Membentuk ulang autentikasi pengguna dan verifikasi identitas

Ashima Arora

Chirag Desai

Eiji Kitamura

Tahun ini di Google I/O, kami membagikan cara Chrome membentuk ulang autentikasi pengguna dan verifikasi identitas di web dengan kecanggihan API browser. Baik Anda menggunakan sandi, kunci sandi, atau federasi, Chrome akan menawarkan pengalaman login dan pendaftaran terpadu yang lebih sederhana, lebih aman, dan lebih mudah digunakan.

Temukan alat dan praktik terbaik terbaru untuk meningkatkan pendaftaran dan login di situs Anda.

Lihat halaman sesi atau lanjutkan membaca untuk mempelajari sorotan utama lebih lanjut.

Browser sebagai sekutu login Anda

Autentikasi di web terus berkembang. Dengan meningkatnya ekspektasi pengguna, peraturan baru, dan ekosistem alat identitas digital yang berkembang, developer perlu menawarkan alur login dan pendaftaran yang aman, lancar, dan menjaga privasi. Chrome siap membantu.

Ada tiga area fokus utama:

• Autentikasi pengguna: Membantu Anda mendukung alur login yang kuat dengan pengelolaan sandi yang lebih baik, penerapan kunci sandi yang lebih mudah, dan dukungan bawaan untuk Identity Federation melalui pengelolaan kredensial gabungan (FedCM).
• Verifikasi identitas: Memungkinkan Anda meminta detail pengguna terverifikasi, seperti usia atau kepemilikan ID, menggunakan kredensial digital dari dompet seluler.
• Pengelolaan sesi: Membantu Anda melindungi pengguna setelah login dengan mengikat sesi ke perangkat mereka dengan Kredensial Sesi Terikat Perangkat.

Pelajari alat dan API yang memungkinkan semua ini.

Pengelola kredensial untuk web: Satu UI login untuk semua kredensial Anda

Login harus mudah. Namun, dengan adanya sandi, kunci sandi, dan opsi gabungan, pengguna sering kali menghadapi campuran pilihan yang membingungkan.

Chrome memperluas Credential Manager API, yang memungkinkan Anda meminta kredensial dari browser, apa pun jenisnya, menggunakan satu antarmuka yang konsisten. Jika kredensial tersedia dari pengelola sandi, Chrome akan menampilkannya kepada pengguna dalam satu dialog, sehingga mengurangi kompleksitas bagi pengguna.

Jika Chrome tidak menemukan kredensial, kami akan memberi tahu Anda dan Anda dapat kembali ke alur login Anda sendiri.

Pengalaman baru ini mengurangi hambatan dan membuat login terasa lebih lancar.

Fitur ini masih dalam uji coba developer. Anda dapat mulai menggunakannya secara lokal dengan mengaktifkan tanda chrome://flags#enable-experimental-web-platform-features, termasuk kredensial password dan kredensial publicKey, serta menggunakan mediation: "immediate" untuk mengaktifkan mediasi langsung.

Cuplikan kode berikut menunjukkan tampilannya:

const cred = await navigator.credentials.get({
  password: true,
  publicKey: {
    challenge,
    rpId: 'example.com'
  },
  mediation: 'immediate',
});

Pelajari lebih lanjut dalam dokumen kami tentang Menguji Mediasi Langsung di Chrome.

Sandi: lebih cerdas dan aman

Sandi masih merupakan metode autentikasi yang paling umum di dunia. Browser dan pengelola sandi menawarkan alat untuk membuat pengalaman login dengan sandi menjadi lebih baik, tetapi situs tidak selalu mengadopsinya.

Chrome mendukung praktik yang lebih aman dengan fitur melalui Pengelola Sandi Google seperti pembuatan sandi di formulir pendaftaran atau pemeriksaan pelanggaran sandi untuk memberi tahu pengguna tentang kredensial yang disusupi.

Berikut beberapa alat untuk meningkatkan pengalaman penggunaan sandi di situs Anda.

Perubahan sandi otomatis: Perbaiki sandi yang telah dibobol dengan sekali klik

Diluncurkan akhir tahun ini untuk beberapa situs, Perubahan sandi otomatis memudahkan pengguna untuk merespons saat kredensial mereka berisiko.

Saat Chrome mendeteksi sandi yang disusupi selama login, Pengelola Sandi Google akan meminta pengguna untuk memperbaikinya secara otomatis.

Di situs yang didukung, Chrome dapat membuat penggantian yang kuat dan memperbarui sandi untuk pengguna secara otomatis.

Hal ini mengurangi hambatan dan membantu pengguna menjaga keamanan akun mereka, tanpa perlu mencari setelan akun atau meninggalkan proses di tengah jalan.

Ada beberapa hal yang dapat Anda lakukan untuk mengoptimalkan situs agar dapat bekerja sama dengan browser dan pengelola sandi.

• Pengoptimalan Autocomplete: Gunakan autocomplete="current-password" dan autocomplete="new-password" untuk memicu isi otomatis dan penyimpanan. Lihat panduan login dan pendaftaran kami.
• Ubah URL sandi: Buat pengalihan dari <your-website-domain>/.well-known/change-password ke formulir perubahan sandi di situs Anda (URL ubah sandi yang dikenal luas). Saat sandi yang rentan terdeteksi, pengelola sandi dapat mengarahkan pengguna ke halaman ubah sandi.

Berbagi kredensial tanpa hambatan: Satu login di seluruh aplikasi dan web

Pengelola sandi melakukan lebih dari sekadar menyimpan sandi. Fitur ini membantu mencegah phishing dengan hanya menawarkan kredensial jika domain cocok. Namun, pengguna masih dapat mengalami masalah saat layanan Anda mencakup beberapa domain dan platform.

Contoh:

• Pengguna mendaftar di aplikasi Android Anda, lalu mengunjungi situs Anda di laptop
• Atau Anda menawarkan beberapa domain atau aplikasi yang menerima login yang sama

Tanpa kredensial bersama, kami tidak akan menawarkan sandi tersimpan, sehingga pengguna mungkin kesulitan untuk login.

Berbagi kredensial tanpa hambatan membantu memperbaikinya. Dengan mengaitkan aplikasi dan situs Anda, Pengelola Sandi Google dapat membagikan sandi secara lancar di seluruh aset tersebut, sehingga menghasilkan pengalaman login yang lebih lancar dan sederhana.

eBay meningkatkan rasio login yang berhasil sebesar 10%. Pelajari lebih lanjut dari studi kasus: Cara eBay meningkatkan rasio keberhasilan login sebesar 10% dengan berbagi kredensial yang lancar.

Kunci sandi: Metode login yang lebih mudah dan aman

Kunci sandi adalah alternatif yang lebih kuat dari sandi yang membantu pengguna login dengan aman ke situs dan aplikasi dengan mekanisme buka kunci perangkat mereka seperti biometrik (misalnya sidik jari atau wajah), PIN, atau pola. API ini tahan terhadap phishing, mudah digunakan, dan merupakan standar yang diadopsi secara luas di seluruh browser dan sistem operasi.

Menyinkronkan kunci sandi di seluruh platform

Pengguna menyimpan kunci sandi di pengelola sandi mereka, tetapi beberapa pengelola tidak menyinkronkannya. Hal ini dapat menyebabkan masalah jika pengguna mencoba login dari perangkat yang kunci sandinya tidak tersedia. Dalam hal ini, Chrome akan menampilkan kode QR sehingga pengguna dapat menyelesaikan login dari perangkat lain yang menyimpan kredensial.

Untuk mengurangi hambatan ini, Chrome menambahkan dukungan sinkronisasi kunci sandi di Pengelola Sandi Google.

Dengan dukungan yang kini diperluas ke iOS, kunci sandi di Pengelola Sandi Google dapat disinkronkan di semua platform utama, termasuk Android, Windows, macOS, ChromeOS, dan Linux. Pelajari lebih lanjut di artikel Lingkungan yang didukung.

Mediasi langsung: hanya meminta kredensial yang tersedia

Beberapa pengguna tidak memiliki kunci sandi yang disinkronkan di setiap perangkat. Jika kunci sandi tidak ditemukan secara lokal, Chrome dapat menampilkan kode QR agar pengguna dapat menggunakan perangkat lain yang menyimpan kredensial. Cara ini berhasil, tetapi dapat menambah hambatan.

Untuk mengurangi hambatan tersebut, Chrome mendukung opsi baru: mediation: 'immediate'. Hal ini memungkinkan situs Anda hanya meminta kredensial yang sudah tersedia di perangkat saat ini. Jika tidak ada yang ditemukan, pengguna tidak akan melihat apa pun. Tanpa perintah, tanpa kode QR, tanpa gangguan. Chrome akan memberi tahu Anda sehingga Anda dapat menampilkan UI login biasa.

Hal ini meningkatkan pengalaman dengan menghindari alur kode QR untuk pengguna tanpa kredensial.

Gunakan pendekatan ini saat pengguna melakukan tindakan yang bermakna, seperti mengklik tombol Login atau Checkout. Saat Anda menggunakan navigator.credentials.get() dengan mediation: 'immediate', jika kunci sandi tersedia di perangkat saat ini, Chrome akan langsung meminta pengguna. Jika tidak, pengguna akan melanjutkan tanpa gangguan, dan Anda dapat menampilkan kolom sandi, kode sekali pakai, atau metode lain.

Anda juga dapat meningkatkan peluang untuk membantu pengguna login dengan menetapkan password: true. Hal ini memungkinkan Chrome menampilkan sandi tersimpan bersama kunci sandi, jika tersedia.

Contoh berikut menunjukkan cara meminta kunci sandi dengan mediasi langsung:

navigator.credentials.get({
  publicKey: {
    challenge: new Uint8Array([/* your challenge here */]),
    rpId: 'example.com'
  },
  mediation: 'immediate',
  //< password: true == enable this to request passwords alongside passkeys
}).t>hen(credential = {
  // Use the credential for sign in
>}).catch(error = {
  if (error.name === 'NotAllowedError') {
    // No credential found on this device, fall back to another method
  } else {
    console.error('Error during sign-in', error);
  }
});

Fitur ini ada di jalur developer dan Anda dapat mempelajarinya lebih lanjut di penjelasan mediasi langsung WebAuthn.

Pembuatan kunci sandi otomatis

Banyak pengguna masih login dengan sandi. Untuk membantu mereka menggunakan kunci sandi, Chrome memperkenalkan API yang membantu Anda membuat kunci sandi untuk pengguna secara otomatis, setelah login dengan sandi berhasil.

Yang perlu Anda lakukan adalah meminta pembuatan kunci sandi. Jika pengguna memiliki sandi tersimpan yang baru-baru ini digunakan, pengelola sandi akan membuat kunci sandi dan memberi tahu Anda jika proses ini berhasil. Pengguna mungkin menerima notifikasi setelah kunci sandi tersedia. Tindakan ini tidak akan menghapus sandi pengguna.

Jika kunci sandi tidak dibuat, browser tidak akan mengganggu pengguna atau menampilkan UI apa pun.

Hal ini memungkinkan pengguna menggunakan kunci sandi secara bertahap, tanpa mengganggu alur login mereka.

Fitur ini tersedia mulai Chrome 136 dan Anda dapat mempelajarinya lebih lanjut di artikel Membantu pengguna menggunakan kunci sandi dengan lebih lancar.

Membersihkan kunci sandi dengan Signal API

Jika pengguna menghapus kunci sandi dari situs atau aplikasi Anda, pengelola sandi mereka mungkin masih menawarkannya selama login, sehingga menyebabkan kegagalan dan kebingungan. Signal API memungkinkan aplikasi Anda memberi tahu pengelola sandi saat kunci sandi telah dihapus, sehingga daftar kredensial tetap bersih dan akurat.

Anda juga dapat membantu memastikan kunci sandi selalu yang terbaru dengan mengirimkan daftar kunci sandi yang diketahui ke pengelola sandi. Hal ini memungkinkannya membersihkan kunci sandi yang tidak digunakan untuk pengguna.

Signal API tersedia mulai Chrome 132. Pelajari lebih lanjut di Memastikan kunci sandi konsisten dengan kredensial di server Anda dengan Signal API.

Mengimpor dan mengekspor: Bawa kredensial Anda bersama Anda

Pengguna yang beralih antar-pengelola sandi sering kali kesulitan untuk mentransfer kredensial mereka. Chrome menambahkan dukungan untuk impor dan ekspor kunci sandi dan sandi, berdasarkan standar FIDO. Pengguna tidak perlu menangani file.

Penyempurnaan isi otomatis

Untuk menampilkan kredensial yang disimpan dengan cara yang mudah digunakan, Chrome dapat otomatis menampilkan drop-down isi otomatis saat formulir login siap. Cukup dukung sandi dan kunci sandi di formulir Anda dan terapkan fokus otomatis ke kolom input.

Hal ini berguna karena kredensial ditampilkan tanpa mengharuskan pengguna mengklik kolom. Sebagai gantinya, pengguna hanya dapat mengetuk kredensial yang ingin digunakan, sehingga mengurangi hambatan.

Pelajari lebih lanjut dalam artikel Login dengan kunci sandi melalui isi otomatis formulir.

Referensi pembelajaran yang diperbarui

Kami telah merombak materi pembelajaran kunci sandi untuk memastikan Anda dapat memberikan pengalaman kunci sandi terbaik kepada pengguna.

• Membuat kunci sandi untuk login tanpa sandi
• Login dengan kunci sandi melalui isi otomatis formulir
• Membantu pengguna mengelola kunci sandi secara efektif

FedCM: Meningkatkan identitas gabungan

Federated Credential Management API (FedCM) memungkinkan pengguna login dengan penyedia identitas tepercaya menggunakan alur yang dimediasi browser yang mengutamakan privasi dan pengalaman pengguna. FedCM membantu menyederhanakan pengalaman pendaftaran dan login di web, sehingga developer dapat mendukung autentikasi yang lancar dengan lebih sedikit upaya.

UI yang lebih cerdas

FedCM kini memberi Anda lebih banyak kontrol atas cara dan waktu prompt login muncul. API ini mendukung dua mode:

• Mode pasif: Browser akan otomatis menampilkan perintah login untuk penyedia identitas yang dikenal saat pengguna kembali ke situs Anda. Hal ini berfungsi dengan baik untuk pengguna yang sudah terbiasa, tetapi dapat terasa mengganggu jika ditampilkan terlalu awal.
• Mode aktif: Perintah hanya muncul setelah pengguna mengklik tombol login, sehingga menciptakan pengalaman yang lebih disengaja.

Hal ini penting karena mengurangi kebingungan dan menghindari kejutan bagi pengguna. Dengan mode aktif, pengguna dapat tetap berada di situs Anda dan tidak akan melihat pengalihan atau dialog lainnya.

Namun, Chrome juga berupaya membuat mode pasif lebih cerdas. Update mendatang akan bereksperimen dengan teknik machine learning yang menggabungkan sinyal situs dan pengguna untuk menentukan kapan dan cara menampilkan UI guna memberikan pengalaman pengguna yang optimal.

API yang lebih fleksibel

FedCM memberi Anda fleksibilitas dan kontrol yang lebih besar atas cara pengguna login dengan identitas gabungan.

Misalnya, dukungan beberapa penyedia identitas memungkinkan Anda menampilkan daftar penyedia kepada pengguna, bukan hanya satu. Artinya, pengguna dapat memilih akun yang sesuai bagi mereka dan meningkatkan rasio login sekaligus menjaga privasi pengguna yang kuat.

Browser masih memediasi setiap langkah. Penyedia identitas hanya melihat apa yang secara eksplisit diizinkan pengguna, dan privasi tetap terlindungi di sepanjang alur.

Kredensial digital: Verifikasi tanda pengenal online yang cepat dan pribadi

Kredensial digital menjadi semakin umum di seluruh dunia. Layanan ini memungkinkan pengguna memverifikasi atribut seperti usia, status pelajar, atau identitas melalui dompet digital. Digital Credentials API memungkinkan pengguna membagikan klaim terverifikasi, seperti usia atau status lisensi, dari wallet seluler mereka langsung ke situs.

Kami bekerja sama dengan W3C dan para pemimpin industri untuk menjadikannya sebagai standar. Tujuan kami adalah memberikan pengalaman yang mudah digunakan, aman, pribadi, dan konsisten di seluruh platform.

Beberapa fitur menarik:

• Dukungan lintas perangkat. Pengguna dapat menampilkan kredensial dengan aman dari perangkat mana pun.
• Pengungkapan selektif. Pengguna dapat mengonfirmasi detail seperti "lebih dari 18 tahun" tanpa mengungkapkan informasi yang tidak perlu.
• Informasi yang dapat diverifikasi. Penerbit menandatangani data secara digital, sehingga memungkinkan verifikasi yang mudah.
• Penerbitan. Kami sedang berupaya memperluas Digital Credentials API untuk memungkinkan pengguna menyediakan kredensial ini ke aplikasi dompet mereka.

Kredensial Sesi yang Terikat Perangkat: Tetap login, tetap terlindungi

Sesi pengguna sering kali diidentifikasi oleh cookie-nya, yang dapat dicuri malware dari perangkat pengguna.

Kredensial Sesi yang Terikat Perangkat menautkan sesi ke perangkat tertentu. Tindakan ini mengurangi risiko pembajakan sesi dan meningkatkan perlindungan saat Anda login ke akun email atau media sosial atau mengakses layanan pemerintah.

DBSC membantu developer membuat sesi yang lebih aman dan stabil dengan mengaitkan autentikasi ke perangkat yang digunakan selama login.

Masukan

Kami ingin mendengar masukan Anda tentang semua informasi yang kami sampaikan. Coba fiturnya, jelajahi link dalam dokumen ini, dan sampaikan pendapat Anda kepada kami.

Beri masukan