Logowanie bez hasła za pomocą kluczy

Zadbaj o dobrą organizację dzięki kolekcji Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.

Klucze

Wprowadzenie

Klucze są bezpieczniejszym i łatwiejszym sposobem wymiany haseł. Za pomocą kluczy użytkownicy mogą logować się w aplikacjach i witrynach za pomocą czujnika biometrycznego (np. odcisku palca lub rozpoznawania twarzy), kodu PIN lub wzoru, co pozwala uniknąć zapamiętywania haseł i zarządzania nimi.

Klucz może zastąpić hasło i drugi czynnik w jednym kroku. Korzystanie z niego może być równie proste jak automatyczne wypełnianie formularza hasła. Klucze, w przeciwieństwie do SMS-ów i haseł jednorazowych, są jednorazowe zabezpieczenia przed phishingiem. Ponieważ klucze są ustandaryzowane, jedna implementacja umożliwia korzystanie z hasła w różnych przeglądarkach i systemach operacyjnych bez hasła.

Co to są klucze?

Klucz to cyfrowe dane logowania powiązane z kontem użytkownika i witryną lub aplikacją. Klucze umożliwiają uwierzytelnianie użytkownika bez konieczności podawania nazwy użytkownika i hasła ani podawania dodatkowego czynnika uwierzytelniania. Ta technologia ma na celu zastępowanie starszych mechanizmów uwierzytelniania, takich jak hasła.

Gdy użytkownik chce zalogować się w usłudze, która korzysta z kluczy, jego przeglądarka lub system operacyjny pomogą mu wybrać odpowiedni klucz i go używać. Działanie usługi działa podobnie do zapisanych haseł. Aby mieć pewność, że tylko uprawniony właściciel może używać klucza, system poprosi go o odblokowanie urządzenia. Możesz to zrobić za pomocą czujnika biometrycznego (np. odcisku palca lub rozpoznawania twarzy), kodu PIN lub wzoru.

Aby utworzyć klucz dla witryny lub aplikacji, użytkownik musi najpierw zarejestrować się w tej witrynie lub aplikacji. Gdy wrócą oni na tę stronę lub do aplikacji, aby się zalogować, będą mogli wykonać te czynności:

  1. Otwórz aplikację.
  2. Kliknij Zaloguj się.
  3. Wybierz klucz.
  4. Do odblokowania ekranu użyj blokady ekranu urządzenia.

Urządzenie użytkownika generuje podpis na podstawie klucza. Ten podpis służy do weryfikowania danych logowania między źródłem a kluczem.

Za pomocą klucza użytkownik może logować się do usług na dowolnym urządzeniu niezależnie od tego, gdzie jest przechowywany klucz. Możesz na przykład użyć klucza utworzonego na telefonie komórkowym, aby zalogować się na stronie internetowej na innym laptopie.

Jak działają klucze?

Klucze są używane do użytku w infrastrukturze systemu operacyjnego, która umożliwia menedżerom kluczy tworzenie, tworzenie kopii zapasowych i udostępnianie kluczy aplikacjom działającym w tym systemie operacyjnym. W Chrome na Androidzie klucze są przechowywane w Menedżerze haseł Google, który synchronizuje klucze między urządzeniami z Androidem użytkownika zalogowanymi na to samo konto Google.

Użytkownicy mogą korzystać z kluczy wyłącznie na urządzeniu, w którym są przechowywane. Kluczy zapisanych na telefonie można używać do logowania się na laptopie, nawet jeśli klucz nie znajduje się na laptopie i użytkownik zatwierdza logowanie na telefonie. Klucze są tworzone na podstawie standardów FIDO, dzięki czemu mogą być stosowane przez wszystkie przeglądarki.

Na przykład użytkownik odwiedza stronę site.example na swoim Chromebooku. Ten użytkownik zalogował się wcześniej w aplikacji site.example na swoim urządzeniu z iOS i wygenerował klucz. Na Chromebooku użytkownik loguje się za pomocą klucza z innego urządzenia. Oba urządzenia połączą się, a użytkownik zobaczy prośbę o zatwierdzenie użycia klucza w systemie iOS, np. za pomocą FaceID. Gdy to zrobisz, zaloguje się na Chromebooku. Sam klucz nie jest przekazywany na Chromebooka, więc site.example zazwyczaj proponuje utworzenie nowego klucza. Dzięki temu następnym razem, gdy użytkownik będzie chciał się zalogować, nie będzie trzeba używać telefonu. Więcej informacji znajdziesz w artykule Logowanie się za pomocą telefonu.

Synchronizacja za pomocą klucza

Prywatność

  • Niektórzy użytkownicy mogą się zdziwić, gdy uwierzytelnianie biometryczne pojawi się na stronie lub w aplikacji i uważa, że wysyła do serwera informacje poufne. W przypadku kluczy informacje biometryczne użytkowników nigdy nie są ujawniane w witrynie ani aplikacji. Materiał biometryczny nigdy nie opuszcza urządzenia użytkownika.
  • Same kluczy nie pozwalają na śledzenie użytkowników lub urządzeń między witrynami. Tego samego klucza nigdy nie używa się z więcej niż jedną witryną. Protokoły kluczy są zaprojektowane tak, aby żadne informacje udostępnione witrynom nie mogły być używane jako wektory śledzenia.
  • Menedżer kluczy chroni klucze przed nieuprawnionym dostępem i użyciem. Na przykład Menedżer haseł Google w pełni szyfruje obiekty tajne klucza. Tylko użytkownik ma do nich dostęp i może ich używać, mimo że mają kopie zapasowe na serwerach Google, nie mogą ich używać do podszywania się pod użytkowników.

Bezpieczeństwo

  • Klucze korzystają z kryptografii kluczy publicznych. Kryptografia klucza publicznego zmniejsza ryzyko wystąpienia naruszeń bezpieczeństwa danych. Gdy użytkownik tworzy klucz ze stroną lub aplikacją, na urządzeniu użytkownika jest generowana para kluczy publiczny-prywatny. Witryna przechowuje tylko klucz publiczny, który jednak nie jest przydatny dla atakującego. Atakujący nie może uzyskać klucza prywatnego użytkownika na podstawie danych przechowywanych na serwerze, co jest wymagane do ukończenia uwierzytelniania.
  • Klucze są powiązane z tożsamością witryny lub aplikacji, dlatego nie są chronione przed atakami mającymi na celu wyłudzenie informacji. Przeglądarka i system operacyjny gwarantują, że klucza można używać tylko w witrynie lub aplikacji, w której zostały utworzone. Dzięki temu użytkownicy nie muszą logować się na prawdziwej stronie lub w aplikacji.

Powiadomienia

Zasubskrybuj newsletter od dewelopera kluczy Google, aby otrzymywać powiadomienia o aktualizacjach kluczy.

Dalsze kroki