ورود بدون رمز عبور با کلیدهای عبور

معرفی

کلیدهای عبور جایگزین ایمن تر و آسان تری برای رمز عبور هستند. با کلیدهای عبور، کاربران می توانند با یک حسگر بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا الگو وارد برنامه ها و وب سایت ها شوند و آنها را از به خاطر سپردن و مدیریت گذرواژه ها رها می کند.

توسعه دهندگان و کاربران هر دو از گذرواژه متنفرند: تجربه کاربری ضعیفی را ارائه می دهند، اصطکاک تبدیل را اضافه می کنند و مسئولیت امنیتی هم برای کاربران و هم برای توسعه دهندگان ایجاد می کنند. Google Password Manager در اندروید و کروم اصطکاک را از طریق تکمیل خودکار کاهش می دهد. برای توسعه دهندگانی که به دنبال بهبودهای بیشتر در تبدیل و امنیت هستند، کلیدهای عبور و فدراسیون هویت رویکردهای مدرن این صنعت هستند.

یک رمز عبور می‌تواند الزامات احراز هویت چند عاملی را در یک مرحله برآورده کند، هم رمز عبور و هم OTP (مثلاً کد پیامک 6 رقمی) را جایگزین می‌کند تا محافظت قوی در برابر حملات فیشینگ ایجاد کند و از دردسر UX پیامک یا گذرواژه‌های یکبار مصرف مبتنی بر برنامه جلوگیری کند. از آنجایی که کلیدهای عبور استاندارد هستند، یک پیاده سازی واحد تجربه بدون رمز عبور را در همه دستگاه های کاربران، در مرورگرها و سیستم عامل های مختلف امکان پذیر می کند.

کلیدهای عبور ساده تر هستند:

• کاربران می توانند حسابی را برای ورود به سیستم انتخاب کنند. تایپ نام کاربری الزامی نیست.
• کاربران می توانند با استفاده از قفل صفحه دستگاه مانند حسگر اثر انگشت، تشخیص چهره یا پین احراز هویت کنند.
• هنگامی که یک رمز عبور ایجاد و ثبت می شود، کاربر می تواند به طور یکپارچه به یک دستگاه جدید سوئیچ کند و بلافاصله بدون نیاز به ثبت نام مجدد از آن استفاده کند (برخلاف احراز هویت بیومتریک سنتی، که نیاز به راه اندازی در هر دستگاه دارد).

کلیدهای عبور امن تر هستند:

• توسعه دهندگان فقط یک کلید عمومی را به جای رمز عبور در سرور ذخیره می کنند، به این معنی که برای یک بازیگر بد ارزش بسیار کمتری برای هک کردن سرورها وجود دارد و پاکسازی بسیار کمتری در صورت رخنه انجام می شود.
• کلیدهای عبور از کاربران در برابر حملات فیشینگ محافظت می کنند. کلیدهای عبور فقط در وب سایت ها و برنامه های ثبت شده آنها کار می کنند. کاربر را نمی توان فریب داد تا در یک سایت فریبنده احراز هویت کند زیرا مرورگر یا سیستم عامل تأیید را انجام می دهد.
• کلیدهای عبور هزینه ارسال پیامک را کاهش می دهند و آنها را به وسیله ای امن تر و مقرون به صرفه تر برای احراز هویت دو مرحله ای تبدیل می کنند.

کلیدهای عبور چیست؟

رمز عبور یک اعتبار دیجیتال است که به یک حساب کاربری و یک وب سایت یا برنامه مرتبط است. کلیدهای عبور به کاربران این امکان را می دهند که بدون نیاز به وارد کردن نام کاربری یا رمز عبور، یا ارائه هر گونه فاکتور احراز هویت اضافی، احراز هویت کنند. هدف این فناوری جایگزینی مکانیسم‌های احراز هویت قدیمی مانند رمزهای عبور است .

هنگامی که کاربری می خواهد به سرویسی وارد شود که از کلیدهای عبور استفاده می کند، مرورگر یا سیستم عامل او به او کمک می کند تا کلید عبور مناسب را انتخاب و استفاده کند. این تجربه شبیه به نحوه عملکرد رمزهای عبور ذخیره شده امروزی است. برای اطمینان از اینکه فقط مالک قانونی می تواند از کلید عبور استفاده کند، سیستم از آنها می خواهد که قفل دستگاه خود را باز کنند. این ممکن است با یک حسگر بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا الگو انجام شود.

برای ایجاد رمز عبور برای یک وب سایت یا برنامه، کاربر ابتدا باید در آن وب سایت یا برنامه ثبت نام کند.

1. به برنامه بروید و با استفاده از روش ورود به سیستم وارد شوید.
2. روی دکمه ایجاد رمز عبور کلیک کنید.
3. اطلاعات ذخیره شده با رمز عبور جدید را بررسی کنید.
4. از باز کردن قفل صفحه دستگاه برای ایجاد رمز عبور استفاده کنید.

وقتی برای ورود به این وب‌سایت یا برنامه بازمی‌گردند، می‌توانند مراحل زیر را انجام دهند:

1. به برنامه بروید.
2. روی فیلد نام حساب ضربه بزنید تا لیستی از کلیدهای عبور در گفتگوی تکمیل خودکار نمایش داده شود.
3. رمز عبور آنها را انتخاب کنید.
4. از باز کردن قفل صفحه دستگاه برای تکمیل ورود استفاده کنید.

دستگاه کاربر یک امضا بر اساس رمز عبور تولید می کند. این امضا برای تأیید اعتبار ورود بین مبدا و رمز عبور استفاده می شود.

کاربر می‌تواند بدون در نظر گرفتن جایی که رمز عبور در کجا ذخیره شده است، با استفاده از کلید عبور وارد سرویس‌ها در هر دستگاهی شود. به عنوان مثال، یک رمز عبور ایجاد شده در تلفن همراه می تواند برای ورود به یک وب سایت در یک لپ تاپ جداگانه استفاده شود.

کلیدهای عبور چگونه کار می کنند؟

کلیدهای عبور برای استفاده از طریق زیرساخت سیستم عامل در نظر گرفته شده است که به مدیران کلید عبور اجازه می دهد تا کلیدهای عبور را ایجاد، پشتیبان گیری و در دسترس برنامه های در حال اجرا در آن سیستم عامل قرار دهند. در Android، کلیدهای عبور را می توان در Google Password Manager ذخیره کرد، که کلیدهای عبور را بین دستگاه های Android کاربر که به همان حساب Google وارد شده اند، همگام می کند. کلیدهای عبور قبل از همگام سازی به طور ایمن روی دستگاه رمزگذاری می شوند و نیاز به رمزگشایی آنها در دستگاه های جدید دارد. کاربران دارای سیستم عامل Android 14 یا جدیدتر می توانند رمز عبور خود را در یک مدیر رمز عبور شخص ثالث سازگار ذخیره کنند.

کاربران محدود به استفاده از کلیدهای عبور فقط در دستگاهی نیستند که در آن در دسترس هستند - کلیدهای عبور موجود در تلفن ها را می توان هنگام ورود به لپ تاپ استفاده کرد، حتی اگر کلید عبور با لپ تاپ همگام نشده باشد، تا زمانی که تلفن در دسترس است. نزدیک لپ تاپ و کاربر ورود به گوشی را تایید می کند. از آنجایی که کلیدهای عبور بر اساس استانداردهای FIDO ساخته شده اند، همه مرورگرها می توانند آنها را بکار گیرند.

برای مثال، یک کاربر از example.com در مرورگر Chrome در دستگاه ویندوز خود بازدید می‌کند. این کاربر قبلاً در دستگاه Android خود به example.com وارد شده و یک رمز عبور ایجاد کرده است. در دستگاه ویندوز، کاربر انتخاب می کند که با یک رمز عبور از دستگاه دیگری وارد سیستم شود. این دو دستگاه به هم متصل می شوند و از کاربر خواسته می شود تا استفاده از کلید عبور خود را در دستگاه اندرویدی، به عنوان مثال، با حسگر اثر انگشت تأیید کند. پس از انجام این کار، آنها در دستگاه ویندوز وارد سیستم می شوند. توجه داشته باشید که رمز عبور خود به دستگاه ویندوز منتقل نمی شود، بنابراین به طور معمول example.com پیشنهاد می کند یک رمز عبور جدید در آنجا ایجاد کنید. به این ترتیب، دفعه بعد که کاربر بخواهد وارد سیستم شود، نیازی به تلفن نیست. برای اطلاعات بیشتر ، ورود به سیستم با تلفن را بخوانید.

چه کسی از کلیدهای عبور استفاده می کند؟

تعدادی از سرویس ها در حال حاضر از کلیدهای عبور در سیستم های خود استفاده می کنند.

• DocuSign
• گوگل
  • ابتدای انتهای رمز عبور
  • وبلاگ امنیت آنلاین Google: احراز هویت سریعتر از همیشه: کلیدهای عبور در مقابل رمزهای عبور
  • طراحی تجربه کاربری از کلیدهای عبور در حساب های گوگل
• کایاک
• مرکاری
• NTT Docomo
• پی پال
• Shopify
  • چگونه کلیدهای عبور اصطکاک را در تجربه خرید تجارت الکترونیک کاهش می دهند
  • پشتیبانی از کلیدهای عبور در جریان های احراز هویت فروشگاه
• یاهو ژاپن
  • یاهو احراز هویت بدون رمز عبور ژاپن، درخواست‌ها را 25 درصد کاهش داد، زمان ورود به سیستم را 2.6 برابر افزایش داد.

خودت آن را امتحان کن

می توانید کلیدهای عبور را در این نسخه آزمایشی امتحان کنید: https://passkeys-demo.appspot.com/

ملاحظات حریم خصوصی

• زیرا ورود به سیستم با بیومتریک ممکن است به کاربران این تصور نادرست را بدهد که اطلاعات حساسی را به سرور ارسال می کند. در واقع، مواد بیومتریک هرگز از دستگاه شخصی کاربر خارج نمی‌شوند.
• رمز عبور به تنهایی اجازه ردیابی کاربران یا دستگاه ها را بین سایت ها نمی دهد. رمز عبور یکسان هرگز با بیش از یک سایت استفاده نمی شود. پروتکل های رمز عبور به دقت طراحی شده اند تا هیچ اطلاعاتی که با سایت ها به اشتراک گذاشته می شود نمی تواند به عنوان بردار ردیابی استفاده شود.
• مدیران رمز عبور از کلیدهای عبور از دسترسی و استفاده غیرمجاز محافظت می کنند. برای مثال، Google Password Manager اسرار رمز عبور را به صورت سرتاسر رمزگذاری می‌کند . فقط کاربر می‌تواند به آنها دسترسی داشته باشد و از آنها استفاده کند، و حتی اگر در سرورهای Google پشتیبان‌گیری شده باشد، Google نمی‌تواند از آنها برای جعل هویت کاربران استفاده کند.

ملاحظات امنیتی

• کلیدهای عبور از رمزنگاری کلید عمومی استفاده می کنند. رمزنگاری کلید عمومی تهدید ناشی از نقض احتمالی داده ها را کاهش می دهد. هنگامی که یک کاربر یک رمز عبور با یک سایت یا برنامه ایجاد می کند، این یک جفت کلید عمومی-خصوصی در دستگاه کاربر ایجاد می کند. فقط کلید عمومی توسط سایت ذخیره می شود، اما این به تنهایی برای یک مهاجم بی فایده است. مهاجم نمی تواند کلید خصوصی کاربر را از داده های ذخیره شده در سرور که برای تکمیل احراز هویت لازم است، استخراج کند.
• از آنجا که کلیدهای عبور به هویت یک وب سایت یا برنامه متصل هستند، از حملات فیشینگ در امان هستند. مرورگر و سیستم عامل تضمین می کنند که کلید عبور فقط با وب سایت یا برنامه ای که آنها را ایجاد کرده است قابل استفاده است. این کار کاربران را از مسئولیت ورود به وب‌سایت یا برنامه واقعی آزاد می‌کند.

مطلع شوید

برای اطلاع از به‌روزرسانی‌های کلید عبور، در خبرنامه برنامه‌نویس Google passkeys مشترک شوید.

مراحل بعدی

• پشتیبانی از Passkey در اندروید و کروم
• سوالات متداول (سؤالات متداول)
• موارد استفاده کنید
• راهنمای توسعه دهنده Passkeys برای طرف های متکی
• با نحوه ورود به برنامه Android با استفاده از Credential Manager آشنا شوید