Esta página foi traduzida pela API Cloud Translation.

Perguntas frequentes

Geral

Quem oferece suporte a chaves de acesso?

Como as chaves de acesso são baseadas nos padrões da FIDO, elas funcionam no Android e no Chrome, além de muitos outros ecossistemas e navegadores conhecidos, como Microsoft Windows, Microsoft Edge, macOS, iOS e Safari.

Consulte Ambientes compatíveis para verificar o status de suporte no Chrome e no Android.

As chaves de acesso funcionam em dispositivos sem um método de bloqueio de tela configurado?

Isso depende da implementação do gerenciador de senhas e de se um provedor de credenciais permite a criação e autenticação de uma chave de acesso sem um desafio de fator de conhecimento do usuário. Os provedores podem pedir que os usuários configurem um PIN ou um bloqueio de tela biométrico antes de criar uma chave de acesso.

Como as chaves de acesso registradas em uma plataforma (como o Android) podem ser usadas para fazer login em outras plataformas (como a Web ou o iOS)?

Uma chave de acesso registrada no Android, por exemplo, pode ser usada para fazer login em outras plataformas conectando o smartphone Android a outro dispositivo. Para estabelecer uma conexão entre os dois dispositivos, os usuários precisam abrir o site em que estão tentando fazer login em um dispositivo sem uma chave de acesso registrada, ler um QR code e confirmar o login no dispositivo em que a chave de acesso foi criada (neste caso, o dispositivo Android). A chave de acesso nunca sai do dispositivo Android. Por isso, geralmente os apps sugerem criar uma nova chave de acesso no outro dispositivo para facilitar o login na próxima vez. Esse fluxo funciona de maneira semelhante em outras plataformas.

Posso mover chaves de acesso sincronizadas de um provedor de plataforma para outro?

As chaves de acesso são salvas no provedor de credenciais definido pela plataforma. Algumas plataformas, como o Android, permitem que os usuários escolham o provedor de preferência (um gerenciador de senhas do sistema ou de terceiros) a partir do Android 14, que pode sincronizar chaves de acesso em diferentes plataformas. No momento, não é possível mover chaves de acesso diretamente de um provedor de plataforma para outro.

Um usuário pode sincronizar as chaves de acesso em dispositivos Android que não são do Google?

As chaves de acesso são sincronizadas apenas no ecossistema do dispositivo (ou seja, Android para Android com o Gerenciador de senhas do Google por padrão), mas não em todo o ecossistema.

O Android está abrindo a plataforma (a partir do Android 14) para permitir que os usuários selecionem o provedor de credenciais que querem usar, como um gerenciador de senhas de terceiros. Isso vai permitir casos de uso como a sincronização de chaves de acesso entre diferentes ecossistemas (dependendo do nível de abertura de outras plataformas).

O que os desenvolvedores precisam fazer em relação a dispositivos e plataformas que não oferecem suporte a chaves de acesso?

Recomendamos que os desenvolvedores mantenham as opções de login atuais no app por enquanto para que elas continuem disponíveis em dispositivos e plataformas que não oferecem suporte a chaves de acesso.

Uma chave de acesso pode expirar?

Não. Isso depende do provedor que armazena as chaves de acesso e do RP (relying party), mas não há uma prática comum para expirar chaves de acesso.

Um RP pode especificar uma conta para o usuário fazer login?

As partes confiáveis (apps de terceiros) podem preencher o allowCredentials com uma lista de IDs de credenciais enviadas do back-end do app, indicando quais chaves de acesso devem ser usadas para autenticar o usuário.

Chaves de acesso no Android e no Chrome

Os apps Android podem usar chaves de acesso criadas no Chrome para autenticação?

Para chaves de acesso criadas no Chrome no Android:

Sim, as chaves de acesso criadas no Chrome são salvas no Gerenciador de senhas do Google e disponíveis no Android e vice-versa quando os usuários fazem login na mesma Conta do Google.

Observação: a primeira etapa para ativar o suporte a chaves de acesso no seu app Android é associar o app ao site. Para isso, hospede um arquivo JSON Digital Asset Links no seu site e adicione um link a ele no manifesto do app. Isso demonstra que você é proprietário do site e do app. Para saber mais, consulte a documentação sobre Digital Asset Links.
Para chaves de acesso criadas no Chrome em outras plataformas:

Se a chave de acesso for criada no Chrome em outras plataformas (Mac, iOS, Windows), a resposta é não. Confira os ambientes compatíveis para mais informações. Enquanto isso, os usuários podem usar o smartphone em que criaram a chave de acesso para fazer login.

O que acontece com as credenciais criadas antes de começar a usar chaves de acesso? Podemos continuar usando esses recursos?

Sim, no Chrome e no Android, as credenciais vinculadas ao dispositivo criadas antes de ativarmos a sincronização estão disponíveis e ainda podem ser usadas para autenticação.

O que acontece se um usuário perder o dispositivo?

As chaves de acesso criadas no Android são sincronizadas e têm backup feito com dispositivos Android conectados à mesma Conta do Google, da mesma forma que as senhas são armazenadas no gerenciador de senhas.

Isso significa que as chaves de acesso dos usuários acompanham eles quando trocam de dispositivo. Para fazer login em apps em um novo smartphone, basta que o usuário se verifique com o bloqueio de tela do dispositivo atual.

É necessário configurar o bloqueio de tela biométrico e por PIN ou padrão no dispositivo para fazer login com chaves de acesso? Ou um deles é suficiente?

Um método de bloqueio de tela é suficiente.

Uma chave de acesso está vinculada a um método específico de bloqueio de tela, como impressão digital, PIN ou padrão?

Isso depende da plataforma do dispositivo e de como a verificação de usuário é feita. No caso do Gerenciador de senhas do Google, as chaves de acesso não estão vinculadas a nenhum método de autenticação específico e podem ser usadas com qualquer fator de bloqueio de tela disponível (biometria, PIN ou padrão).

Um RP ainda pode criar credenciais vinculadas a dispositivos que não são sincronizadas?

Por enquanto, as credenciais não detectáveis criadas no Chrome no Android ou em um app Android usando as APIs do Play Services mantêm o comportamento atual e, portanto, continuam vinculadas ao dispositivo.

Ao usar chaves de acesso, a extensão de chave pública do dispositivo em desenvolvimento é uma segunda chave vinculada ao dispositivo que não será sincronizada e poderá ser usada para análise de risco. No entanto, isso ainda não é compatível com nenhum provedor de credenciais.

Como funciona a sincronização de chaves de acesso com um novo dispositivo? Os usuários precisam ter acesso ao dispositivo em que criaram uma chave de acesso?

No Android:

Se as chaves de acesso foram salvas no Gerenciador de senhas do Google, basta fazer login no novo dispositivo com a mesma Conta do Google e verificar a identidade com o bloqueio de tela do dispositivo anterior (PIN, padrão ou senha). O dispositivo anterior não é necessário para que o usuário faça login em outros dispositivos.
Se as chaves de acesso foram salvas em um provedor de credenciais diferente, isso vai depender dos fluxos de login em novos dispositivos desse provedor. A maioria dos provedores de credenciais sincroniza as credenciais com a nuvem e oferece aos usuários maneiras de acessá-las em novos dispositivos após a autenticação.

Privacidade e segurança

As informações biométricas do usuário estão seguras?

Sim, os dados biométricos do usuário nunca saem do dispositivo e nunca são armazenados em um servidor central onde podem ser roubados em uma violação.

Um usuário pode fazer login no dispositivo de um amigo usando uma chave de acesso no smartphone?

Sim. Os usuários podem configurar um "link único" entre o smartphone e o dispositivo de outra pessoa para fazer login.

As chaves de acesso armazenadas no Gerenciador de senhas do Google ficam protegidas se a Conta do Google de um usuário for comprometida?

Sim, os segredos da chave de acesso são criptografados de ponta a ponta. Uma Conta do Google comprometida não expõe chaves de acesso, porque os usuários também precisam desbloquear a tela do dispositivo Android para descriptografá-las.

Temas relacionados

Como as chaves de acesso se comparam à federação de identidade?

A federação de identidade é uma ótima solução para serviços que se integram a um ou mais provedores OpenID. Ele retorna as informações básicas de perfil do usuário, como nome e endereço de e-mail verificado, e, assim como as chaves de acesso, oferece um mecanismo de login seguro e conveniente. Já as chaves de acesso não exigem integração com um provedor OpenID, mas não têm informações básicas de perfil. Os desenvolvedores precisam recomendar chaves de acesso para usuários que usam senhas. Os desenvolvedores precisam considerar de forma independente a integração com um ou mais provedores OpenID para dar uma opção aos usuários.