geral
Quem aceita chaves de acesso?
Como as chaves de acesso são baseadas nos padrões FIDO, elas funcionam no Android e no Chrome, além de muitos outros ecossistemas e navegadores conhecidos, como Microsoft Windows, Microsoft Edge, macOS, iOS e Safari.
Consulte Ambientes compatíveis para verificar o status de compatibilidade no Chrome e no Android.
As chaves de acesso funcionam em dispositivos que não têm um método de bloqueio de tela configurado?
Isso depende da implementação do gerenciador de senhas, se um provedor de credenciais permite a criação e a autenticação de chaves de acesso sem um desafio de fator de conhecimento do usuário. Os provedores podem solicitar que os usuários configurem um PIN ou um bloqueio de tela biométrico antes de criar uma senha de acesso.
Como as chaves de acesso registradas em uma plataforma (como o Android) podem ser usadas para fazer login em outras plataformas (como Web ou iOS)?
Uma chave de acesso registrada no Android, por exemplo, pode ser usada para fazer login em outras plataformas conectando o smartphone Android a outro dispositivo. Para estabelecer uma conexão entre os dois dispositivos em que os usuários precisam abrir o site em que estão tentando fazer login em um dispositivo sem chave de acesso registrada, leia o código QR e confirme o login no dispositivo em que a chave de acesso foi criada (neste caso, o dispositivo Android). A chave de acesso nunca deixa o dispositivo Android. Portanto, normalmente os apps sugerem a criação de uma nova chave de acesso no outro dispositivo para facilitar o login na próxima vez. Esse fluxo também funciona de forma semelhante para outras plataformas.
Posso mover as chaves de acesso sincronizadas de um provedor de plataforma para outro?
As chaves de acesso são salvas no provedor de credenciais definido pela plataforma. Algumas plataformas, como o Android, permitem que os usuários escolham o provedor que preferirem (um sistema ou um gerenciador de senhas de terceiros) a partir do Android 14, que pode sincronizar chaves de acesso em diferentes plataformas. No momento, não há compatibilidade com a movimentação de chaves de acesso diretamente de um provedor de plataforma para outro.
Um usuário pode sincronizar as chaves de acesso em dispositivos que não são Android do Google?
As chaves de acesso são sincronizadas apenas no ecossistema do dispositivo (ou seja, de Android para Android com o Gerenciador de senhas do Google por padrão), mas não em todo o ecossistema.
O Android está abrindo a plataforma (a partir do Android 14) para permitir que os usuários selecionem qual provedor de credenciais querem usar (como um gerenciador de senhas de terceiros). Isso permitirá casos de uso, como sincronizar chaves de acesso entre diferentes ecossistemas (dependendo da abertura de outras plataformas).
O que os desenvolvedores precisam fazer em relação a dispositivos e plataformas não compatíveis com chaves de acesso?
Recomendamos que os desenvolvedores mantenham as opções de login atuais no app para que continuem disponíveis para dispositivos e plataformas não compatíveis com chaves de acesso.
Uma chave de acesso pode expirar?
Não. Isso depende do provedor armazenar as chaves de acesso e o RP (parte confiável), mas não há prática comum de expiração das chaves de acesso.
Um RP pode especificar uma conta para o usuário fazer login?
As partes confiáveis (apps de terceiros) podem preencher o allowallow com uma lista de códigos de credencial enviados do back-end do app, indicando quais chaves de acesso precisam ser usadas para autenticar o usuário.
Chaves de acesso no Android e no Chrome
Os apps Android podem usar chaves de acesso criadas no Chrome para autenticação?
Para chaves de acesso criadas no Chrome no Android:
Sim, as chaves de acesso criadas no Chrome são salvas no Gerenciador de senhas do Google e ficam disponíveis no Android, e vice-versa, quando os usuários fazem login na mesma Conta do Google.
Para chaves de acesso criadas no Chrome em outras plataformas:
Se a senha de acesso for criada no Chrome em outras plataformas (Mac, iOS, Windows), não. Confira os ambientes compatíveis para mais informações. Enquanto isso, os usuários podem usar o smartphone em que criaram a senha para fazer login.
O que acontece com as credenciais criadas antes da introdução das chaves de acesso? Podemos continuar a usá-los?
Sim, tanto no Chrome quanto no Android, as credenciais vinculadas ao dispositivo criadas antes da ativação da sincronização estão disponíveis e ainda podem ser usadas para autenticação.
O que acontece se um usuário perder o dispositivo?
As chaves de acesso criadas no Android são armazenadas em backup e sincronizadas com dispositivos Android conectados à mesma Conta do Google, da mesma forma que as senhas são armazenadas em backup no gerenciador de senhas.
Isso significa que as chaves de acesso do usuário são usadas quando os dispositivos são substituídos. Para fazer login em apps em um novo smartphone, tudo o que o usuário precisa fazer é verificar a si mesmo com o bloqueio de tela do dispositivo existente.
A biometria e o PIN ou a configuração de bloqueio de tela padrão no dispositivo são necessários para fazer login com chaves de acesso ou uma dessas opções é o suficiente?
Um método de bloqueio de tela é suficiente.
Uma senha de acesso está vinculada a um método de bloqueio de tela específico, como impressão digital, PIN ou padrão?
Depende da plataforma do dispositivo e de como ele executa a verificação do usuário. No caso do Gerenciador de senhas do Google, as chaves de acesso não estão vinculadas a nenhum método de autenticação específico e podem ser usadas com qualquer fator de bloqueio de tela disponível (biométrica, PIN ou padrão).
Um RP ainda pode criar credenciais vinculadas ao dispositivo que não sejam sincronizadas?
Por enquanto, as credenciais não detectáveis criadas no Chrome no Android ou em um app Android usando as APIs do Google Play Services mantêm o comportamento existente e, portanto, continuam vinculadas ao dispositivo.
Ao usar chaves de acesso, a extensão de chave pública do dispositivo que está em desenvolvimento é uma segunda chave vinculada ao dispositivo que não será sincronizada e poderá ser usada para análise de risco. No entanto, isso ainda não é compatível com nenhum provedor de credenciais.
Como funciona a sincronização de chaves de acesso com um novo dispositivo? Os usuários precisam ter acesso ao dispositivo em que criaram uma senha de acesso?
No Android:
Se as chaves de acesso foram salvas no Gerenciador de senhas do Google, tudo o que o usuário precisa fazer é fazer login no novo dispositivo com a mesma Conta do Google e verificar-se com o bloqueio de tela do dispositivo anterior (PIN, padrão ou senha). O dispositivo anterior não é necessário para que o usuário faça login em outros dispositivos.
Se as chaves de acesso forem salvas em um provedor de credenciais diferente, isso dependerá dos fluxos de login em novos dispositivos desse provedor de credenciais. A maioria dos provedores de credenciais sincroniza as credenciais com a nuvem e oferece maneiras de os usuários acessá-las em novos dispositivos após a autenticação.
Privacidade e segurança
As informações biométricas do usuário estão seguras?
Sim, os dados biométricos do usuário nunca saem do dispositivo e nunca são armazenados em um servidor central onde eles podem ser roubados em uma violação.
Um usuário pode fazer login no dispositivo de um amigo usando uma senha de acesso no smartphone?
Sim. Os usuários podem configurar um "link único" entre o smartphone e o dispositivo de outra pessoa para fazer login.
As chaves de acesso armazenadas no Gerenciador de senhas do Google são protegidas se a Conta do Google de um usuário é comprometida?
Sim, os secrets de chave de acesso são criptografados de ponta a ponta. Uma Conta do Google comprometida não expõe chaves de acesso, porque os usuários também precisam desbloquear a tela do dispositivo Android para descriptografar as chaves.
Temas relacionados
Como as chaves de acesso são comparadas à federação de identidade?
A federação de identidades é ótima para inscrever-se em um serviço, já que retorna as informações básicas do perfil do usuário, como nome e endereço de e-mail verificado, que ajudam a inicializar novas contas. As chaves de acesso são ótimas para simplificar a reautenticação de usuários.