ورود بدون رمز عبور با کلیدهای عبور

با مجموعه‌ها، منظم بمانید ذخیره و دسته‌بندی محتوا براساس اولویت‌های شما.

کلیدهای عبور

مقدمه

کلیدهای عبور جایگزینی امن تر و آسان تر برای رمزهای عبور هستند. با کلیدهای عبور، کاربران می توانند با یک حسگر بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا الگو وارد برنامه ها و وب سایت ها شوند و آنها را از به خاطر سپردن و مدیریت گذرواژه ها رها می کند.

یک رمز عبور می تواند در یک مرحله جایگزین رمز عبور و عامل دوم شود. تجربه کاربری می تواند به سادگی پر کردن خودکار فرم رمز عبور باشد. کلیدهای عبور برخلاف پیامک یا گذرواژه‌های یکبار مصرف مبتنی بر برنامه، محافظت قوی در برابر حملات فیشینگ ارائه می‌کنند. از آنجایی که کلیدهای عبور استاندارد هستند، یک پیاده سازی واحد تجربه بدون رمز عبور را در مرورگرها و سیستم عامل های مختلف امکان پذیر می کند.

کلیدهای عبور چیست؟

رمز عبور یک اعتبار دیجیتال است که به یک حساب کاربری و یک وب سایت یا برنامه مرتبط است. کلیدهای عبور به کاربران اجازه می دهند بدون نیاز به وارد کردن نام کاربری، رمز عبور یا ارائه هر عامل احراز هویت اضافی، احراز هویت کنند. هدف این فناوری جایگزینی مکانیسم‌های احراز هویت قدیمی مانند رمزهای عبور است.

هنگامی که کاربری می خواهد به سرویسی وارد شود که از کلیدهای عبور استفاده می کند، مرورگر یا سیستم عامل او به او کمک می کند تا کلید عبور مناسب را انتخاب و استفاده کند. این تجربه شبیه به نحوه عملکرد رمزهای عبور ذخیره شده امروزی است. برای اطمینان از اینکه فقط مالک قانونی می تواند از کلید عبور استفاده کند، سیستم از آنها می خواهد که قفل دستگاه خود را باز کنند. این ممکن است با یک حسگر بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا الگو انجام شود.

برای ایجاد رمز عبور برای یک وب سایت یا برنامه، کاربر ابتدا باید در آن وب سایت یا برنامه ثبت نام کند. وقتی برای ورود به این وب‌سایت یا برنامه بازمی‌گردند، می‌توانند مراحل زیر را انجام دهند:

  1. به برنامه بروید.
  2. روی Sign in کلیک کنید.
  3. رمز عبور آنها را انتخاب کنید.
  4. از باز کردن قفل صفحه دستگاه برای تکمیل ورود استفاده کنید.

دستگاه کاربر یک امضا بر اساس رمز عبور تولید می کند. این امضا برای تأیید اعتبار ورود بین مبدا و رمز عبور استفاده می شود.

کاربر می‌تواند بدون در نظر گرفتن جایی که رمز عبور در کجا ذخیره شده است، با استفاده از کلید عبور وارد سرویس‌ها در هر دستگاهی شود. به عنوان مثال، یک رمز عبور ایجاد شده در تلفن همراه می تواند برای ورود به یک وب سایت در یک لپ تاپ جداگانه استفاده شود.

کلیدهای عبور چگونه کار می کنند؟

در نظر گرفته شده است که کلیدهای عبور از طریق زیرساخت سیستم عامل استفاده شوند که به مدیران کلید عبور اجازه می دهد تا کلیدهای عبور را ایجاد، پشتیبان گیری کنند و برای برنامه های در حال اجرا در آن سیستم عامل در دسترس قرار دهند. در Chrome در Android، کلیدهای عبور در Google Password Manager ذخیره می‌شوند که کلیدهای عبور را بین دستگاه‌های Android کاربر که به همان حساب Google وارد شده‌اند همگام‌سازی می‌کند.

کاربران محدود به استفاده از کلیدهای عبور فقط در دستگاهی نیستند که در آن ذخیره می شوند - کلیدهای رمز ذخیره شده در تلفن ها را می توان هنگام ورود به لپ تاپ استفاده کرد، حتی اگر کلید عبور با لپ تاپ همگام نشده باشد، تا زمانی که تلفن در نزدیکی لپ تاپ باشد. و کاربر ورود به تلفن را تایید می کند. از آنجایی که کلیدهای عبور بر اساس استانداردهای FIDO ساخته شده اند، همه مرورگرها می توانند آنها را بکار گیرند.

به عنوان مثال، یک کاربر از site.example در Chromebook خود بازدید می کند. این کاربر قبلاً در دستگاه iOS خود به site.example وارد شده و یک رمز عبور ایجاد کرده است. در Chromebook، کاربر انتخاب می‌کند که با کلید عبور از دستگاه دیگری وارد سیستم شود. دو دستگاه به هم متصل می شوند و از کاربر خواسته می شود تا استفاده از کلید عبور خود را در دستگاه iOS تأیید کند، به عنوان مثال با FaceID. پس از انجام این کار، آنها در Chromebook وارد سیستم می شوند. توجه داشته باشید که خود کلید عبور به Chromebook منتقل نمی‌شود، بنابراین معمولا site.example پیشنهاد می‌کند یک کلید عبور جدید در آنجا ایجاد کنید. به این ترتیب، دفعه بعد که کاربر می‌خواهد وارد سیستم شود، نیازی به تلفن نیست. برای اطلاعات بیشتر ، ورود به سیستم با تلفن را بخوانید.

همگام سازی رمز عبور

ملاحظات حریم خصوصی

  • برخی از کاربران ممکن است تعجب کنند اگر یک احراز هویت بیومتریک به طور ناگهانی در یک وب سایت یا یک برنامه ظاهر شود و فکر کنند این اطلاعات حساس را به سرور ارسال می کند. با کلیدهای عبور، اطلاعات بیومتریک کاربر هرگز برای وب سایت یا برنامه فاش نمی شود. مواد بیومتریک هرگز از دستگاه شخصی کاربر خارج نمی شوند.
  • رمز عبور به تنهایی اجازه ردیابی کاربران یا دستگاه ها را بین سایت ها نمی دهد. رمز عبور یکسان هرگز با بیش از یک سایت استفاده نمی شود. پروتکل های رمز عبور به دقت طراحی شده اند تا هیچ اطلاعاتی که با سایت ها به اشتراک گذاشته می شود نمی تواند به عنوان بردار ردیابی استفاده شود.
  • مدیران رمز عبور از کلیدهای عبور از دسترسی و استفاده غیرمجاز محافظت می کنند. برای مثال، Google Password Manager اسرار رمز عبور را به صورت سرتاسر رمزگذاری می‌کند. فقط کاربر می تواند به آنها دسترسی داشته باشد و از آنها استفاده کند، و حتی اگر از آنها در سرورهای Google نسخه پشتیبان تهیه شده باشد، Google نمی تواند از آنها برای جعل هویت کاربران استفاده کند.

ملاحظات امنیتی

  • کلیدهای عبور از رمزنگاری کلید عمومی استفاده می کنند. رمزنگاری کلید عمومی تهدید ناشی از نقض احتمالی داده ها را کاهش می دهد. هنگامی که یک کاربر یک رمز عبور با یک سایت یا برنامه ایجاد می کند، این یک جفت کلید عمومی-خصوصی در دستگاه کاربر ایجاد می کند. فقط کلید عمومی توسط سایت ذخیره می شود، اما این به تنهایی برای یک مهاجم بی فایده است. مهاجم نمی تواند کلید خصوصی کاربر را از داده های ذخیره شده در سرور که برای تکمیل احراز هویت لازم است استخراج کند.
  • از آنجا که کلیدهای عبور به هویت یک وب سایت یا برنامه متصل هستند، از حملات فیشینگ در امان هستند. مرورگر و سیستم عامل تضمین می کنند که کلید عبور فقط با وب سایت یا برنامه ای که آنها را ایجاد کرده است قابل استفاده است. این کار کاربران را از مسئولیت ورود به وب‌سایت یا برنامه واقعی آزاد می‌کند.

مطلع شوید

برای اطلاع از به‌روزرسانی‌های کلید عبور، در خبرنامه برنامه‌نویس Google passkeys مشترک شوید.

مراحل بعدی

،

کلیدهای عبور

مقدمه

کلیدهای عبور جایگزینی امن تر و آسان تر برای رمزهای عبور هستند. با کلیدهای عبور، کاربران می توانند با یک حسگر بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا الگو وارد برنامه ها و وب سایت ها شوند و آنها را از به خاطر سپردن و مدیریت گذرواژه ها رها می کند.

یک رمز عبور می تواند در یک مرحله جایگزین رمز عبور و عامل دوم شود. تجربه کاربری می تواند به سادگی پر کردن خودکار فرم رمز عبور باشد. کلیدهای عبور برخلاف پیامک یا گذرواژه‌های یکبار مصرف مبتنی بر برنامه، محافظت قوی در برابر حملات فیشینگ ارائه می‌کنند. از آنجایی که کلیدهای عبور استاندارد هستند، یک پیاده سازی واحد تجربه بدون رمز عبور را در مرورگرها و سیستم عامل های مختلف امکان پذیر می کند.

کلیدهای عبور چیست؟

رمز عبور یک اعتبار دیجیتال است که به یک حساب کاربری و یک وب سایت یا برنامه مرتبط است. کلیدهای عبور به کاربران اجازه می دهند بدون نیاز به وارد کردن نام کاربری، رمز عبور یا ارائه هر عامل احراز هویت اضافی، احراز هویت کنند. هدف این فناوری جایگزینی مکانیسم‌های احراز هویت قدیمی مانند رمزهای عبور است.

هنگامی که کاربری می خواهد به سرویسی وارد شود که از کلیدهای عبور استفاده می کند، مرورگر یا سیستم عامل او به او کمک می کند تا کلید عبور مناسب را انتخاب و استفاده کند. این تجربه شبیه به نحوه عملکرد رمزهای عبور ذخیره شده امروزی است. برای اطمینان از اینکه فقط مالک قانونی می تواند از کلید عبور استفاده کند، سیستم از آنها می خواهد که قفل دستگاه خود را باز کنند. این ممکن است با یک حسگر بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا الگو انجام شود.

برای ایجاد رمز عبور برای یک وب سایت یا برنامه، کاربر ابتدا باید در آن وب سایت یا برنامه ثبت نام کند. وقتی برای ورود به این وب‌سایت یا برنامه بازمی‌گردند، می‌توانند مراحل زیر را انجام دهند:

  1. به برنامه بروید.
  2. روی Sign in کلیک کنید.
  3. رمز عبور آنها را انتخاب کنید.
  4. از باز کردن قفل صفحه دستگاه برای تکمیل ورود استفاده کنید.

دستگاه کاربر یک امضا بر اساس رمز عبور تولید می کند. این امضا برای تأیید اعتبار ورود بین مبدا و رمز عبور استفاده می شود.

کاربر می‌تواند بدون در نظر گرفتن جایی که رمز عبور در کجا ذخیره شده است، با استفاده از کلید عبور وارد سرویس‌ها در هر دستگاهی شود. به عنوان مثال، یک رمز عبور ایجاد شده در تلفن همراه می تواند برای ورود به یک وب سایت در یک لپ تاپ جداگانه استفاده شود.

کلیدهای عبور چگونه کار می کنند؟

در نظر گرفته شده است که کلیدهای عبور از طریق زیرساخت سیستم عامل استفاده شوند که به مدیران کلید عبور اجازه می دهد تا کلیدهای عبور را ایجاد، پشتیبان گیری کنند و برای برنامه های در حال اجرا در آن سیستم عامل در دسترس قرار دهند. در Chrome در Android، کلیدهای عبور در Google Password Manager ذخیره می‌شوند که کلیدهای عبور را بین دستگاه‌های Android کاربر که به همان حساب Google وارد شده‌اند همگام‌سازی می‌کند.

کاربران محدود به استفاده از کلیدهای عبور فقط در دستگاهی نیستند که در آن ذخیره می شوند - کلیدهای رمز ذخیره شده در تلفن ها را می توان هنگام ورود به لپ تاپ استفاده کرد، حتی اگر کلید عبور با لپ تاپ همگام نشده باشد، تا زمانی که تلفن در نزدیکی لپ تاپ باشد. و کاربر ورود به تلفن را تایید می کند. از آنجایی که کلیدهای عبور بر اساس استانداردهای FIDO ساخته شده اند، همه مرورگرها می توانند آنها را بکار گیرند.

به عنوان مثال، یک کاربر از site.example در Chromebook خود بازدید می کند. این کاربر قبلاً در دستگاه iOS خود به site.example وارد شده و یک رمز عبور ایجاد کرده است. در Chromebook، کاربر انتخاب می‌کند که با کلید عبور از دستگاه دیگری وارد سیستم شود. دو دستگاه به هم متصل می شوند و از کاربر خواسته می شود تا استفاده از کلید عبور خود را در دستگاه iOS تأیید کند، به عنوان مثال با FaceID. پس از انجام این کار، آنها در Chromebook وارد سیستم می شوند. توجه داشته باشید که خود کلید عبور به Chromebook منتقل نمی‌شود، بنابراین معمولا site.example پیشنهاد می‌کند یک کلید عبور جدید در آنجا ایجاد کنید. به این ترتیب، دفعه بعد که کاربر می‌خواهد وارد سیستم شود، نیازی به تلفن نیست. برای اطلاعات بیشتر ، ورود به سیستم با تلفن را بخوانید.

همگام سازی رمز عبور

ملاحظات حریم خصوصی

  • برخی از کاربران ممکن است تعجب کنند اگر یک احراز هویت بیومتریک به طور ناگهانی در یک وب سایت یا یک برنامه ظاهر شود و فکر کنند این اطلاعات حساس را به سرور ارسال می کند. با کلیدهای عبور، اطلاعات بیومتریک کاربر هرگز برای وب سایت یا برنامه فاش نمی شود. مواد بیومتریک هرگز از دستگاه شخصی کاربر خارج نمی شوند.
  • رمز عبور به تنهایی اجازه ردیابی کاربران یا دستگاه ها را بین سایت ها نمی دهد. رمز عبور یکسان هرگز با بیش از یک سایت استفاده نمی شود. پروتکل های رمز عبور به دقت طراحی شده اند تا هیچ اطلاعاتی که با سایت ها به اشتراک گذاشته می شود نمی تواند به عنوان بردار ردیابی استفاده شود.
  • مدیران رمز عبور از کلیدهای عبور از دسترسی و استفاده غیرمجاز محافظت می کنند. برای مثال، Google Password Manager اسرار رمز عبور را به صورت سرتاسر رمزگذاری می‌کند. فقط کاربر می تواند به آنها دسترسی داشته باشد و از آنها استفاده کند، و حتی اگر از آنها در سرورهای Google نسخه پشتیبان تهیه شده باشد، Google نمی تواند از آنها برای جعل هویت کاربران استفاده کند.

ملاحظات امنیتی

  • کلیدهای عبور از رمزنگاری کلید عمومی استفاده می کنند. رمزنگاری کلید عمومی تهدید ناشی از نقض احتمالی داده ها را کاهش می دهد. هنگامی که یک کاربر یک رمز عبور با یک سایت یا برنامه ایجاد می کند، این یک جفت کلید عمومی-خصوصی در دستگاه کاربر ایجاد می کند. فقط کلید عمومی توسط سایت ذخیره می شود، اما این به تنهایی برای یک مهاجم بی فایده است. مهاجم نمی تواند کلید خصوصی کاربر را از داده های ذخیره شده در سرور که برای تکمیل احراز هویت لازم است استخراج کند.
  • از آنجا که کلیدهای عبور به هویت یک وب سایت یا برنامه متصل هستند، از حملات فیشینگ در امان هستند. مرورگر و سیستم عامل تضمین می کنند که کلید عبور فقط با وب سایت یا برنامه ای که آنها را ایجاد کرده است قابل استفاده است. این کار کاربران را از مسئولیت ورود به وب‌سایت یا برنامه واقعی آزاد می‌کند.

مطلع شوید

برای اطلاع از به‌روزرسانی‌های کلید عبور، در خبرنامه برنامه‌نویس Google passkeys مشترک شوید.

مراحل بعدی