התחברות ללא סיסמה באמצעות קודי סיסמה

קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

מפתחות הגישה

מבוא

מפתחות הגישה הם תחליף בטוח יותר וקל יותר לסיסמאות. מפתחות הגישה מאפשרים למשתמשים להיכנס לאפליקציות ולאתרים באמצעות חיישן ביומטרי (כמו טביעת אצבע או זיהוי פנים), קוד אימות או קו ביטול נעילה, וכך הם לא יכולים לזכור ולנהל סיסמאות.

מפתח גישה יכול להחליף סיסמה וגורם שני בשלב אחד. חוויית המשתמש יכולה להיות קלה כמו מילוי אוטומטי של טופס סיסמה. מפתחות הגישה מספקים הגנה חזקה מפני מתקפות פישינג, בניגוד ל-SMS או סיסמאות חד-פעמיות לאפליקציות. מפתחות הגישה הם סטנדרטיים, ולכן הטמעה יחידה מאפשרת חוויה ללא סיסמה בדפדפנים שונים ובמערכות הפעלה שונות.

מהם מפתחות גישה?

מפתח גישה הוא פרטי כניסה דיגיטליים, שקשורים לחשבון משתמש ולאתר או לאפליקציה. מפתחות הגישה מאפשרים למשתמשים לאמת את החשבון בלי להזין שם משתמש, סיסמה או לספק גורם אימות נוסף. מטרת הטכנולוגיה הזו היא להחליף מנגנוני אימות מדור קודם, כמו סיסמאות.

כשמשתמש רוצה להיכנס לשירות עם מפתחות גישה, הדפדפן או מערכת ההפעלה שלו יעזרו לו לבחור את מפתח הגישה הנכון ולהשתמש בו. החוויה דומה לאופן שבו סיסמאות שמורות פועלות היום. כדי לוודא שרק הבעלים החוקיים יכולים להשתמש במפתח גישה, המערכת תבקש מהם לבטל את הנעילה של המכשיר שלהם. ניתן לבצע את הפעולה הזו עם חיישן ביומטרי (כמו טביעת אצבע או זיהוי פנים), קוד אימות או קו ביטול נעילה.

כדי ליצור מפתח לאתר או לאפליקציה, המשתמש צריך קודם כל להירשם באתר או באפליקציה. כשהם יכנסו לאתר או לאפליקציה כדי להיכנס, הם יוכלו לבצע את השלבים הבאים:

  1. נכנסים לאפליקציה.
  2. לחץ על כניסה.
  3. בוחרים את מפתח הגישה.
  4. כדי להשלים את ההתחברות, צריך לבטל את נעילת המסך של המכשיר.

המכשיר של המשתמש יוצר חתימה על סמך מפתח הגישה. החתימה הזו משמשת לאימות פרטי הכניסה בין המקור למפתח הגישה.

משתמש יכול להיכנס לשירותים בכל מכשיר באמצעות מפתח גישה, ללא קשר למיקום האחסון של מפתח הגישה. לדוגמה, מפתח גישה שנוצר בטלפון נייד יכול לשמש לכניסה לאתר במחשב נייד נפרד.

איך מפתחות הגישה פועלים?

מפתחות הגישה נועדו לשימוש באמצעות תשתית של מערכת הפעלה, שמאפשרת למנהלי מפתחות ליצור, לגבות ולהנגיש את מפתחות הגישה לאפליקציות שפועלות באותה מערכת הפעלה. ב-Chrome ב-Android, מפתחות גישה מאוחסנים במנהל הסיסמאות של Google, שמסנכרן מפתחות סיסמה בין מכשירי Android של המשתמש שמחוברים לאותו חשבון Google.

המשתמשים לא מוגבלים לשימוש במפתחות הגישה רק במכשיר שבו הם מאוחסנים – ניתן להשתמש במפתח גישה שמאוחסן בטלפונים במהלך ההתחברות למחשב נייד, גם אם מפתח הגישה לא מסונכרן למחשב הנייד, כל עוד הטלפון נמצא ליד המחשב הנייד והמשתמש מאשר את הכניסה לחשבון בטלפון. מפתחות הגישה מבוססים על תקני FIDO, ולכן כל הדפדפנים יכולים להשתמש בהם.

לדוגמה, משתמש מבקר ב-site.example ב-Chromebook שלו. המשתמש הזה התחבר בעבר אל site.example במכשיר iOS שלו ויצר מפתח גישה. ב-Chromebook, המשתמש בוחר להיכנס עם מפתח גישה ממכשיר אחר. שני המכשירים יתחברו והמשתמש יתבקש לאשר את השימוש במפתח הגישה במכשיר iOS, למשל עם FaceID. לאחר מכן, הם נכנסו ל-Chromebook. חשוב לזכור שמפתח הגישה עצמו לא מועבר ל-Chromebook, אז בדרך כלל site.example יציע ליצור שם מפתח גישה חדש. כך, הטלפון לא נדרש בפעם הבאה שהמשתמש רוצה להיכנס. אפשר לקרוא מידע נוסף במאמר כניסה באמצעות טלפון.

סנכרון מפתחות

שיקולי פרטיות

  • חלק מהמשתמשים עשויים להיות מופתעים אם אימות ביומטרי מופיע פתאום באתר או באפליקציה, ולדעתך הוא שולח מידע רגיש לשרת. באמצעות מפתחות הגישה, המידע הביומטרי של המשתמש לעולם לא ייחשף לאתר או לאפליקציה. חומרים ביומטריים אף פעם לא נשלחים מהמכשיר האישי של המשתמש.
  • מפתחות הגישה כשלעצמם אינם מאפשרים מעקב אחר משתמשים או מכשירים בין אתרים. מפתח הגישה לעולם לא ישמש יותר מאתר אחד. פרוטוקולים של מפתחות אבטחה מתוכננים בקפידה כך שלא ניתן להשתמש במידע שמשותף עם אתרים בתור וקטור מעקב.
  • מנהלי מפתחות הגישה מגינים על מפתחות הגישה מפני גישה ושימוש ללא אישור. לדוגמה, מנהל הסיסמאות של Google מצפין סודות של מפתחות. רק המשתמש יכול לגשת ולהשתמש בהם, ולמרות שהם מגובים בשרתים של Google, Google לא יכולה להשתמש בהם כדי להתחזות למשתמשים.

שיקולי אבטחה

  • מפתחות הגישה משתמשים בקריפטוגרפיה של מפתח ציבורי. קריפטוגרפיה של מפתח ציבורי מפחיתה את האיום מפורצים פוטנציאליים של נתונים. כשמשתמש יוצר מפתח גישה עם אתר או אפליקציה, נוצר זוג מפתחות ציבוריים-פרטיים במכשיר של המשתמש. רק המפתח הציבורי מאוחסן על ידי האתר, אבל הוא לבדו לא שימושי לתוקפים. התוקף לא יכול לגזור את המפתח הפרטי של המשתמש מהנתונים שמאוחסנים בשרת, הנדרשים להשלמת האימות.
  • מפתחות הגישה קשורים לזהות של אתר או של אפליקציה, ולכן הם בטוחים מפני התקפות פישינג. הדפדפן ומערכת ההפעלה מבטיחים שאפשר להשתמש במפתח גישה רק עם האתר או האפליקציה שיצרו אותם. כך תוכלו למנוע מהמשתמשים להיות אחראים להיכנס לאתר או לאפליקציה המקוריים.

קבלת עדכונים

תוכלו להירשם לניוזלטר למפתחים של Google בנושא מפתחות כדי לקבל עדכונים על מפתחות הגישה.

השלבים הבאים