Общий
Кто поддерживает ключи доступа?
Поскольку ключи доступа основаны на стандартах FIDO, они работают на Android и Chrome, а также во многих других популярных экосистемах и браузерах, таких как Microsoft Windows, Microsoft Edge, macOS, iOS и Safari.
См. раздел Поддерживаемые среды , чтобы проверить статус поддержки Chrome и Android.
Работают ли ключи доступа на устройствах, на которых не настроен метод блокировки экрана?
От реализации менеджера паролей зависит, позволяет ли поставщик учетных данных создавать ключ доступа и аутентификацию без учета фактора знаний пользователя. Поставщики услуг могут предлагать пользователям установить PIN-код или биометрическую блокировку экрана перед созданием ключа доступа.
Как ключи доступа, зарегистрированные на одной платформе (например, Android), можно использовать для входа на других платформах (например, в Интернете или iOS)?
Например, ключ доступа, зарегистрированный на Android, можно использовать для входа в систему на других платформах, подключив телефон Android к другому устройству. Чтобы установить соединение между двумя устройствами, пользователям необходимо открыть сайт, на который они пытаются войти, на устройстве, на котором не зарегистрирован ключ доступа, отсканировать QR-код, а затем подтвердить вход на устройстве, которое у них было. создал ключ доступа (в данном случае на устройстве Android). Ключ доступа никогда не покидает устройство Android, поэтому обычно приложения предлагают создать новый ключ доступа на другом устройстве, чтобы облегчить вход в систему в следующий раз. Этот процесс будет работать аналогичным образом и для других платформ.
Могу ли я перенести синхронизированные ключи доступа от одного поставщика платформы к другому?
Ключи доступа сохраняются у поставщика учетных данных, определенного платформой. Некоторые платформы, такие как Android, позволяют пользователям выбирать поставщика по своему выбору (системный или сторонний менеджер паролей), начиная с Android 14 , который может иметь возможность синхронизировать ключи доступа на разных платформах. В настоящее время поддержка перемещения ключей доступа напрямую от одного поставщика платформы к другому недоступна.
Может ли пользователь синхронизировать свои ключи доступа на устройствах Android, отличных от Google?
Ключи доступа синхронизируются только внутри экосистемы устройства (то есть между Android и Android с помощью Диспетчера паролей Google по умолчанию), но не во всей экосистеме.
Android открывает платформу (начиная с Android 14), позволяющую пользователям выбирать, какого поставщика учетных данных они хотят использовать (например, сторонний менеджер паролей). Это позволит использовать такие варианты использования, как синхронизация ключей доступа между различными экосистемами (в зависимости от того, насколько открыты другие платформы).
Что следует делать разработчикам с устройствами и платформами, которые не поддерживают ключи доступа?
Разработчикам рекомендуется пока сохранить существующие параметры входа в свое приложение, чтобы они по-прежнему были доступны для устройств и поверхностей, которые не поддерживают ключи доступа.
Может ли срок действия пароля истечь?
Нет. Это зависит от поставщика, хранящего ключи доступа, и RP (проверяющей стороны), но общепринятой практики прекращения действия ключей доступа не существует.
Может ли RP указать учетную запись, с которой пользователь сможет войти в систему?
Проверяющие стороны (сторонние приложения) могут заполнить параметр « allowCredentials » списком идентификаторов учетных данных, отправленных из серверной части приложения, с указанием того, какие ключи доступа следует использовать для аутентификации пользователя.
Ключи доступа на Android и Chrome
Могут ли приложения Android использовать для аутентификации ключи доступа, созданные в Chrome?
Для ключей доступа, созданных в Chrome на Android:
Да, ключи доступа, созданные в Chrome, сохраняются в Диспетчере паролей Google и доступны на Android, и наоборот, когда пользователи входят в одну и ту же учетную запись Google.
Для ключей доступа, созданных в Chrome на других платформах:
Если ключ доступа создан в Chrome на других платформах (Mac, iOS, Windows), то нет. Ознакомьтесь с поддерживаемыми средами для получения дополнительной информации. Тем временем пользователи могут использовать телефон, на котором они создали ключ доступа, для входа в систему.
Что происходит с учетными данными, созданными до введения ключей доступа? Можем ли мы продолжать их использовать?
Да, как в Chrome, так и в Android учетные данные, привязанные к устройству, созданные до того, как мы включили синхронизацию, доступны и по-прежнему могут использоваться для аутентификации.
Что произойдет, если пользователь потеряет свое устройство?
Ключи доступа, созданные на Android, копируются и синхронизируются с устройствами Android, на которых выполнен вход в ту же учетную запись Google, так же, как резервные копии паролей сохраняются в диспетчере паролей.
Это означает, что ключи доступа пользователя остаются с ним при замене устройства. Чтобы войти в приложения на новом телефоне, пользователю достаточно подтвердить свою личность с помощью блокировки экрана существующего устройства.
Требуется ли на устройстве для входа в систему с помощью ключей доступа настройка блокировки экрана с помощью биометрических данных и PIN-кода или шаблона или одного из них достаточно?
Одного метода блокировки экрана достаточно.
Привязан ли ключ доступа к определенному методу блокировки экрана, например отпечатку пальца, PIN-коду или рисунку?
Это зависит от платформы устройства и способа проверки пользователя. В случае с Диспетчером паролей Google ключи доступа не привязаны к каким-либо конкретным методам аутентификации и могут использоваться с любым доступным фактором блокировки экрана (биометрическим, PIN-кодом или шаблоном).
Может ли RP по-прежнему создавать несинхронизированные учетные данные, привязанные к устройству?
На данный момент необнаружимые учетные данные, созданные в Chrome на Android или в приложении Android с использованием API-интерфейсов Play Services, сохраняют свое существующее поведение и, таким образом, продолжают быть привязанными к устройству.
При использовании ключей доступа расширение открытого ключа устройства , которое находится в стадии разработки, представляет собой второй ключ, привязанный к устройству, который не будет синхронизироваться и может использоваться для анализа рисков. Однако это пока не поддерживается ни одним поставщиком учетных данных.
Как работает синхронизация ключей доступа с новым устройством? Должен ли пользователь иметь доступ к устройству, на котором он создал ключ доступа?
На Android:
Если ключи доступа были сохранены в Диспетчере паролей Google , все, что нужно сделать пользователю, — это войти в систему на новом устройстве с той же учетной записью Google и подтвердить свои действия с помощью блокировки экрана предыдущего устройства (PIN-код, шаблон или пароль). Предыдущее устройство не требуется для входа пользователя на другие устройства.
Если ключи доступа были сохранены у другого поставщика учетных данных, это будет зависеть от потоков входа на новых устройствах этого поставщика учетных данных. Большинство поставщиков учетных данных синхронизируют учетные данные с облаком и предлагают пользователям способы доступа к ним на новых устройствах после аутентификации.
Конфиденциальность и безопасность
Безопасна ли биометрическая информация пользователя?
Да, биометрические данные пользователя никогда не покидают устройство и никогда не хранятся на центральном сервере, где они могут быть украдены в случае взлома.
Может ли пользователь войти на устройство друга, используя ключ доступа на своем телефоне?
Да. Пользователи могут установить «одноразовую ссылку» между своим телефоном и чужим устройством для входа в систему.
Защищены ли ключи доступа, хранящиеся в Диспетчере паролей Google, если учетная запись Google пользователя взломана?
Да, секреты ключей полностью зашифрованы. Скомпрометированная учетная запись Google не будет раскрывать ключи доступа, поскольку пользователям также необходимо разблокировать экран своего устройства Android, чтобы расшифровать ключи доступа.
похожие темы
Чем ключи доступа отличаются от федерации удостоверений?
Федерация удостоверений отлично подходит для регистрации в службе, поскольку она возвращает базовую информацию профиля пользователя, такую как имя и подтвержденный адрес электронной почты, которые помогают загружать новые учетные записи. Ключи доступа отлично подходят для упрощения повторной аутентификации пользователей.