Ogólne
Kto obsługuje klucze dostępu?
Ponieważ klucze dostępu są oparte na standardach FIDO, działają na Androidzie i w Chrome oraz w wielu innych popularnych ekosystemach i przeglądarkach, takich jak Microsoft Windows, Microsoft Edge, macOS, iOS i Safari.
Informacje o stanie obsługi w Chrome i Androidzie znajdziesz w sekcji Obsługiwane środowiska.
Czy klucze dostępu działają na urządzeniach, które nie mają skonfigurowanej metody blokady ekranu?
Zależy to od implementacji menedżera haseł oraz tego, czy dostawca danych logowania zezwala na tworzenie kluczy dostępu i uwierzytelnianie bez konieczności przeprowadzania testu wiedzy z uwzględnieniem współczynnika wiedzy użytkownika. Dostawcy mogą poprosić użytkowników o ustawienie kodu PIN lub biometrycznej blokady ekranu przed utworzeniem klucza.
W jaki sposób można używać kluczy dostępu zarejestrowanych na jednej platformie (np. Androidzie) do logowania się na innych platformach (np. w internecie lub na iOS)?
Na przykład klucz zarejestrowany na Androidzie umożliwia logowanie się na innych platformach przez połączenie telefonu z Androidem z innym urządzeniem. Aby nawiązać połączenie między 2 urządzeniami, użytkownicy muszą otworzyć stronę, na której próbują się zalogować na urządzeniu bez zarejestrowanego klucza dostępu, zeskanować kod QR, a potem potwierdzić logowanie na urządzeniu, na którym utworzyli klucz (w tym przypadku na urządzeniu z Androidem). Klucz dostępu nigdy nie opuszcza urządzenia z Androidem, więc zwykle aplikacje zalecają utworzenie nowego klucza na drugim urządzeniu, aby następnym razem ułatwić logowanie. Będzie to działać podobnie na innych platformach.
Czy mogę przenieść zsynchronizowane klucze dostępu z jednego dostawcy platformy do innego?
Klucze są zapisywane u dostawcy danych logowania zdefiniowanego przez platformę. Niektóre platformy, takie jak Android, umożliwiają użytkownikom wybór dostawcy (systemu lub menedżera haseł innej firmy) na urządzeniach z Androidem 14, który może synchronizować klucze dostępu na różnych platformach. Obecnie nie można przenosić kluczy dostępu bezpośrednio od jednego dostawcy platformy do innego.
Czy użytkownik może synchronizować swoje klucze dostępu na urządzeniach z Androidem innych niż Google?
Klucze dostępu są synchronizowane tylko w ekosystemie urządzenia (domyślnie z Androidem za pomocą Menedżera haseł Google), ale nie w całym ekosystemie.
Android otwiera platformę (od wersji Androida 14), aby umożliwić użytkownikom wybór dostawcy danych logowania, z którego chcą korzystać (np. zewnętrznego menedżera haseł). Umożliwi to korzystanie z takich zastosowań jak synchronizacja kluczy dostępu między różnymi ekosystemami (w zależności od tego, jak otwarte są inne platformy).
Co deweloperzy powinni zrobić z urządzeniami i platformami, które nie obsługują kluczy dostępu?
Zalecamy deweloperom zachowanie dotychczasowych opcji logowania na razie w aplikacji. Dzięki temu będą one nadal dostępne na urządzeniach i platformach, które nie obsługują kluczy dostępu.
Czy klucz dostępu może wygasnąć?
Nie. Zależy to od dostawcy, który przechowuje klucze dostępu i strony objętej ograniczeniami, ale nie ma metody związanej z wygasaniem kluczy dostępu.
Czy grupa z ograniczonym dostępem może określić konto, za pomocą którego użytkownik będzie się logować?
Podmioty uzależnione (aplikacje innych firm) mogą wypełnić pole „allowCredentials” listą identyfikatorów danych logowania wysłanych z backendu aplikacji, wskazujących, których kluczy dostępu należy użyć do uwierzytelnienia użytkownika.
Klucze dostępu na Androidzie i w Chrome
Czy aplikacje na Androida mogą używać do uwierzytelniania kluczy dostępu utworzonych w Chrome?
W przypadku kluczy utworzonych w Chrome na Androidzie:
Tak. Klucze dostępu utworzone w Chrome są zapisywane w Menedżerze haseł Google i dostępne na Androidzie, jeśli użytkownicy są zalogowani na to samo konto Google.
W przypadku kluczy utworzonych w Chrome na innych platformach:
Jeśli klucz dostępu został utworzony w Chrome na innych platformach (Mac, iOS lub Windows), nie odpowiadaj. Sprawdź obsługiwane środowiska, aby dowiedzieć się więcej. W międzyczasie użytkownicy mogą logować się za pomocą telefonu, na którym utworzono klucz.
Co się stanie z danymi logowania utworzonymi przed wprowadzeniem kluczy dostępu? Czy możemy nadal z nich korzystać?
Tak. Zarówno w Chrome, jak i na Androidzie dane logowania na urządzeniu utworzone przed włączeniem synchronizacji są dostępne i nadal mogą być używane do uwierzytelniania.
Co się stanie, jeśli użytkownik straci swoje urządzenie?
Kopie zapasowe kluczy utworzonych na Androidzie są tworzone i synchronizowane z urządzeniami z Androidem zalogowanymi na to samo konto Google tak samo jak kopie zapasowe haseł są tworzone w menedżerze haseł.
Oznacza to, że klucze dostępu użytkownika są przenoszone razem z nim w momencie wymiany urządzenia. Aby zalogować się w aplikacjach na nowym telefonie, użytkownik musi tylko potwierdzić swoją tożsamość za pomocą dotychczasowej blokady ekranu.
Czy do logowania się za pomocą kluczy dostępu wymagane jest skonfigurowanie na urządzeniu zarówno biometrycznej blokady ekranu, jak i kodu PIN lub wzoru, czy wystarczy jedno z tych ustawień?
Wystarczy 1 metoda blokady ekranu.
Czy klucz dostępu jest powiązany z określoną metodą blokowania ekranu, np. z odciskiem palca, kodem PIN lub wzorem?
Zależy to od platformy urządzenia i sposobu przeprowadzania weryfikacji użytkownika. W przypadku Menedżera haseł Google klucze dostępu nie są powiązane z żadną konkretną metodą uwierzytelniania i można ich używać z dowolnym dostępnym współczynnikiem blokady ekranu (biometrycznym, kodem PIN lub wzorem).
Czy grupa z ograniczonym dostępem może tworzyć dane logowania powiązane z urządzeniem, które nie są synchronizowane?
Obecnie niewykrywalne dane logowania utworzone w Chrome na Androidzie lub w aplikacji na Androida korzystającej z interfejsów API Usług Google Play zachowują dotychczasowe zachowanie i dzięki temu są powiązane z urządzeniem.
W przypadku używania kluczy dostępu rozwijanie klucza publicznego urządzenia, które jest w trakcie opracowywania, to drugi klucz powiązany z urządzeniem, który nie jest synchronizowany i może służyć do analizy ryzyka. Ta metoda nie jest jeszcze obsługiwana przez żadnego dostawcę danych logowania.
Jak działa synchronizacja kluczy dostępu z nowym urządzeniem? Czy użytkownicy muszą mieć dostęp do urządzenia, na którym utworzyli klucz dostępu?
W aplikacji na Androida:
Jeśli klucze dostępu zostały zapisane w Menedżerze haseł Google, użytkownik musi tylko zalogować się na nowym urządzeniu za pomocą tego samego konta Google i potwierdzić tożsamość za pomocą blokady ekranu poprzedniego urządzenia (kodu PIN, wzoru lub kodu dostępu). Poprzednie urządzenie nie jest wymagane, aby użytkownik mógł się logować na innych urządzeniach.
Jeśli klucze dostępu zostały zapisane u innego dostawcy danych uwierzytelniających, będzie to zależało od przepływów logowania na nowych urządzeniach tego dostawcy. Większość dostawców danych logowania synchronizuje dane logowania z chmurą i oferuje użytkownikom możliwość uzyskania do nich dostępu na nowych urządzeniach po uwierzytelnieniu się.
Prywatność i bezpieczeństwo
Czy dane biometryczne użytkownika są bezpieczne?
Tak, dane biometryczne użytkownika nigdy nie opuszczają urządzenia i nigdy nie są przechowywane na centralnym serwerze, na którym mogą zostać skradzione w wyniku naruszenia bezpieczeństwa.
Czy użytkownik może zalogować się na urządzeniu znajomego przy użyciu klucza dostępu na telefonie?
Tak. Użytkownicy mogą skonfigurować „jednorazowe połączenie” między swoim telefonem a urządzeniem innej osoby na potrzeby logowania.
Czy klucze dostępu przechowywane w Menedżerze haseł Google są chronione, jeśli konto Google użytkownika zostanie przejęte?
Tak. Klucze tajne klucza są w pełni szyfrowane. Przejęte konto Google nie ujawnia kluczy dostępu, ponieważ użytkownicy muszą odblokować ekran urządzenia z Androidem, aby odszyfrować klucze.
Powiązane artykuły
Czym różnią się klucze dostępu z federacją tożsamości?
Federacja tożsamości doskonale nadaje się do rejestrowania w usługach, ponieważ zwraca podstawowe informacje z profilu użytkownika, takie jak imię i nazwisko oraz zweryfikowany adres e-mail, które pomagają w uruchamianiu nowych kont. Klucze dostępu usprawniają reauthentication użytkowników.