Geral
Quem oferece suporte para chaves de acesso?
Como as chaves de acesso são baseadas em padrões FIDO, elas funcionam no Android e no Chrome, com muitos outros ecossistemas e navegadores conhecidos, como Microsoft Windows, Microsoft Edge, macOS, iOS e Safari.
Consulte Ambientes compatíveis para verificar o status do suporte no Chrome e no Android.
As chaves de acesso funcionam em dispositivos que não têm um método de bloqueio de tela configurado?
Isso depende da implementação do gerenciador de senhas e se um provedor de credenciais permite a criação e a autenticação de chaves de acesso sem um desafio do fator de conhecimento do usuário. Os provedores podem solicitar que os usuários configurem um PIN ou um bloqueio de tela biométrico antes de criar uma chave de acesso.
Como as chaves de acesso registradas em uma plataforma (como o Android) podem ser usadas para fazer login em outras plataformas (como Web ou iOS)?
Uma chave de acesso registrada no Android, por exemplo, pode ser usada para fazer login em outras plataformas conectando o smartphone Android a outro dispositivo. Para estabelecer uma conexão entre os dois dispositivos, os usuários precisam abrir o site em que estão tentando fazer login em um dispositivo que não tem uma chave de acesso registrada, ler um código QR e confirmar o login no dispositivo em que a chave de acesso foi criada (neste caso, o dispositivo Android). A chave de acesso nunca sai do dispositivo Android. Por isso, normalmente os apps sugerem a criação de uma nova chave de acesso no outro dispositivo para facilitar o próximo login. Esse fluxo funcionará de maneira semelhante em outras plataformas também.
Posso mover chaves de acesso sincronizadas de um provedor de plataforma para outro?
As chaves de acesso são salvas no provedor de credenciais definido pela plataforma. Algumas plataformas, como o Android, permitem que os usuários escolham o provedor que preferirem (um gerenciador de senhas do sistema ou de terceiros) a partir do Android 14, que pode sincronizar chaves de acesso em diferentes plataformas. No momento, não é possível mover chaves de acesso diretamente de um provedor de plataforma para outro.
Um usuário pode sincronizar as chaves de acesso em dispositivos Android que não sejam do Google?
As chaves de acesso só são sincronizadas no ecossistema do dispositivo, ou seja, do Android para o Android com o Gerenciador de senhas do Google por padrão, mas não em todo o ecossistema.
O Android está abrindo a plataforma (a partir do Android 14) para permitir que os usuários selecionem qual provedor de credenciais eles querem usar, como um gerenciador de senhas de terceiros. Isso permitirá casos de uso, como sincronizar chaves de acesso entre ecossistemas diferentes, dependendo de quão abertas outras plataformas estejam.
O que os desenvolvedores precisam fazer sobre dispositivos e plataformas que não oferecem suporte a chaves de acesso?
Recomendamos que os desenvolvedores mantenham as opções de login existentes nos apps por enquanto para que elas continuem disponíveis para dispositivos e plataformas que não oferecem suporte a chaves de acesso.
Uma chave de acesso pode expirar?
Não. Isso depende do provedor que armazena as chaves de acesso e da RP (parte confiável), mas não há uma prática comum para expirar as chaves de acesso.
A parte restrita pode especificar uma conta para o usuário fazer login?
As partes confiáveis (apps de terceiros) podem preencher allowCredentials com uma lista de IDs de credenciais enviadas do back-end do app, indicando quais chaves de acesso precisam ser usadas para autenticar o usuário.
Chaves de acesso no Android e no Chrome
Os apps Android podem usar chaves de acesso criadas no Chrome para autenticação?
Para chaves de acesso criadas no Chrome no Android:
Sim, as chaves de acesso criadas no Chrome são salvas no Gerenciador de senhas do Google e disponíveis no Android e vice-versa quando os usuários fazem login na mesma Conta do Google.
Para chaves de acesso criadas no Chrome em outras plataformas:
Se a chave de acesso for criada no Chrome em outras plataformas (Mac, iOS, Windows), não. Confira os ambientes compatíveis para mais informações. Enquanto isso, os usuários podem usar o smartphone em que criaram a chave de acesso para fazer login.
O que acontece com as credenciais criadas antes da introdução das chaves de acesso? Podemos continuar a usá-los?
Sim, no Chrome e no Android, as credenciais vinculadas ao dispositivo criadas antes de ativarmos a sincronização estão disponíveis e ainda podem ser usadas para autenticação.
O que acontece se um usuário perder o dispositivo?
As chaves de acesso criadas no Android são salvas em backup e sincronizadas com dispositivos Android conectados à mesma Conta do Google, da mesma forma que as senhas são armazenadas em backup no gerenciador de senhas.
Isso significa que as chaves de acesso do usuário são usadas na troca do dispositivo. Para fazer login em apps em um novo smartphone, o usuário só precisa fazer a verificação usando o bloqueio de tela do dispositivo atual.
A configuração biométrica e o bloqueio de tela por PIN ou padrão são necessários para fazer login com chaves de acesso no dispositivo ou basta fazer isso?
Um método de bloqueio de tela é suficiente.
A chave de acesso está vinculada a um método de bloqueio de tela específico, como impressão digital, PIN ou padrão?
Isso depende da plataforma do dispositivo e de como eles executam a verificação do usuário. No caso do Gerenciador de senhas do Google, as chaves de acesso não são vinculadas a nenhum método de autenticação específico e podem ser usadas com qualquer fator de bloqueio de tela disponível (biométrico, PIN ou padrão).
Um RP ainda pode criar credenciais vinculadas ao dispositivo que não sejam sincronizadas?
Por enquanto, as credenciais não detectáveis criadas no Chrome no Android ou em um app Android usando as APIs do Google Play Services, mantêm o comportamento já existente e, portanto, continuam vinculadas ao dispositivo.
Ao usar chaves de acesso, a extensão de chave pública do dispositivo que está em desenvolvimento é uma segunda chave vinculada ao dispositivo que não vai ser sincronizada e pode ser usada para análise de risco. No entanto, nenhum provedor de credenciais ainda oferece suporte para isso.
Como funciona a sincronização de chaves de acesso com um novo dispositivo? Os usuários precisam ter acesso ao dispositivo em que criaram uma chave de acesso?
No Android, siga estas etapas:
Se as chaves de acesso tiverem sido salvas no Gerenciador de senhas do Google, o usuário só precisará fazer login no novo dispositivo com a mesma Conta do Google e fazer a verificação com o bloqueio de tela do dispositivo anterior (PIN, padrão ou senha). O dispositivo anterior não é necessário para o login em outros dispositivos.
Se as chaves de acesso foram salvas em um provedor de credenciais diferente, isso vai depender dos fluxos de login em novos dispositivos desse provedor. A maioria dos provedores de credenciais sincroniza as credenciais com a nuvem e oferece maneiras para que os usuários as acessem em novos dispositivos depois de se autenticarem.
Privacidade e segurança
As informações biométricas do usuário estão seguras?
Sim, os dados biométricos do usuário nunca saem do dispositivo e nunca são armazenados em um servidor central onde podem ser roubados em uma violação.
Um usuário pode fazer login no dispositivo de um amigo usando uma chave de acesso no smartphone?
Sim. Os usuários podem configurar um "link único" entre o smartphone e o dispositivo de outra pessoa para fazer login.
As chaves de acesso armazenadas no Gerenciador de senhas do Google serão protegidas se a Conta do Google de um usuário for comprometida?
Sim, os secrets da chave de acesso são criptografados de ponta a ponta. Uma Conta do Google comprometida não exporia as chaves de acesso, porque os usuários também precisam desbloquear a tela do dispositivo Android para descriptografar.
Temas relacionados
Qual é a diferença entre as chaves de acesso e a federação de identidade?
A federação de identidade é ótima para se inscrever em um serviço, já que retorna as informações básicas do perfil do usuário, como nome e endereço de e-mail verificado, o que ajuda a inicializar novas contas. As chaves de acesso são ótimas para simplificar a reauthentication dos usuários.