הלחצן 'כניסה לחשבון באמצעות מפתח גישה'
מפתחות גישה מאפשרים להיכנס לחשבון בלי טפסים בכמה הקשות פשוטות ובאמצעות נעילת המסך של המכשיר. מפתח גישה מכיל את שם המשתמש והשם המוצג של המשתמש, ולכן הדפדפן או מערכת ההפעלה יכולים להציג בורר חשבונות למשתמש שבו הם יוכלו לבחור חשבון לכניסה, ואז לבטל את נעילת המסך כדי לבצע את האימות. לחיצה על הלחצן 'כניסה באמצעות מפתח גישה' תאפשר למשתמש להתחיל את התהליך באתר או באפליקציה.
חוויית המשתמש הזו מומלצת לגורמים מוגבלים שיש להם רק משתמשים עם הרשאות גישה. אם לגורם מוגבל (RP) יש משתמשים שאין להם מפתח גישה, הם עדיין צריכים לאפשר להם להיכנס לחשבון בשיטות אחרות, כמו שם משתמש וסיסמה באמצעות טופס. במקרים כאלה, מומלץ הצעות למילוי אוטומטי של מפתחות גישה בשדות הטופס.
הצעות למילוי אוטומטי של מפתח גישה בשדות הטופס
אפשר להציע אימות שמבוסס על מפתח גישה באמצעות הלחצן 'כניסה באמצעות מפתח גישה'. עם זאת, אם יש משתמשים עם סיסמאות, ה-RP צריך להציע טופס כניסה גם למשתמשים האלה. כדי לתמוך בשני סוגי המשתמשים, אפשר להשתמש במקום זאת באמצעות טופס שם משתמש וסיסמה, כדי לאפשר למשתמש לראות הצעות למילוי אוטומטי גם לסיסמאות וגם למפתחות גישה (אם יש). כך המשתמשים לא יצטרכו לזכור אם הם משתמשים במפתח גישה או בסיסמה.
באמצעות ההגדרה הזו, המשתמש רואה את בורר החשבונות ברגע שמעבירים את העכבר לשדה בטופס. כשבוחרים חשבון, כשהחשבון מבוסס על סיסמה, הוא ממלא באופן אוטומטי את השדה 'שם משתמש וסיסמה'. אם החשבון מבוסס על מפתח גישה, המשתמש מיד יבקש מכם לבטל את נעילת המכשיר וינסה להיכנס.
חוויית המשתמש הזו מתאימה כשגורם מוגבל (RP) עובר מאימות מבוסס-סיסמה או מאימות רב-שלבי לאימות ללא סיסמה באמצעות מפתחות גישה.
איך בונים חוויית משתמש כזו:
אימות מחדש
אימות מחדש הוא חוויה נפוצה למשתמשים שכבר מחוברים לחשבון, אבל נדרש אימות נוסף כי פג התוקף של סשן או כי המשתמש עומד לבצע פעולה רגישה, כמו הוספת כתובת למשלוח או ביצוע רכישה.
באימות מבוסס-סיסמה, המשתמש יתבקש להזין את הסיסמה שלו כדי לבצע אימות מחדש, אבל עם מפתחות הגישה, הגורם המוגבל יכול רק לבקש לבטל את נעילת המכשיר כדי לבצע אימות מחדש.
האימות המהיר הזה מבטיח שאותו משתמש עדיין נמצא מול המכשיר, כך שהתהליך בטוח יותר.
איך בונים חוויית משתמש כזו?
- בניית אפליקציית WebAuthn הראשונה שלכם (Codelab)
כניסה באמצעות טלפון
מפתחות הגישה מסונכרנים בין מכשירים ששייכים לאותה סביבה עסקית. לדוגמה, אם משתמש יוצר מפתח גישה ב-Android, הוא יהיה זמין בכל מכשירי Android כל עוד המשתמש מחובר לאותו חשבון Google. עם זאת, אותו מפתח גישה לא זמין ב-iOS, ב-macOS או ב-Windows, גם אם אתם משתמשים באותו דפדפן, כמו Chrome.
המשתמשים יכולים להשתמש במפתח גישה בטלפון כדי להיכנס לחשבון במכשירים אחרים על ידי סריקת קוד QR, כל עוד הטלפון נמצא בקרבת המחשב הנייד והמשתמש מאשר את הכניסה בטלפון. הפעולה הזו פועלת במערכות הפעלה ובדפדפנים שונים.
נניח שלמשתמש יש מכשיר Android והוא יצר מפתח גישה באתר כלשהו דרך Chrome. מפתח הגישה נשמר ומסונכרן בין מכשירי Android, אבל לא במערכות אקולוגיות אחרות. אם המשתמש מנסה להיכנס לאותו אתר ב-macOS 13 Safari, לא נשמרו מפתחות גישה ב-Mac. כדי להיכנס לחשבון, המשתמש עדיין יוכל להשתמש במפתח גישה ממכשיר אחר באמצעות מכשיר Android. ב-Safari מוצג קוד QR שהמשתמש יכול לסרוק באמצעות טלפון Android, לבחור את מפתח הגישה ולאמת באמצעות נעילת המסך. חתימה חד-פעמית של מפתח גישה מועברת חזרה ל-Safari ב-Mac, והאתר ישתמש בה כדי להכניס את המשתמש לחשבון. שני המכשירים מאמתים שהם קרובים זה לזה באמצעות Bluetooth.
המנגנון הזה לאימות מפתחות בין מכשירים וחוצה-מכשירים סטנדרטי ב-FIDO וזמין ב-Chrome וב-Safari בשילוב עם דפדפנים אחרים. לא נדרשת כל פעולה נוספת מצידכם כדי לאפשר את חוויית המשתמש הזו. היא מופעלת באופן אוטומטי כשמפתחים פועלים לפי הגישה של הלחצן 'כניסה באמצעות מפתח גישה' או לפי הגישה של מילוי אוטומטי של מפתחות גישה, כפי שמתואר למעלה.