Logowanie bez hasła za pomocą kluczy

Wprowadzenie

Klucze są bezpieczniejszą i łatwiejszą alternatywą dla haseł. Dzięki kluczom użytkownicy mogą logować się w aplikacjach i witrynach za pomocą czujnika biometrycznego (np. odcisku palca lub rozpoznawania twarzy), kodu PIN lub wzoru, co pozwala uniknąć konieczności zapamiętywania haseł i zarządzania nimi.

Deweloperzy i użytkownicy nienawidzą haseł: są niezadowoleni z pracy, zwiększają frustrację konwersji i ponoszą odpowiedzialność za bezpieczeństwo zarówno użytkowników, jak i deweloperów. Menedżer haseł Google na Androida i Chrome eliminuje problemy przez automatyczne uzupełnianie. W przypadku deweloperów, którzy szukają jeszcze większych ulepszeń konwersji i bezpieczeństwa, klucze i federacja tożsamości to nowoczesne podejście branżowe.

Klucz może spełniać wymagania dotyczące uwierzytelniania wielopoziomowego w jednym kroku.Zastąpi on hasło i hasło jednorazowe (np. 6-cyfrowy kod SMS), aby zapewnić solidną ochronę przed atakami phishingowymi i uniknąć UX bólu związanego z SMS-ami i aplikacjami jednorazowymi. Klucze są ustandaryzowane, więc jedna implementacja umożliwia korzystanie z hasła na wszystkich urządzeniach użytkowników w różnych przeglądarkach i systemach operacyjnych.

Klucze są łatwiejsze:

• Użytkownicy mogą wybrać konto, na które chcą się zalogować. Nie musisz wpisywać nazwy użytkownika.
• Użytkownicy mogą uwierzytelniać się za pomocą blokady ekranu urządzenia, na przykład czytnika linii papilarnych, rozpoznawania twarzy lub kodu PIN.
• Po utworzeniu i zarejestrowaniu klucza użytkownik może płynnie przejść na nowe urządzenie i natychmiast z niego korzystać bez konieczności ponownej rejestracji (w przeciwieństwie do tradycyjnego uwierzytelniania biometrycznego, które wymaga konfiguracji na każdym urządzeniu).

Klucze są bezpieczniejsze:

• Deweloperzy zapisują klucz publiczny tylko na serwerze, a nie w haśle. Oznacza to, że nieuczciwe podmioty mogą włamać się na serwery znacznie mniej, a w przypadku naruszenia zasad znacznie mniej się usuwa.
• Klucze chronią użytkowników przed atakami mającymi na celu wyłudzenie informacji. Klucze działają tylko w zarejestrowanych witrynach i aplikacjach. Nie można podstępem nakłonić użytkownika do uwierzytelnienia się na stronie wprowadzającej w błąd, ponieważ przeglądarka lub system operacyjny obsługuje weryfikację.
• Klucze ograniczają koszty wysyłania SMS-ów, dzięki czemu są bezpieczniejsze i bardziej ekonomiczne rozwiązanie.

Co to są klucze?

Klucz to cyfrowe dane logowania powiązane z kontem użytkownika i witryną lub aplikacją. Klucze umożliwiają uwierzytelnianie użytkowników bez konieczności wpisywania nazwy użytkownika i hasła ani podawania dodatkowego współczynnika uwierzytelniania. Ta technologia ma na celu zastępowanie starszych mechanizmów uwierzytelniania, takich jak hasła.

Gdy użytkownik chce się zalogować w usłudze, która korzysta z kluczy, jego przeglądarka lub system operacyjny pomogą mu wybrać odpowiedni klucz i z niego korzystać. Obecnie działa to podobnie do zapisanych haseł. Aby mieć pewność, że tylko uprawniony właściciel będzie mógł korzystać z klucza, system poprosi go o odblokowanie urządzenia. Można to zrobić za pomocą czujnika biometrycznego (np. odcisku palca lub rozpoznawania twarzy), kodu PIN lub wzoru.

Aby utworzyć klucz dla witryny lub aplikacji, użytkownik musi się najpierw zarejestrować w tej witrynie lub aplikacji.

1. Otwórz aplikację i zaloguj się, korzystając z dotychczasowej metody logowania.
2. Kliknij przycisk Utwórz klucz.
3. Sprawdź informacje zapisane przy użyciu nowego klucza.
4. Użyj klucza ekranu urządzenia, aby utworzyć klucz.

Gdy to zrobi, może wykonać te czynności:

1. Przejdź do aplikacji.
2. Kliknij pole nazwy konta, aby wyświetlić listę kluczy w oknie autouzupełniania.
3. Wybierz klucz.
4. Aby ukończyć logowanie, użyj odblokowywania ekranu urządzenia.

Urządzenie użytkownika generuje podpis na podstawie klucza. Ten podpis służy do weryfikowania danych logowania między źródłem a kluczem.

Użytkownik może logować się w usługach na dowolnym urządzeniu za pomocą klucza, niezależnie od tego, gdzie jest on przechowywany. Na przykład klucz utworzony na telefonie komórkowym może służyć do logowania się na stronie na laptopie.

Jak działają klucze?

Klucze są przeznaczone do użytku przez infrastrukturę systemu operacyjnego, która umożliwia menedżerom kluczy tworzenie, tworzenie kopii zapasowych i udostępnianie kluczy aplikacjom działającym w tym systemie operacyjnym. Na urządzeniu z Androidem klucze mogą być przechowywane w Menedżerze haseł Google, który synchronizuje klucze między urządzeniami z Androidem użytkownika, na których jest zalogowane na to samo konto Google. Klucze są bezpiecznie szyfrowane na urządzeniu przed synchronizacją i wymagają odszyfrowania ich na nowych urządzeniach. Użytkownicy systemu operacyjnego Android w wersji 14 lub nowszej mogą włączyć przechowywanie kluczy w zgodnym zewnętrznym menedżerze haseł.

Użytkownicy nie mogą używać kluczy tylko na urządzeniu, na którym są dostępne. Klucze dostępne na telefonach mogą być używane podczas logowania do laptopa, nawet jeśli klucz nie jest zsynchronizowany z laptopem, o ile telefon znajduje się w pobliżu laptopa i użytkownik zatwierdził logowanie na telefonie. Klucze są oparte na standardach FIDO, więc mogą być używane we wszystkich przeglądarkach.

Na przykład użytkownik otwiera stronę example.com w przeglądarce Chrome na komputerze z systemem Windows. Ten użytkownik zalogował się wcześniej w aplikacji example.com na swoim urządzeniu z Androidem i wygenerował klucz. Na komputerze z systemem Windows użytkownik loguje się za pomocą klucza z innego urządzenia. Oba urządzenia zostaną połączone, a użytkownik zostanie poproszony o zatwierdzenie użycia klucza na urządzeniu z Androidem, na przykład z czytnikiem linii papilarnych. Następnie loguje się na komputerze z systemem Windows. Pamiętaj, że sam klucz nie jest przeniesiony na komputer z systemem Windows, więc example.com zwykle proponuje utworzenie nowego klucza. Dzięki temu przy następnym logowaniu użytkownik nie będzie musiał używać telefonu. Więcej informacji znajdziesz w artykule Logowanie się za pomocą telefonu.

Kto używa kluczy?

Wiele usług używa już kluczy w swoich systemach.

• DocuSign
• Google
  • Koniec ciągu haseł
  • Blog Google o bezpieczeństwie online: Szybsze uwierzytelnianie niż kiedykolwiek wcześniej: klucze a hasła
• Kajak
• Mercari
• NTT Docomo
• PayPal
• Shopify
  • Jak klucze zmniejszają liczbę nieciągłości w Zakupach e-commerce
  • Obsługa kluczy w procesie uwierzytelniania w sklepie
• Przenoszenie linków do podstron Yahoo! JAPONIA
  • Centrum pomocy Yahoo! Uwierzytelnianie bez haseł przy użyciu ograniczyło liczbę zapytań o 25% i przyspieszyło logowanie o 2,6 raza.

Spróbuj

W tej prezentacji możesz wypróbować klucze: https://passkeys-demo.appspot.com/

Uwagi na temat prywatności

• Logowanie się za pomocą danych biometrycznych może fałszywie sugerować użytkownikom, że wysyła on informacje poufne do serwera. W rzeczywistości materiały biometryczne nigdy nie opuszczają urządzenia osobistego użytkownika.
• Same klucze nie zezwalają na monitorowanie użytkowników ani urządzeń między witrynami. Ten sam klucz nie jest używany w więcej niż 1 witrynie. Protokoły klucza są zaprojektowane w taki sposób, aby żadne informacje udostępniane witrynom nie mogły być używane jako wektor śledzenia.
• Menedżerowie kluczy chronią swoje klucze przed nieautoryzowanym dostępem i użytkowaniem. Menedżer haseł Google może na przykład szyfrować pełne klucze. Tylko użytkownik ma do nich dostęp i może ich używać, a nawet jeśli ich kopia zapasowa jest tworzona na serwerach Google, nie może ich używać do podszywania się pod użytkowników.

Bezpieczeństwo

• Klucze korzystają z kryptografii kluczy publicznych. Kryptografia klucza publicznego zmniejsza ryzyko potencjalnego naruszenia bezpieczeństwa danych. Gdy użytkownik utworzy klucz w witrynie lub aplikacji, na jego urządzeniu zostanie wygenerowana para kluczy publiczny–prywatny. Witryna przechowuje tylko klucz publiczny, ale jest to bezużyteczne dla atakującego. Atakujący nie może uzyskać klucza prywatnego użytkownika na podstawie danych przechowywanych na serwerze, które są wymagane do ukończenia uwierzytelniania.
• Klucze są powiązane z tożsamością w witrynie lub aplikacji, dlatego nie są podatne na phishing. Przeglądarka i system operacyjny gwarantują, że klucza można używać tylko w witrynie lub aplikacji, w której zostały utworzone. Dzięki temu użytkownicy nie są odpowiedzialni za logowanie się w autentycznej witrynie lub aplikacji.

Powiadom mnie

Zasubskrybuj newsletter Google dla deweloperów kluczy, aby otrzymywać powiadomienia o aktualizacjach kluczy.

Dalsze kroki

• Obsługa kluczy na Androidzie i w Chrome
• Najczęstsze pytania
• Przypadki użycia
• Przewodnik dla programistów dotyczący kluczy do obsługi stron
• Dowiedz się, jak zalogować się w aplikacji na Androida przy użyciu Menedżera danych logowania.