معرفی
کلیدهای عبور جایگزینی امن تر و آسان تر برای رمزهای عبور هستند. با کلیدهای عبور، کاربران می توانند با یک حسگر بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا الگو وارد برنامه ها و وب سایت ها شوند و آنها را از به خاطر سپردن و مدیریت گذرواژه ها رها می کند.
یک رمز عبور می تواند در یک مرحله جایگزین رمز عبور و عامل دوم شود. تجربه کاربری می تواند به سادگی پر کردن خودکار فرم رمز عبور باشد. کلیدهای عبور برخلاف پیامک یا گذرواژههای یکبار مصرف مبتنی بر برنامه، محافظت قوی در برابر حملات فیشینگ ارائه میکنند. از آنجایی که کلیدهای عبور استاندارد هستند، یک پیاده سازی واحد تجربه بدون رمز عبور را در مرورگرها و سیستم عامل های مختلف امکان پذیر می کند.
کلیدهای عبور چیست؟
رمز عبور یک اعتبار دیجیتال است که به یک حساب کاربری و یک وب سایت یا برنامه مرتبط است. کلیدهای عبور به کاربران اجازه می دهند بدون نیاز به وارد کردن نام کاربری، رمز عبور یا ارائه هر عامل احراز هویت اضافی، احراز هویت کنند. هدف این فناوری جایگزینی مکانیسمهای احراز هویت قدیمی مانند رمزهای عبور است .
هنگامی که کاربری می خواهد به سرویسی وارد شود که از کلیدهای عبور استفاده می کند، مرورگر یا سیستم عامل او به او کمک می کند تا کلید عبور مناسب را انتخاب و استفاده کند. این تجربه شبیه به نحوه عملکرد رمزهای عبور ذخیره شده امروزی است. برای اطمینان از اینکه فقط مالک قانونی می تواند از کلید عبور استفاده کند، سیستم از آنها می خواهد که قفل دستگاه خود را باز کنند. این ممکن است با یک حسگر بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا الگو انجام شود.
برای ایجاد رمز عبور برای یک وب سایت یا برنامه، کاربر ابتدا باید در آن وب سایت یا برنامه ثبت نام کند.
- به برنامه بروید و با استفاده از روش ورود به سیستم وارد شوید.
- روی دکمه ایجاد رمز عبور کلیک کنید.
- اطلاعات ذخیره شده با رمز عبور جدید را بررسی کنید.
- از باز کردن قفل صفحه دستگاه برای ایجاد رمز عبور استفاده کنید.
وقتی برای ورود به این وبسایت یا برنامه بازمیگردند، میتوانند مراحل زیر را انجام دهند:
- به برنامه بروید.
- روی Sign in کلیک کنید.
- رمز عبور آنها را انتخاب کنید.
- از باز کردن قفل صفحه دستگاه برای تکمیل ورود استفاده کنید.
دستگاه کاربر یک امضا بر اساس رمز عبور تولید می کند. این امضا برای تأیید اعتبار ورود بین مبدا و رمز عبور استفاده می شود.
کاربر میتواند بدون در نظر گرفتن جایی که رمز عبور در کجا ذخیره شده است، با استفاده از کلید عبور وارد سرویسها در هر دستگاهی شود. به عنوان مثال، یک رمز عبور ایجاد شده در تلفن همراه می تواند برای ورود به یک وب سایت در یک لپ تاپ جداگانه استفاده شود.
کلیدهای عبور چگونه کار می کنند؟
در نظر گرفته شده است که کلیدهای عبور از طریق زیرساخت سیستم عامل استفاده شوند که به مدیران کلید عبور اجازه می دهد تا کلیدهای عبور را ایجاد، پشتیبان گیری کنند و برای برنامه های در حال اجرا در آن سیستم عامل در دسترس قرار دهند. در Chrome در Android، کلیدهای عبور در Google Password Manager ذخیره میشوند که کلیدهای عبور را بین دستگاههای Android کاربر که به همان حساب Google وارد شدهاند همگامسازی میکند.
کاربران محدود به استفاده از کلیدهای عبور فقط در دستگاهی نیستند که در آن ذخیره می شوند - کلیدهای رمز ذخیره شده در تلفن ها را می توان هنگام ورود به لپ تاپ استفاده کرد، حتی اگر کلید عبور با لپ تاپ همگام سازی نشده باشد، تا زمانی که تلفن همراه باشد. نزدیک لپ تاپ و کاربر ورود به گوشی را تایید می کند. از آنجایی که کلیدهای عبور بر اساس استانداردهای FIDO ساخته شده اند، همه مرورگرها می توانند آنها را بکار گیرند.
به عنوان مثال، یک کاربر از example.com
در Chromebook خود بازدید می کند. این کاربر قبلاً در دستگاه iOS خود به example.com
وارد شده و یک رمز عبور ایجاد کرده است. در Chromebook، کاربر انتخاب میکند که با کلید عبور از دستگاه دیگری وارد سیستم شود. دو دستگاه به هم متصل می شوند و از کاربر خواسته می شود تا استفاده از کلید عبور خود را در دستگاه iOS تأیید کند، به عنوان مثال، با FaceID. پس از انجام این کار، آنها در Chromebook وارد سیستم می شوند. توجه داشته باشید که خود کلید عبور به Chromebook منتقل نمیشود، بنابراین به طور معمول example.com
پیشنهاد میکند یک کلید عبور جدید در آنجا ایجاد کند. به این ترتیب، دفعه بعد که کاربر بخواهد وارد سیستم شود، نیازی به تلفن نیست. برای اطلاعات بیشتر ، ورود به سیستم با تلفن را بخوانید.
ملاحظات حریم خصوصی
- برخی از کاربران ممکن است تعجب کنند اگر یک احراز هویت بیومتریک به طور ناگهانی در یک وب سایت یا یک برنامه ظاهر شود و فکر کنند این اطلاعات حساس را به سرور ارسال می کند. با کلیدهای عبور، اطلاعات بیومتریک کاربر هرگز برای وب سایت یا برنامه فاش نمی شود. مواد بیومتریک هرگز از دستگاه شخصی کاربر خارج نمی شوند.
- رمز عبور به تنهایی اجازه ردیابی کاربران یا دستگاه ها را بین سایت ها نمی دهد. رمز عبور یکسان هرگز با بیش از یک سایت استفاده نمی شود. پروتکل های رمز عبور به دقت طراحی شده اند تا هیچ اطلاعاتی که با سایت ها به اشتراک گذاشته می شود نمی تواند به عنوان بردار ردیابی استفاده شود.
- مدیران رمز عبور از کلیدهای عبور از دسترسی و استفاده غیرمجاز محافظت می کنند. برای مثال، Google Password Manager اسرار رمز عبور را به صورت سرتاسر رمزگذاری میکند . فقط کاربر میتواند به آنها دسترسی داشته باشد و از آنها استفاده کند، و حتی اگر در سرورهای Google پشتیبانگیری شده باشد، Google نمیتواند از آنها برای جعل هویت کاربران استفاده کند.
ملاحظات امنیتی
- کلیدهای عبور از رمزنگاری کلید عمومی استفاده می کنند. رمزنگاری کلید عمومی تهدید ناشی از نقض احتمالی داده ها را کاهش می دهد. هنگامی که یک کاربر یک رمز عبور با یک سایت یا برنامه ایجاد می کند، این یک جفت کلید عمومی-خصوصی در دستگاه کاربر ایجاد می کند. فقط کلید عمومی توسط سایت ذخیره می شود، اما این به تنهایی برای یک مهاجم بی فایده است. مهاجم نمی تواند کلید خصوصی کاربر را از داده های ذخیره شده در سرور که برای تکمیل احراز هویت لازم است، استخراج کند.
- از آنجا که کلیدهای عبور به هویت یک وب سایت یا برنامه متصل هستند، از حملات فیشینگ در امان هستند. مرورگر و سیستم عامل تضمین می کنند که کلید عبور فقط با وب سایت یا برنامه ای که آنها را ایجاد کرده است قابل استفاده است. این کار کاربران را از مسئولیت ورود به وبسایت یا برنامه واقعی آزاد میکند.
مطلع شوید
برای اطلاع از بهروزرسانیهای کلید عبور، در خبرنامه برنامهنویس Google passkeys مشترک شوید.
مراحل بعدی
- با نحوه ایجاد یک رمز عبور برای ورود بدون رمز عبور در وب آشنا شوید
- بیاموزید که چگونه به کاربران اجازه دهید با یک کلید عبور از طریق تکمیل خودکار فرم در وب وارد سیستم شوند
- با نحوه ورود به برنامه Android با استفاده از Credential Manager آشنا شوید