Общий
Кто поддерживает пароли?
Поскольку ключи доступа основаны на стандартах FIDO, они работают на Android и Chrome, а также во многих других популярных экосистемах и браузерах, таких как Microsoft Windows, Microsoft Edge, macOS, iOS и Safari.
Проверьте статус поддержки в Chrome и Android в разделе Поддерживаемые среды .
Работают ли пароли на устройствах, на которых не настроен метод блокировки экрана?
Возможность создания ключа доступа и аутентификации без проверки знания пользователя зависит от реализации менеджера паролей. Поставщики могут предлагать пользователям настроить PIN-код или биометрическую блокировку экрана перед созданием ключа доступа.
Как можно использовать пароли, зарегистрированные на одной платформе (например, Android), для входа на других платформах (например, в веб-версии или iOS)?
Например, ключ доступа, зарегистрированный на Android, можно использовать для входа на других платформах, подключив телефон Android к другому устройству. Чтобы установить соединение между двумя устройствами, пользователю необходимо открыть сайт, на который он пытается войти, на устройстве, на котором не зарегистрирован ключ доступа, отсканировать QR-код и подтвердить вход на устройстве, на котором он был создан (в данном случае, на устройстве Android). Ключ доступа сохраняется только на устройстве Android, поэтому приложения обычно предлагают создать новый ключ доступа на другом устройстве для упрощения входа в следующий раз. Этот процесс будет работать аналогично и на других платформах.
Могу ли я перенести синхронизированные ключи доступа с одного поставщика платформы на другого?
Пароли сохраняются у поставщика учётных данных, определяемого платформой. Некоторые платформы, например, Android, начиная с Android 14 , позволяют пользователям выбирать поставщика по своему усмотрению (системный или сторонний менеджер паролей), что может позволить синхронизировать пароли между разными платформами. Поддержка прямого переноса паролей от одного поставщика платформы к другому в настоящее время недоступна.
Может ли пользователь синхронизировать свои ключи доступа на устройствах Android, отличных от Google?
Пароли синхронизируются только внутри экосистемы устройства (то есть между устройствами Android с Google Password Manager по умолчанию), но не между всеми устройствами экосистемы.
Android делает платформу открытой (начиная с Android 14), позволяя пользователям выбирать поставщика учётных данных (например, стороннего менеджера паролей). Это позволит использовать её, например, для синхронизации паролей между различными экосистемами (в зависимости от уровня открытости других платформ).
Что разработчикам следует делать с устройствами и платформами, которые не поддерживают ключи доступа?
Разработчикам рекомендуется пока сохранить существующие параметры входа в своих приложениях, чтобы они оставались доступными для устройств и поверхностей, не поддерживающих пароли.
Может ли истечь срок действия ключа доступа?
Нет. Это зависит от поставщика, хранящего ключи доступа, и RP (проверяющей стороны), но общепринятой практики истечения срока действия ключей доступа не существует.
Может ли RP указать учетную запись, с которой пользователь будет входить в систему?
Проверяющие стороны (сторонние приложения) могут заполнить « allowCredentials » списком идентификаторов учетных данных, отправленных из бэкэнда их приложения, указывающим, какие ключи доступа следует использовать для аутентификации пользователя.
Пароли на Android и Chrome
Могут ли приложения Android использовать ключи доступа, созданные в Chrome, для аутентификации?
Для ключей доступа, созданных в Chrome на Android:
Да, пароли, созданные в Chrome, сохраняются в Google Password Manager и доступны на Android, и наоборот, когда пользователи входят в ту же учетную запись Google.
Для ключей доступа, созданных в Chrome на других платформах:
Если ключ доступа создан в Chrome на других платформах (Mac, iOS, Windows), то нет. Подробнее см. в списке поддерживаемых сред . В то же время пользователи могут использовать для входа телефон, на котором был создан ключ доступа.
Что происходит с учётными данными, созданными до введения паролей? Можно ли продолжать их использовать?
Да, как в Chrome, так и в Android учетные данные, привязанные к устройству, созданные до того, как мы включили синхронизацию, доступны и по-прежнему могут использоваться для аутентификации.
Что произойдет, если пользователь потеряет свое устройство?
Пароли, созданные на Android, копируются и синхронизируются с устройствами Android, на которых выполнен вход в ту же учетную запись Google, точно так же, как пароли копируются в менеджер паролей.
Это означает, что пароли пользователя сохраняются при замене устройства. Чтобы войти в приложения на новом телефоне, пользователю достаточно пройти верификацию с помощью экрана блокировки своего текущего устройства.
Требуется ли для входа с помощью паролей настройка биометрической защиты и блокировки экрана с помощью PIN-кода или графического ключа, или достаточно одного из них?
Достаточно одного метода блокировки экрана.
Привязан ли ключ доступа к определенному методу блокировки экрана, например отпечатку пальца, PIN-коду или рисунку?
Это зависит от платформы устройства и способа проверки пользователя. В случае с Google Password Manager пароли не привязаны к каким-либо конкретным методам аутентификации и могут использоваться с любым доступным способом блокировки экрана (биометрическим, PIN-кодом или графическим ключом).
Может ли RP по-прежнему создавать привязанные к устройству учетные данные, которые не синхронизированы?
На данный момент необнаруживаемые учетные данные, созданные в Chrome на Android или в приложении Android с использованием API Play Services, сохраняют свое текущее поведение и, таким образом, продолжают быть привязанными к устройству.
При использовании паролей разрабатываемое расширение открытого ключа устройства представляет собой второй ключ, привязанный к устройству, который не будет синхронизироваться и может использоваться для анализа рисков. Однако пока ни один поставщик учётных данных не поддерживает эту функцию.
Как работает синхронизация ключей доступа с новым устройством? Должен ли пользователь иметь доступ к устройству, на котором он создал ключ доступа?
На Android:
Если пароли были сохранены в Менеджере паролей Google , пользователю достаточно войти на новом устройстве с той же учётной записью Google и подтвердить свою личность, используя блокировку экрана предыдущего устройства (PIN-код, графический ключ или код доступа). Для входа на других устройствах предыдущее устройство не требуется.
Если ключи доступа были сохранены у другого поставщика учётных данных, это будет зависеть от процесса входа на новых устройствах, установленного этим поставщиком. Большинство поставщиков учётных данных синхронизируют учётные данные с облаком и предоставляют пользователям возможность доступа к ним на новых устройствах после аутентификации.
Конфиденциальность и безопасность
Безопасна ли биометрическая информация пользователя?
Да, биометрические данные пользователя никогда не покидают устройство и не хранятся на центральном сервере, откуда их можно было бы украсть в случае взлома.
Может ли пользователь войти в устройство друга, используя ключ доступа на его телефоне?
Да. Пользователи могут настроить «одноразовую связь» между своим телефоном и устройством другого человека для входа в систему.
Защищены ли ключи доступа, хранящиеся в Менеджере паролей Google, в случае компрометации учетной записи Google пользователя?
Да, секретные ключи доступа защищены сквозным шифрованием. Взломанный аккаунт Google не позволит раскрыть ключи доступа, поскольку для их расшифровки пользователю также необходимо разблокировать экран своего Android-устройства.
Похожие темы
Как ключи доступа соотносятся с федерацией удостоверений?
Федерация удостоверений — отличное решение для сервисов, интегрирующихся с одним или несколькими поставщиками OpenID. Она возвращает базовую информацию профиля пользователя, такую как имя и подтверждённый адрес электронной почты, и, как и пароли, обеспечивает безопасный и удобный механизм входа. Пароли, с другой стороны, не требуют интеграции с поставщиком OpenID, но не содержат базовой информации профиля. Разработчикам следует рекомендовать пароли пользователям, использующим пароли. Разработчикам следует самостоятельно рассмотреть возможность интеграции с одним или несколькими поставщиками OpenID, чтобы предоставить пользователям возможность выбора.