کلیدهای عبور

مقدمه

کلیدهای عبور جایگزین امن‌تر و آسان‌تری برای رمزهای عبور هستند. با کلیدهای عبور، کاربران می‌توانند با استفاده از حسگر بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا الگو به برنامه‌ها و وب‌سایت‌ها وارد شوند و از به خاطر سپردن و مدیریت رمزهای عبور خلاص شوند.

توسعه‌دهندگان و کاربران هر دو از رمزهای عبور متنفرند: آن‌ها تجربه کاربری ضعیفی ارائه می‌دهند، باعث افزایش اصطکاک در تبدیل می‌شوند و مسئولیت امنیتی را هم برای کاربران و هم برای توسعه‌دهندگان ایجاد می‌کنند. مدیریت رمز عبور گوگل در اندروید و کروم از طریق تکمیل خودکار، اصطکاک را کاهش می‌دهد؛ برای توسعه‌دهندگانی که به دنبال پیشرفت‌های بیشتر در تبدیل و امنیت هستند، کلیدهای عبور و ادغام هویت، رویکردهای مدرن این صنعت هستند.

کلیدهای عبور، محافظت قوی در برابر حملات فیشینگ ارائه می‌دهند و می‌توانند نیاز به درخواست پیامک یا رمزهای عبور یکبار مصرف مبتنی بر برنامه را در هنگام ورود به سیستم از بین ببرند. از آنجایی که کلیدهای عبور استاندارد هستند، یک پیاده‌سازی واحد، تجربه بدون رمز عبور را در تمام دستگاه‌های کاربران، در مرورگرها و سیستم‌عامل‌های مختلف فراهم می‌کند.

کلیدهای عبور ساده تر هستند

کاربران می‌توانند یک حساب کاربری برای ورود انتخاب کنند. تایپ نام کاربری الزامی نیست.
کاربران می‌توانند با استفاده از قفل صفحه نمایش دستگاه مانند حسگر اثر انگشت، تشخیص چهره یا پین، احراز هویت کنند.
پس از ایجاد و ثبت رمز عبور، کاربر می‌تواند بدون نیاز به ثبت‌نام مجدد، به راحتی به دستگاه جدید منتقل شود و بلافاصله از آن استفاده کند (برخلاف احراز هویت بیومتریک سنتی که نیاز به تنظیم روی هر دستگاه دارد).

کلیدهای عبور امن تر هستند

کلیدهای عبور، کاربران را از حملات فیشینگ محافظت می‌کنند. کلیدهای عبور فقط در وب‌سایت‌ها و برنامه‌های ثبت‌شده‌ی آنها کار می‌کنند؛ نمی‌توان کاربر را برای تأیید هویت در یک سایت فریبنده فریب داد زیرا مرورگر یا سیستم عامل، تأیید هویت را انجام می‌دهد.
توسعه‌دهندگان فقط یک کلید عمومی را به جای رمز عبور در سرور ذخیره می‌کنند، به این معنی که هک کردن سرورها برای یک هکر ارزش بسیار کمتری دارد و در صورت نقض امنیتی، پاکسازی بسیار کمتری لازم است.
کلیدهای عبور با حذف نیاز به ارسال پیامک، هزینه‌ها را کاهش می‌دهند و آنها را به ابزاری امن‌تر و مقرون‌به‌صرفه‌تر برای احراز هویت تبدیل می‌کنند.
کلید عبور، یک اعتبارنامه دیجیتالی است که به یک حساب کاربری و یک وب‌سایت یا برنامه متصل است. کلیدهای عبور به کاربران اجازه می‌دهند بدون نیاز به وارد کردن نام کاربری یا رمز عبور یا ارائه هرگونه عامل احراز هویت اضافی، احراز هویت شوند. هدف این فناوری جایگزینی مکانیسم‌های احراز هویت قدیمی مانند رمزهای عبور است.
وقتی کاربری می‌خواهد وارد سرویسی شود که از کلیدهای عبور استفاده می‌کند، مرورگر یا سیستم عامل او به او کمک می‌کند تا کلید عبور مناسب را انتخاب و استفاده کند. این تجربه مشابه نحوه عملکرد رمزهای عبور ذخیره شده امروزی است. برای اطمینان از اینکه فقط مالک قانونی می‌تواند از کلید عبور استفاده کند، سیستم از او می‌خواهد که قفل دستگاه خود را باز کند. این کار ممکن است با یک حسگر بیومتریک (مانند اثر انگشت یا تشخیص چهره)، پین یا الگو انجام شود.
  1. به برنامه بروید و با استفاده از روش ورود به سیستم موجود، وارد سیستم شوید.
  2. روی دکمه‌ی «ایجاد رمز عبور» کلیک کنید.
  3. اطلاعات ذخیره شده با رمز عبور جدید را بررسی کنید.
  4. برای ایجاد رمز عبور از قفل صفحه دستگاه استفاده کنید.
  1. به برنامه کاربردی بروید.
  2. برای نمایش لیستی از کلیدهای عبور در کادر محاوره‌ای تکمیل خودکار، روی فیلد نام حساب ضربه بزنید.
  3. رمز عبور آنها را انتخاب کنید.
  4. برای تکمیل ورود به سیستم، از قفل‌گشایی صفحه نمایش دستگاه استفاده کنید.

خودت آن را امتحان کن

می‌توانید کلیدهای عبور را در این نسخه آزمایشی امتحان کنید
نسخه آزمایشی کلیدهای عبور

کلیدهای عبور چگونه کار می کنند؟

کلیدهای عبور قبل از همگام‌سازی، به طور ایمن روی دستگاه رمزگذاری می‌شوند و نیاز به رمزگشایی آنها در دستگاه‌های جدید است. کلیدهای عبور را می‌توان در برنامه‌های مدیریت رمز عبور مانند Google Password Manager ذخیره کرد که کلیدهای عبور را بین دستگاه‌های اندروید کاربر و مرورگرهای کروم که به یک حساب گوگل وارد شده‌اند، همگام‌سازی می‌کند. کاربران دارای سیستم عامل اندروید ۱۴ یا بالاتر نیز می‌توانند کلیدهای عبور خود را در یک برنامه مدیریت رمز عبور شخص ثالث سازگار ذخیره کنند.

کاربران محدود به استفاده از کلیدهای عبور فقط در دستگاهی که در دسترس هستند نیستند - کلیدهای عبور موجود در تلفن‌ها می‌توانند هنگام ورود به لپ‌تاپ نیز استفاده شوند، حتی اگر کلید عبور با لپ‌تاپ همگام‌سازی نشده باشد، مادامی که تلفن نزدیک لپ‌تاپ باشد و کاربر ورود به سیستم را در تلفن تأیید کند. از آنجایی که کلیدهای عبور بر اساس استانداردهای FIDO ساخته شده‌اند، همه مرورگرها می‌توانند از آنها استفاده کنند.

مزایای حریم خصوصی

مهم: کلیدهای عبور با در نظر گرفتن حریم خصوصی کاربر طراحی شده‌اند. نگرانی‌های متعددی که کاربران نهایی ممکن است مطرح کنند در زیر آمده است؛ برای اطمینان خاطر کاربران، توسعه‌دهندگان باید یک پیام اطمینان‌بخش به رابط کاربری اضافه کنند (مثلاً «با کلیدهای عبور، اطلاعات بیومتریک کاربر هرگز در وب‌سایت یا برنامه فاش نمی‌شود. اطلاعات بیومتریک هرگز از دستگاه شخصی کاربر خارج نمی‌شود») و یک پرسش و پاسخ یا مقاله پشتیبانی ایجاد کنند که توضیحات بیشتری ارائه دهد.
زیرا ورود به سیستم با استفاده از اطلاعات بیومتریک ممکن است این تصور غلط را در کاربران ایجاد کند که این کار ارسال اطلاعات حساس به سرور است. در واقع، اطلاعات بیومتریک هرگز از دستگاه شخصی کاربر خارج نمی‌شوند.
کلیدهای عبور به خودی خود اجازه ردیابی کاربران یا دستگاه‌ها بین سایت‌ها را نمی‌دهند. یک کلید عبور هرگز با بیش از یک سایت استفاده نمی‌شود. پروتکل‌های کلید عبور با دقت طراحی شده‌اند تا هیچ اطلاعات به اشتراک گذاشته شده با سایت‌ها نتواند به عنوان یک عامل ردیابی استفاده شود.
مدیران رمز عبور، رمزهای عبور را از دسترسی و استفاده غیرمجاز محافظت می‌کنند. به عنوان مثال، مدیر رمز عبور گوگل، رمزهای عبور را به صورت سرتاسری رمزگذاری می‌کند . فقط کاربر می‌تواند به آنها دسترسی داشته باشد و از آنها استفاده کند، و حتی اگر آنها در سرورهای گوگل پشتیبان‌گیری شوند، گوگل نمی‌تواند از آنها برای جعل هویت کاربران استفاده کند.

مزایای امنیتی

از آنجا که کلیدهای عبور به هویت یک وب‌سایت یا برنامه متصل هستند، در برابر حملات فیشینگ مقاوم هستند. مرورگر و سیستم عامل تضمین می‌کنند که یک کلید عبور فقط می‌تواند با وب‌سایت یا برنامه‌ای که آنها را ایجاد کرده است، استفاده شود. این امر کاربران را از مسئولیت ورود به وب‌سایت یا برنامه اصلی معاف می‌کند.

  • کلیدهای عبور از رمزنگاری کلید عمومی استفاده می‌کنند.

    رمزنگاری کلید عمومی، تهدید ناشی از نقض‌های احتمالی داده‌ها را کاهش می‌دهد. وقتی کاربری یک کلید عبور را با یک سایت یا برنامه ایجاد می‌کند، این یک جفت کلید عمومی-خصوصی در دستگاه کاربر ایجاد می‌کند. فقط کلید عمومی توسط سایت ذخیره می‌شود، اما این به تنهایی برای مهاجم بی‌فایده است. مهاجم نمی‌تواند کلید خصوصی کاربر را از داده‌های ذخیره شده در سرور، که برای تکمیل احراز هویت لازم است، استخراج کند.

  • مقاوم در برابر حملات فیشینگ

    از آنجا که کلیدهای عبور به هویت یک وب‌سایت یا برنامه متصل هستند، در برابر حملات فیشینگ مقاوم هستند. مرورگر و سیستم عامل تضمین می‌کنند که یک کلید عبور فقط می‌تواند با وب‌سایت یا برنامه‌ای که آنها را ایجاد کرده است، استفاده شود. این امر کاربران را از مسئولیت ورود به وب‌سایت یا برنامه اصلی معاف می‌کند.

پیاده‌سازی کلیدهای عبور

آماده شروع هستید؟ می‌توانید با استفاده از راهنماهای پیاده‌سازی ما در زیر، کلیدهای عبور را در اندروید، وب و iOS پیاده‌سازی کنید.
راهنمای پیاده‌سازی برای سرورها
ادامه مطلب
راهنمای پیاده‌سازی برای اندروید.
ادامه مطلب
راهنمای پیاده‌سازی برای وب
ادامه مطلب
راهنمای پیاده‌سازی برای iOS
ادامه مطلب

منابع اضافی