כללי
מי תומך במפתחות גישה?
מפתחות הגישה מבוססים על תקני FIDO, ולכן הם פועלים ב-Android וב-Chrome יחד עם מערכות אקולוגיות ודפדפנים פופולריים אחרים כמו Microsoft Windows, Microsoft Edge, macOS, iOS ו-Safari.
כדאי לעיין בסביבות נתמכות כדי לבדוק את סטטוס התמיכה ב-Chrome וב-Android.
האם מפתחות הגישה פועלים במכשירים שלא הוגדרה בהם שיטת נעילת מסך?
זה תלוי בהטמעה של מנהל הסיסמאות, אם ספק של פרטי כניסה מאפשר ליצור ולאמת קוד גישה בלי לקבל אתגר של ידע של המשתמש. ספקים יכולים לבקש מהמשתמשים להגדיר קוד אימות או נעילת מסך ביומטרית לפני יצירת מפתח גישה.
איך אפשר להשתמש במפתחות גישה שרשומים בפלטפורמה אחת (כמו Android) כדי להיכנס לחשבון בפלטפורמות אחרות (כמו אינטרנט או iOS)?
לדוגמה, ניתן להשתמש במפתח שרשום ב-Android כדי להיכנס לחשבון בפלטפורמות אחרות על ידי חיבור טלפון Android למכשיר אחר. כדי ליצור חיבור בין שני המכשירים שהמשתמשים צריכים לפתוח באתר שאליו הם מנסים להיכנס, במכשיר שאין לו מפתח גישה, סורקים קוד QR ומאשרים את הכניסה במכשיר שבו הם יצרו את מפתח הגישה (במקרה הזה, מכשיר ה-Android). מפתח הגישה אף פעם לא עוזב את מכשיר ה-Android, לכן בדרך כלל אפליקציות יציעו ליצור מפתח גישה חדש במכשיר השני כדי להקל על הכניסה בפעם הבאה. התהליך הזה יפעל גם באופן דומה עבור פלטפורמות אחרות.
האם אפשר להעביר מפתחות גישה מסונכרנים מספק פלטפורמה אחד לאחר?
מפתחות הגישה נשמרים אצל ספק פרטי הכניסה שהפלטפורמה מגדירה. בחלק מהפלטפורמות, כמו Android, המשתמשים יכולים לבחור את הספק הרצוי (מערכת ניהול או מנהל סיסמאות של צד שלישי) החל מ-Android 14, וייתכן שהם יוכלו לסנכרן מפתחות גישה בפלטפורמות שונות. כרגע אין תמיכה בהעברת מפתחות גישה ישירות מספק פלטפורמה אחד לספק אחר.
האם משתמש יכול לסנכרן את מפתחות הגישה שלו במכשירים שאינם של Google?
מפתחות הגישה מסונכרנים רק בסביבה העסקית של המכשיר (כלומר, כברירת מחדל, היא Android עם מנהל הסיסמאות של Google), אבל לא בסביבה העסקית כולה.
מערכת Android פותחת את הפלטפורמה (החל מ-Android 14) כדי לאפשר למשתמשים לבחור את ספק פרטי הכניסה שבו הם רוצים להשתמש (למשל, מנהל סיסמאות של צד שלישי). כך תוכלו להשתמש בתרחישים לדוגמה כמו סנכרון מפתחות גישה בין מערכות אקולוגיות שונות (בהתאם לפתיחה של פלטפורמות אחרות).
מה המפתחים צריכים לעשות לגבי מכשירים ופלטפורמות שלא תומכים במפתחות גישה?
בינתיים מומלץ למפתחים לשמור את אפשרויות הכניסה הקיימות באפליקציה כדי שהן יוכלו להמשיך להיות זמינות למכשירים ולפלטפורמות שלא תומכים במפתחות גישה.
האם פג התוקף של מפתח הגישה?
לא. זה תלוי בספק שמארח את מפתחות הגישה וב-RP (הצד המהימן), אבל אין שיטה נפוצה שתוקפה יפוג מפתחות גישה.
האם RP יכול לציין חשבון שבאמצעותו המשתמש יוכל להיכנס?
גורמים חיצוניים (אפליקציות של צד שלישי) יכולים לאכלס את 'allowCredentials' ברשימה של מזהי פרטי כניסה שנשלחים מהקצה העורפי של האפליקציה, כדי לציין באילו מפתחות מפתח צריך להשתמש כדי לאמת את המשתמש.
מפתחות גישה ב-Android וב-Chrome
האם אפליקציות ל-Android יכולות להשתמש במפתחות גישה שנוצרו ב-Chrome לצורך אימות?
עבור מפתחות גישה שנוצרו ב-Chrome ב-Android:
כן, מפתחות הגישה שנוצרו ב-Chrome נשמרים במנהל הסיסמאות של Google. הם זמינים ב-Android ולהפך כשמשתמשים מחוברים לאותו חשבון Google.
עבור מפתחות גישה שנוצרו ב-Chrome בפלטפורמות אחרות:
אם מפתח הגישה נוצר ב-Chrome בפלטפורמות אחרות (Mac, iOS, Windows), לא זמין. מידע נוסף זמין בסביבות הנתמכות. בינתיים, המשתמשים יכולים להשתמש בטלפון שהם יצרו עם מפתח הגישה כדי להיכנס לחשבון.
מה קורה עם פרטי הכניסה שנוצרו לפני השימוש במפתחות גישה? אפשר להמשיך להשתמש בהם?
כן, גם ב-Chrome וגם ב-Android פרטי הכניסה המשויכים למכשיר נוצרו לפני שהפעלתם את הסנכרון, והם עדיין יכולים לשמש לאימות.
מה קורה אם משתמש מאבד את המכשיר?
מפתחות גישה שנוצרו ב-Android מגובים ומסתנכרנים עם מכשירי Android שמחוברים לאותו חשבון Google, בדיוק כמו שסיסמאות מגובות במנהל הסיסמאות.
המשמעות היא שמפתחות הגישה של המשתמש מועברים אליהם כשהם מחליפים את המכשירים שלהם. כדי להיכנס לאפליקציות בטלפון חדש, כל מה שהמשתמש צריך לעשות הוא לבצע אימות באמצעות נעילת המסך של המכשיר הקיים.
האם נדרשת נעילת מסך ביומטרית וגם קוד אימות או נעילת מסך במכשיר כדי להיכנס באמצעות מפתחות גישה, או שאחד מהם מספיק?
מספיקה שיטה אחת לנעילת מסך.
האם מפתח גישה מקושר לשיטה ספציפית של נעילת מסך כמו טביעת אצבע, קוד אימות או קו ביטול נעילה?
משך הזמן תלוי בפלטפורמת המכשיר ובאופן שבו המשתמשים מריצים את אימות המשתמש. במקרה של מנהל הסיסמאות של Google, מפתחות הגישה לא קשורים לשיטות אימות ספציפיות, ואפשר להשתמש בהם בכל גורם של נעילת מסך (למשל בשיטה ביומטרית, באמצעות קוד אימות או קו ביטול נעילה).
האם RP עדיין יכול ליצור פרטי כניסה משויכים למכשיר שאינם מסונכרנים?
בינתיים, פרטי כניסה בלתי גלויים שנוצרו ב-Chrome ב-Android או באפליקציה ל-Android באמצעות ממשקי ה-API של Play Services, שומרים על ההתנהגות הקיימת שלהם וכך נשארים מחוברים למכשיר.
כשאתם משתמשים במפתחות גישה, תוסף המפתח הציבורי של המכשיר שנמצא בפיתוח הוא מפתח שני שמשויך למכשיר, ולא יסונכרן, וניתן להשתמש בו לניתוח סיכונים. עם זאת, עדיין אין תמיכה בספקים של פרטי כניסה.
איך פועל סנכרון של מפתחות גישה עם מכשיר חדש? האם צריכה להיות למשתמשים גישה למכשיר שבו הם יצרו מפתח גישה?
ב-Android:
אם מפתחות הגישה נשמרו במנהל הסיסמאות של Google, כל מה שהמשתמש צריך לעשות הוא להיכנס למכשיר החדש באמצעות אותו חשבון Google ולאמת את עצמו באמצעות נעילת המסך של המכשיר הקודם (קוד אימות, קו ביטול נעילה או קוד גישה). המכשיר הקודם לא נדרש כדי שהמשתמש יתחבר למכשירים אחרים.
אם מפתחות הגישה נשמרו בספק פרטי כניסה אחר, הפעולות האלה תלויות בתהליכי הכניסה במכשירים חדשים של אותו ספק. רוב ספקי פרטי הכניסה מסנכרנים את פרטי הכניסה לענן, ומציעים למשתמשים גישה אליהם במכשירים חדשים אחרי האימות.
פרטיות ואבטחה
האם המידע הביומטרי של המשתמש בטוח?
כן, הנתונים הביומטריים של המשתמשים אף פעם לא נשלחים מהמכשיר ולעולם לא נשמרים בשרת מרכזי שבו ניתן לגנוב אותו עקב פרצה.
האם משתמש יכול להיכנס למכשיר של חבר באמצעות מפתח גישה בטלפון שלו?
כן. משתמשים יכולים להגדיר קישור חד-פעמי" בין הטלפון שלהם למכשיר של מישהו אחר כדי להיכנס לחשבון.
האם מפתחות הגישה ששמורים במנהל הסיסמאות של Google מוגנים אם חשבון Google של המשתמש נפרץ?
כן, הסודות של מפתחות הגישה מוצפנים מקצה לקצה. חשבון Google שנחשף לא לחשוף את מפתחות הגישה, כי המשתמשים צריכים גם לבטל את הנעילה של המסך של מכשיר ה-Android כדי לפענח את מפתחות הגישה.
נושאים קשורים
מה ההבדל בין מפתחות גישה לאיחוד של זהויות?
איחוד זהויות הוא חוויה מצוינת להרשמה לשירות, כי הוא מחזיר את פרטי הפרופיל הבסיסיים של המשתמש, כמו שם וכתובת אימייל מאומתת, שעוזרים להריץ חשבונות חדשים. מפתחות הגישה מתאימים מאוד לייעול האימות של משתמשים.