Logowanie bez hasła za pomocą kluczy

Wprowadzenie

Klucze dostępu to bezpieczniejsza i łatwiejsza alternatywa dla haseł. Dzięki kluczom dostępu użytkownicy mogą logować się w aplikacjach i na stronach internetowych z czujnikiem biometrycznym (np. odciskiem palca lub rozpoznawaniem twarzy), kodem PIN lub wzorem, dzięki czemu nie muszą zapamiętywać haseł i nimi zarządzać.

Deweloperzy i użytkownicy nienawidzą haseł: sprawiają niekorzystne wrażenie na użytkownikach, utrudniają konwersję i tworzą odpowiedzialność za bezpieczeństwo zarówno użytkowników, jak i programistów. Menedżer haseł Google na Androida i Chrome usprawnia działanie autouzupełniania. Dla deweloperów, którzy szukają jeszcze lepszych konwersji i bezpieczeństwa, klucze dostępu i federacja tożsamości są nowoczesnymi rozwiązaniami branżowymi.

Klucz dostępu może spełnić wymagania dotyczące uwierzytelniania wielopoziomowego w jednym kroku, zastępując zarówno hasło, jak i hasło jednorazowe (np. 6-cyfrowy kod SMS), aby zapewnić solidną ochronę przed atakami phishingowymi i uniknąć problemów UX związanych z wysyłaniem SMS-ów lub haseł jednorazowych do aplikacji. Klucze dostępu są ustandaryzowane, więc pojedyncza implementacja umożliwia działanie bez hasła na wszystkich urządzeniach użytkowników, w różnych przeglądarkach i systemach operacyjnych.

Klucze dostępu są łatwiejsze:

• Użytkownicy mogą wybrać konto, za pomocą którego będą się logować. Wpisanie nazwy użytkownika nie jest wymagane.
• Użytkownicy mogą uwierzytelniać się za pomocą blokady ekranu urządzenia, takiej jak czytnik linii papilarnych, rozpoznawanie twarzy lub kod PIN.
• Po utworzeniu i zarejestrowaniu klucza dostępu użytkownik może płynnie przełączyć się na nowe urządzenie i od razu go używać bez konieczności ponownej rejestracji (w przeciwieństwie do tradycyjnego uwierzytelniania biometrycznego, które wymaga skonfigurowania na każdym urządzeniu).

Klucze są bezpieczniejsze:

• Deweloperzy zapisują tylko klucz publiczny na serwerze zamiast hasła, co oznacza, że włamanie się na serwery jest mniej opłacalne, a w przypadku ich naruszenia – o wiele mniej środków.
• Klucze dostępu chronią użytkowników przed atakami phishingowymi. Klucze dostępu działają tylko w zarejestrowanych witrynach i aplikacjach. Nie można nakłonić użytkownika do uwierzytelnienia się na stronie wprowadzającej w błąd, bo weryfikacja obsługuje przeglądarka lub system operacyjny.
• Klucze dostępu obniżają koszty wysyłania SMS-ów, dzięki czemu są bezpieczniejsze i tańsze w przypadku uwierzytelniania dwuskładnikowego.

Co to są klucze dostępu?

Klucz dostępu to cyfrowy certyfikat powiązany z kontem użytkownika i witryną lub aplikacją. Klucze dostępu umożliwiają użytkownikom uwierzytelnianie bez konieczności wpisywania nazwy użytkownika i hasła oraz podawania żadnego dodatkowego czynnika uwierzytelniania. Ta technologia ma zastąpić starsze mechanizmy uwierzytelniania, takie jak hasła.

Gdy użytkownik chce zalogować się w usłudze, która używa kluczy, przeglądarka lub system operacyjny ułatwia mu wybranie i użycie właściwego klucza. Przypomina to sposób, w jaki obecnie działają zapisane hasła. System poprosi go o odblokowanie urządzenia, aby mieć pewność, że tylko prawowity właściciel może użyć klucza. Te dane mogą być wyposażone w czujnik biometryczny (np. odcisk palca lub rozpoznawanie twarzy), kod PIN lub wzór.

Aby utworzyć klucz dla witryny lub aplikacji, użytkownik musi najpierw zarejestrować się w tej witrynie lub aplikacji.

1. Otwórz aplikację i zaloguj się, korzystając z dotychczasowej metody logowania.
2. Kliknij przycisk Utwórz klucz dostępu.
3. Sprawdź informacje przechowywane przy użyciu nowego klucza.
4. Użyj odblokowania ekranu urządzenia, aby utworzyć klucz.

Gdy użytkownik wróci do tej witryny lub aplikacji, aby się zalogować, może wykonać te czynności:

1. Przejdź do aplikacji.
2. Kliknij pole nazwy konta, aby wyświetlić listę kluczy w oknie autouzupełniania.
3. Wybierz klucz dostępu.
4. Użyj odblokowania ekranu urządzenia, aby dokończyć logowanie.

Urządzenie użytkownika generuje podpis na podstawie klucza. Ten podpis jest używany do weryfikowania danych logowania między źródłem a kluczem.

Użytkownik może logować się w usługach na dowolnym urządzeniu za pomocą klucza dostępu, niezależnie od tego, gdzie jest on przechowywany. Za pomocą klucza dostępu utworzonego na telefonie komórkowym możesz na przykład zalogować się w witrynie na laptopie.

Jak działają klucze dostępu?

Klucze dostępu powinny być używane przez infrastrukturę systemu operacyjnego. Pozwala ona menedżerom kluczy na tworzenie i udostępnianie kluczy aplikacjom działającym w tym systemie operacyjnym oraz tworzenie ich kopii zapasowych. Na urządzeniu z Androidem klucze można przechowywać w Menedżerze haseł Google, który synchronizuje klucze między urządzeniami z Androidem, na których jest zalogowany użytkownik, i na tym samym koncie Google. Klucze są bezpiecznie szyfrowane na urządzeniu przed synchronizacją i wymagają odszyfrowania na nowych urządzeniach. Użytkownicy systemu operacyjnego Android w wersji 14 lub nowszej mogą zdecydować się na przechowywanie kluczy w zgodnym menedżerze haseł innej firmy.

Użytkownicy nie są ograniczeni do korzystania z kluczy tylko na urządzeniu, na którym są dostępne. Klucze dostępu dostępne na telefonie można używać podczas logowania się na laptopie, nawet jeśli klucz nie jest zsynchronizowany z laptopem, o ile telefon znajduje się w pobliżu laptopa i użytkownik zatwierdzi logowanie za pomocą telefonu. Klucze są oparte na standardach FIDO, więc mogą je przyjmować wszystkie przeglądarki.

Na przykład użytkownik otwiera stronę example.com w przeglądarce Chrome na komputerze z systemem Windows. Ten użytkownik zalogował się już wcześniej w aplikacji example.com na swoim urządzeniu z Androidem i wygenerował klucz. Na komputerze z systemem Windows użytkownik loguje się przy użyciu klucza z innego urządzenia. Oba urządzenia się połączą, a użytkownik zostanie poproszony o zatwierdzenie użycia klucza na urządzeniu z Androidem (np. z czytnikiem linii papilarnych). Gdy to zrobi, są zalogowane na komputerze z Windowsem. Pamiętaj, że sam klucz nie jest przenoszony na komputer z systemem Windows, więc zwykle example.com proponuje utworzenie nowego klucza na tym urządzeniu. Dzięki temu telefon nie będzie wymagany przy następnym logowaniu. Więcej informacji znajdziesz w artykule Logowanie się przy użyciu telefonu.

Kto używa kluczy dostępu?

Niektóre usługi korzystają już z kluczy dostępu w swoich systemach.

• DocuSign
• Google
  • Początek końca hasła
  • Blog Google o bezpieczeństwie online: szybsze uwierzytelnianie: klucze dostępu a hasła
  • Zaprojektowanie wygody użytkowników kluczy dostępu na kontach Google
• Kajak
• Mercari
• NTT Docomo
• PayPal
• Shopify
  • Jak klucze dostępu zmniejszają liczbę interakcji z zakupami e-commerce
  • Obsługa kluczy dostępu w procesach uwierzytelniania w sklepie
• Przenoszenie linków do podstron Yahoo! JAPONIA
  • Centrum pomocy Yahoo! Uwierzytelnianie bez hasła w Japonii zmniejszyło liczbę zapytań o 25% i przyspieszyło logowanie o 2,6 raza.

Zobacz, jak to działa

Klucze dostępu możesz wypróbować w tej wersji demonstracyjnej: https://passkeys-demo.appspot.com/

Kwestie dotyczące prywatności

• Ponieważ logowanie się za pomocą biometrii może powodować błędne wrażenie, że w ten sposób przesyłane są do serwera poufne informacje. W rzeczywistości materiał biometryczny nigdy nie opuszcza urządzenia osobistego użytkownika.
• Same klucze dostępu nie umożliwiają śledzenia użytkowników lub urządzeń między witrynami. Ten sam klucz nigdy nie jest używany w więcej niż 1 witrynie. Protokoły kluczy dostępu zostały zaprojektowane w taki sposób, aby żadne informacje udostępniane witrynom nie mogły być wykorzystywane jako narzędzie do śledzenia.
• Menedżerowie kluczy chronią klucze przed nieautoryzowanym dostępem i używaniem. Na przykład Menedżer haseł Google w pełni szyfruje tajne klucze dostępu. Tylko użytkownik może uzyskiwać do nich dostęp i z nich korzystać. Mimo że kopie zapasowe są tworzone na serwerach Google, nie możemy ich używać do podszywania się pod użytkowników.

Kwestie bezpieczeństwa

• Klucze dostępu korzystają z kryptografii klucza publicznego. Kryptografia klucza publicznego zmniejsza zagrożenie spowodowane potencjalnymi naruszeniami bezpieczeństwa danych. Gdy użytkownik utworzy klucz dostępu w witrynie lub aplikacji, na urządzeniu użytkownika zostanie wygenerowana parę kluczy (publiczny-prywatny). Witryna przechowuje tylko klucz publiczny, ale samo to nie jest przydatne dla atakującego. Osoba przeprowadzająca atak nie może uzyskać klucza prywatnego użytkownika z danych przechowywanych na serwerze, które są wymagane do przeprowadzenia uwierzytelniania.
• Klucze są powiązane z tożsamością witryny lub aplikacji, więc są chronione przed atakami phishingowymi. Przeglądarka i system operacyjny powodują, że klucza dostępu można używać tylko w witrynie lub aplikacji, w której zostały utworzone. Dzięki temu użytkownicy nie będą musieli odpowiadać za logowanie się w prawdziwej witrynie lub aplikacji.

Powiadom mnie

Zasubskrybuj newsletter dla deweloperów Google ds. kluczy, aby otrzymywać powiadomienia o aktualizacjach kluczy.

Dalsze kroki

• Obsługa kluczy dostępu na urządzeniach z Androidem i w Chrome
• Najczęstsze pytania
• Przypadki użycia
• Przewodnik dla programistów dotyczący kluczy dostępu dla podmiotów uzależnionych
• Dowiedz się, jak zalogować się w aplikacji na Androida za pomocą Menedżera danych logowania