שאלות נפוצות

כללי

מי תומך במפתחות גישה?

מפתחות הגישה מבוססים על תקני FIDO, ולכן הם פועלים ב-Android וב-Chrome, יחד עם הרבה סביבות עסקיות ודפדפנים פופולריים אחרים, כמו Microsoft Windows, Microsoft Edge, macOS, iOS ו-Safari.

בקטע סביבות נתמכות תוכלו לבדוק את סטטוס התמיכה ב-Chrome וב-Android.

האם מפתחות הגישה פועלים במכשירים שלא הוגדרה בהם שיטה לנעילת מסך?

הדבר תלוי בהטמעה של מנהל הסיסמאות, בשאלה אם ספק פרטי הכניסה מאפשר יצירה ואימות של מפתחות גישה ללא אתגר בגורם הידע של המשתמש. ספקים יכולים לבקש מהמשתמשים להגדיר קוד אימות או שיטה ביומטרית של נעילת מסך לפני שהם יוצרים מפתח גישה.

איך אפשר להשתמש במפתחות גישה שרשומים בפלטפורמה אחת (כמו Android) כדי להיכנס לחשבון בפלטפורמות אחרות (כמו אינטרנט או iOS)?

למשל, כדי להיכנס לחשבון בפלטפורמות אחרות באמצעות מפתח גישה שרשום ב-Android, תוכלו לחבר את טלפון Android למכשיר אחר. כדי ליצור חיבור בין שני המכשירים, המשתמשים צריכים לפתוח את האתר שאליו הם מנסים להיכנס במכשיר שלא רשום בו מפתח גישה, לסרוק קוד QR ולאחר מכן לאשר את הכניסה במכשיר שבו הם יצרו את מפתח הגישה (במקרה הזה, מכשיר Android). מפתח הגישה אף פעם לא יוצא ממכשיר Android, לכן בדרך כלל האפליקציות יציעו ליצור מפתח גישה חדש במכשיר השני כדי להקל על הכניסה לחשבון בפעם הבאה. התהליך הזה יפעל באותו אופן גם בפלטפורמות אחרות.

האם אפשר להעביר מפתחות גישה מסונכרנים מספק פלטפורמה אחד לאחר?

מפתחות הגישה נשמרים בספק פרטי הכניסה שהוגדר על ידי הפלטפורמה. בפלטפורמות מסוימות, כמו Android, משתמשים יכולים לבחור את הספק הרצוי (מנהל סיסמאות של מערכת או של צד שלישי) החל מ-Android 14, וייתכן שאפשר יהיה לסנכרן את מפתחות הגישה בפלטפורמות שונות. נכון לעכשיו, אין תמיכה בהעברה של מפתחות גישה ישירות מספק פלטפורמה אחד לספק אחר.

האם משתמש יכול לסנכרן את מפתחות הגישה שלו בין מכשירים שאינם של Google ל-Android?

מפתחות הגישה מסונכרנים רק בסביבה העסקית של המכשיר (כלומר, בין Android ל-Android עם מנהל הסיסמאות של Google כברירת מחדל), אבל לא בסביבה העסקית.

Android פותח את הפלטפורמה (החל מ-Android 14) כדי לאפשר למשתמשים לבחור את ספק פרטי הכניסה הרצוי (למשל, מנהל סיסמאות של צד שלישי). כך תוכלו להשתמש בתרחישים לדוגמה כמו סנכרון של מפתחות גישה בין סביבות עסקיות שונות (בהתאם למידת הפתיחה של פלטפורמות אחרות).

מה המפתחים צריכים לעשות לגבי מכשירים ופלטפורמות שלא תומכים במפתחות גישה?

אנחנו ממליצים למפתחים לשמור את אפשרויות הכניסה הקיימות באפליקציה בינתיים, כדי שהן ימשיכו להיות זמינות במכשירים ובפלטפורמות שלא תומכים במפתחות גישה.

האם התוקף של מפתח גישה יכול לפוג?

לא. האפשרות הזאת תלויה בספק שמאחסן את מפתחות הגישה ואת הגורם המוגבל (RP) (צד ה-Relying), אבל אין שיטה מקובלת להגדיר תפוגת מפתחות.

האם גורם מוגבל (RP) יכול לציין חשבון שבאמצעותו המשתמש יכול להיכנס?

צדדים שלישיים (אפליקציות של צד שלישי) יכולים לאכלס את 'allowCredentials' ברשימה של מזהי פרטי כניסה שנשלחים מהקצה העורפי של האפליקציה שלהם, ולציין באילו מפתחות גישה צריך להשתמש כדי לאמת את המשתמש.

מפתחות גישה ב-Android וב-Chrome

האם אפליקציות ל-Android יכולות להשתמש במפתחות גישה שנוצרו ב-Chrome לצורך אימות?

  • במפתחות גישה שנוצרו ב-Chrome ב-Android:

    כן, מפתחות הגישה שנוצרים ב-Chrome נשמרים במנהל הסיסמאות של Google וזמינים ב-Android, ולהפך, כשהמשתמשים מחוברים לאותו חשבון Google.

  • למפתחות גישה שנוצרו ב-Chrome בפלטפורמות אחרות:

    אם מפתח הגישה נוצר ב-Chrome בפלטפורמות אחרות (Mac, iOS, Windows), אז לא. למידע נוסף, עיינו בסביבות הנתמכות. בינתיים, משתמשים יכולים להשתמש בטלפון שהם יצרו את מפתח הגישה כדי להיכנס לחשבון.

מה קורה לפרטי הכניסה שנוצרו לפני השקת מפתחות הגישה? האם נוכל להמשיך להשתמש בהם?

כן, גם ב-Chrome וגם ב-Android, פרטי כניסה למכשיר שנוצרו לפני שהפעלנו את הסנכרון, זמינים ועדיין אפשר להשתמש בהם לאימות.

מה קורה אם משתמש מאבד את המכשיר?

מפתחות גישה שנוצרו ב-Android מגובים ומסונכרנים עם מכשירי Android שמחוברים לאותו חשבון Google, באותו אופן שבו סיסמאות מגובים במנהל הסיסמאות.

המשמעות היא שמפתחות הגישה של המשתמש הולכים איתם כשהם מחליפים את המכשירים שלהם. כדי להיכנס לאפליקציות בטלפון חדש, כל מה שהמשתמש צריך לעשות הוא לאמת את זהותו באמצעות השיטה לביטול נעילת המסך במכשיר שלו.

האם נדרשת הגדרה של שיטה ביומטרית וגם של קוד אימות או של נעילת מסך במכשיר כדי להיכנס לחשבון עם מפתחות גישה, או האם אחת מהאפשרויות הבאות מספיקה?

שיטת נעילת מסך אחת תספיק.

האם מפתח הגישה קשור לשיטה ספציפית לנעילת מסך, כמו טביעת אצבע, קוד אימות או קו ביטול נעילה?

הדבר תלוי בפלטפורמת המכשיר ובאופן שבו מתבצע אימות המשתמש. במנהל הסיסמאות של Google, מפתחות הגישה לא מקושרים לשיטות אימות ספציפיות ואפשר להשתמש בהם עם כל גורם זמין לנעילת המסך (ביומטרי, קוד אימות או קו ביטול נעילה).

האם גורם מוגבל עדיין יכול ליצור פרטי כניסה מוגבלים למכשיר שלא מסונכרנים?

בינתיים, פרטי כניסה שלא ניתנים לגילוי שנוצרו ב-Chrome ב-Android או באפליקציה ל-Android באמצעות ממשקי ה-API של שירותי Play נותרים ללא שינוי בהתנהגות הנוכחית שלהם, וכך ממשיכים להיות מקושרים למכשיר.

כשמשתמשים במפתחות גישה, תוסף המפתח הציבורי של המכשיר שנמצא בפיתוח הוא מפתח נוסף שקשור למכשיר, שאי אפשר לסנכרן אותו, ואפשר להשתמש בו לניתוח סיכונים. עם זאת, עדיין אי אפשר להשתמש באפשרות הזו באף ספק של פרטי כניסה.

איך פועל הסנכרון של מפתחות גישה למכשיר חדש? האם למשתמשים צריכה להיות גישה למכשיר שבו יצרו מפתח גישה?

ב-Android:

  • אם מפתחות הגישה נשמרו במנהל הסיסמאות של Google, כל מה שהמשתמש צריך לעשות הוא להיכנס למכשיר החדש עם אותו חשבון Google ולאמת את עצמו באמצעות השיטה לביטול נעילת המסך של המכשיר הקודם (קוד אימות, קו ביטול נעילה או קוד גישה). המשתמש לא צריך להתחבר למכשירים אחרים באמצעות המכשיר הקודם.

  • אם מפתחות הגישה נשמרו אצל ספק אחר של פרטי הכניסה, הפעולות שתצטרכו לעשות יהיו תלויות בתהליכי הכניסה במכשירים החדשים של אותו ספק. רוב הספקים של פרטי הכניסה מסנכרנים את פרטי הכניסה לענן ומציעים למשתמשים דרכים לגשת אליהם במכשירים חדשים אחרי שהם מאמתים את עצמם.

פרטיות ואבטחה

האם המידע הביומטרי של המשתמש בטוח?

כן, הנתונים הביומטריים של המשתמשים אף פעם לא נשלחים מהמכשיר ואף פעם לא מאוחסנים בשרת מרכזי שבו ניתן לגנוב אותם במקרה של פריצה.

האם משתמשים יכולים להיכנס למכשיר של חברים באמצעות מפתח גישה בטלפון שלהם?

כן. כדי להיכנס לחשבון, משתמשים יכולים להגדיר 'קישור חד-פעמי' בין הטלפון שלהם למכשיר של מישהו אחר.

האם מפתחות גישה שמאוחסנים במנהל הסיסמאות של Google מוגנים כשחשבון Google של משתמש נפרץ?

כן, הסודות של מפתחות הגישה מוצפנים מקצה לקצה. חשבון Google שנפרץ לא יחשוף מפתחות גישה, כי כדי לפענח את מפתחות הגישה, המשתמשים צריכים גם לבטל את נעילת המסך של מכשיר ה-Android.

מה ההבדל בין מפתחות גישה לבין איחוד שירותי אימות הזהות?

איחוד זהויות מעולה להרשמה לשירות, כי הוא מחזיר את פרטי הפרופיל הבסיסיים של המשתמש, כמו שם וכתובת אימייל מאומתת, כדי לאתחל חשבונות חדשים. מפתחות גישה עוזרים לייעל את reauthentication של המשתמשים.