzyskać klucza prywatnego użytkownika z danych przechowywanych na serwerze, które są wymagane do pełnego uwierzytelnienia.
  • Ponieważ klucze są powiązane z tożsamością witryny lub aplikacji, są chronione przed atakami phishingowymi. Przeglądarka i system operacyjny powodują, że klucza dostępu można używać tylko w witrynie lub aplikacji, która je utworzyła. Dzięki temu użytkownicy nie muszą być odpowiedzialni za logowanie się na oryginalnej stronie lub w aplikacji.

Powiadom mnie

Zasubskrybuj newsletter dla deweloperów kluczy dostępu Google, aby otrzymywać powiadomienia o aktualizacjach kluczy dostępu.

Dalsze kroki