Wprowadzenie
Klucze są bezpieczniejszym i łatwiejszym sposobem wymiany haseł. Za pomocą kluczy użytkownicy mogą logować się w aplikacjach i witrynach za pomocą czujnika biometrycznego (np. odcisku palca lub rozpoznawania twarzy), kodu PIN lub wzoru, co pozwala uniknąć zapamiętywania haseł i zarządzania nimi.
Klucz może zastąpić hasło i drugi czynnik w jednym kroku. Korzystanie z niego może być równie proste jak automatyczne wypełnianie formularza hasła. Klucze, w przeciwieństwie do SMS-ów i haseł jednorazowych, są jednorazowe zabezpieczenia przed phishingiem. Ponieważ klucze są ustandaryzowane, jedna implementacja umożliwia korzystanie z hasła w różnych przeglądarkach i systemach operacyjnych bez hasła.
Co to są klucze?
Klucz to cyfrowe dane logowania powiązane z kontem użytkownika i witryną lub aplikacją. Klucze umożliwiają uwierzytelnianie użytkownika bez konieczności podawania nazwy użytkownika i hasła ani podawania dodatkowego czynnika uwierzytelniania. Ta technologia ma na celu zastępowanie starszych mechanizmów uwierzytelniania, takich jak hasła.
Gdy użytkownik chce zalogować się w usłudze, która korzysta z kluczy, jego przeglądarka lub system operacyjny pomogą mu wybrać odpowiedni klucz i go używać. Działanie usługi działa podobnie do zapisanych haseł. Aby mieć pewność, że tylko uprawniony właściciel może używać klucza, system poprosi go o odblokowanie urządzenia. Możesz to zrobić za pomocą czujnika biometrycznego (np. odcisku palca lub rozpoznawania twarzy), kodu PIN lub wzoru.
Aby utworzyć klucz dla witryny lub aplikacji, użytkownik musi najpierw zarejestrować się w tej witrynie lub aplikacji.
- Otwórz aplikację i zaloguj się, korzystając z istniejącej metody logowania.
- Kliknij przycisk Utwórz klucz.
- Sprawdź informacje zapisane nowym kluczem.
- Użyj klucza blokady urządzenia, aby utworzyć klucz.
Gdy wrócą na tę stronę lub do aplikacji, aby się zalogować, mogą wykonać te czynności:
- Otwórz aplikację.
- Kliknij Zaloguj się.
- Wybierz klucz.
- Do odblokowania ekranu użyj blokady ekranu urządzenia.
Urządzenie użytkownika generuje podpis na podstawie klucza. Ten podpis służy do weryfikowania danych logowania między źródłem a kluczem.
Za pomocą klucza użytkownik może logować się do usług na dowolnym urządzeniu niezależnie od tego, gdzie jest przechowywany klucz. Możesz na przykład użyć klucza utworzonego na telefonie komórkowym, aby zalogować się na stronie internetowej na innym laptopie.
Jak działają klucze?
Klucze są używane do użytku w infrastrukturze systemu operacyjnego, która umożliwia menedżerom kluczy tworzenie, tworzenie kopii zapasowych i udostępnianie kluczy aplikacjom działającym w tym systemie operacyjnym. W Chrome na Androidzie klucze są przechowywane w Menedżerze haseł Google, który synchronizuje klucze między urządzeniami z Androidem użytkownika zalogowanymi na to samo konto Google.
Użytkownicy nie mogą używać kluczy wyłącznie na urządzeniu, w którym są przechowywane. Klucze zapisane na telefonie mogą służyć do logowania się na laptopie, nawet jeśli klucz nie znajduje się na laptopie i użytkownik zatwierdza logowanie na telefonie. Klucze są tworzone na podstawie standardów FIDO, dzięki czemu mogą być stosowane przez wszystkie przeglądarki.
Na przykład użytkownik odwiedza stronę example.com
na swoim Chromebooku. Ten użytkownik zalogował się wcześniej w aplikacji example.com
na swoim urządzeniu z iOS i wygenerował klucz. Na Chromebooku użytkownik loguje się za pomocą klucza z innego urządzenia. Oba urządzenia połączą się, a użytkownik zobaczy prośbę o zatwierdzenie użycia klucza na urządzeniu z iOS, na przykład przy użyciu FaceID.
Gdy to zrobisz, zaloguje się na Chromebooku. Sam klucz nie zostaje przeniesiony na Chromebooka, dlatego example.com
zwykle proponuje utworzenie nowego klucza. Dzięki temu następnym razem, gdy użytkownik będzie chciał się zalogować, nie będzie trzeba używać telefonu. Więcej informacji znajdziesz w artykule Logowanie się za pomocą telefonu.
Prywatność
- Niektórzy użytkownicy mogą się zdziwić, gdy uwierzytelnianie biometryczne pojawi się na stronie lub w aplikacji i uważa, że wysyła do serwera informacje poufne. W przypadku kluczy informacje biometryczne użytkowników nigdy nie są ujawniane w witrynie ani aplikacji. Materiał biometryczny nigdy nie opuszcza urządzenia użytkownika.
- Same kluczy nie pozwalają na śledzenie użytkowników lub urządzeń między witrynami. Tego samego klucza nigdy nie używa się z więcej niż jedną witryną. Protokoły kluczy są zaprojektowane tak, aby żadne informacje udostępnione witrynom nie mogły być używane jako wektory śledzenia.
- Menedżer kluczy chroni klucze przed nieuprawnionym dostępem i użyciem. Na przykład Menedżer haseł Google w pełni szyfruje obiekty tajne klucza. Tylko użytkownik ma do nich dostęp i może ich używać, mimo że ich kopie zapasowe są tworzone na serwerach Google, Google nie może ich używać do podszywania się pod użytkowników.
Bezpieczeństwo
- Klucze korzystają z kryptografii kluczy publicznych. Kryptografia klucza publicznego zmniejsza ryzyko wystąpienia naruszeń bezpieczeństwa danych. Gdy użytkownik tworzy klucz ze stroną lub aplikacją, na urządzeniu użytkownika jest generowana para kluczy publiczny-prywatny. Witryna przechowuje tylko klucz publiczny, który jednak nie jest przydatny dla atakującego. Atakujący nie może uzyskać klucza prywatnego użytkownika na podstawie danych przechowywanych na serwerze, co jest wymagane do ukończenia uwierzytelniania.
- Klucze są powiązane z tożsamością witryny lub aplikacji, dlatego nie są chronione przed phishingiem. Przeglądarka i system operacyjny gwarantują, że klucza można używać tylko w witrynie lub aplikacji, w której zostały utworzone. Dzięki temu użytkownicy nie muszą logować się na prawdziwej stronie lub w aplikacji.
Powiadomienia
Zasubskrybuj newsletter od dewelopera kluczy Google, aby otrzymywać powiadomienia o aktualizacjach kluczy.
Dalsze kroki
- Dowiedz się, jak utworzyć klucz do logowania bez hasła w internecie
- Dowiedz się, jak umożliwić użytkownikom logowanie się przy użyciu klucza za pomocą autouzupełniania formularzy w internecie
- Dowiedz się, jak zalogować się w aplikacji na Androida przy użyciu Menedżera danych logowania.