Het hervormen van gebruikersauthenticatie en identiteitsverificatie

Ashima Arora
Ashima Arora
LinkedIn
Chirag Desai
Chirag Desai
X LinkedIn
Eiji Kitamura

Dit jaar hebben we tijdens Google I/O laten zien hoe Chrome gebruikersauthenticatie en identiteitsverificatie op het web een nieuwe vorm geeft met de kracht van de browser-API. Of u nu wachtwoorden, toegangscodes of federatie gebruikt, Chrome biedt een uniforme aanmeld- en registratie-ervaring die eenvoudiger, veiliger en gebruiksvriendelijker is.

Ontdek de nieuwste hulpmiddelen en best practices om het registreren en aanmelden op uw website te verbeteren.

Bekijk de sessiepagina of lees verder om meer te weten te komen over de belangrijkste hoogtepunten.

De browser als uw aanmeldbondgenoot

Authenticatie op het web is in ontwikkeling. Met toenemende gebruikersverwachtingen, nieuwe regelgeving en een groeiend ecosysteem van digitale identiteitstools moeten ontwikkelaars aanmeld- en registratieprocessen aanbieden die veilig, naadloos en privacybeschermend zijn. Chrome staat klaar om te helpen.

Er zijn drie belangrijke aandachtsgebieden:

  • Gebruikersauthenticatie : helpt u bij het ondersteunen van sterke aanmeldstromen met beter wachtwoordbeheer, eenvoudigere acceptatie van wachtwoordsleutels en ingebouwde ondersteuning voor Identity Federation via Federated Credential Management (FedCM).
  • Identiteitsverificatie : Hiermee kunt u geverifieerde gebruikersgegevens opvragen, zoals leeftijd of ID-eigendom, met behulp van digitale referenties uit mobiele portemonnees.
  • Sessiebeheer : Hiermee kunt u gebruikers beschermen na aanmelding door sessies aan hun apparaat te koppelen met apparaatgebonden sessie-inloggegevens.

Ontdek de tools en API's die dit allemaal mogelijk maken.

Credential manager voor het web: één aanmeldinterface voor al uw inloggegevens

Inloggen zou gemakkelijk moeten zijn. Maar met wachtwoorden, toegangssleutels en gefedereerde opties die allemaal in het spel zijn, worden gebruikers vaak geconfronteerd met een verwarrende mix aan keuzes.

Chrome breidt de Credential Manager API uit, zodat u inloggegevens kunt opvragen bij de browser, ongeacht het type, via één consistente interface. Als inloggegevens beschikbaar zijn via een wachtwoordbeheerder, toont Chrome deze in één dialoogvenster aan de gebruiker, wat de complexiteit voor de gebruiker vermindert.

Als Chrome de inloggegevens niet vindt, laten we u dat weten en kunt u terugvallen op uw eigen aanmeldprocedure.

Uniforme aanmeldstroom met de nieuwe Credential Manager API.

Deze nieuwe ervaring zorgt ervoor dat het aanmelden soepeler verloopt en er minder problemen ontstaan.

Deze functie bevindt zich in de testfase voor ontwikkelaars. U kunt deze lokaal gebruiken door de vlag chrome://flags#enable-experimental-web-platform-features in te schakelen, inclusief zowel password als publicKey referenties, en door mediation: "immediate" te gebruiken om directe mediation in te schakelen.

Het volgende codefragment laat zien hoe het eruit moet zien:

const cred = await navigator.credentials.get({
  password: true,
  publicKey: {
    challenge,
    rpId: 'example.com'
  },
  mediation: 'immediate',
});

Meer informatie vindt u in ons document over het testen van onmiddellijke bemiddeling op Chrome .

Wachtwoorden: slimmer en veiliger

Wachtwoorden zijn nog steeds de meest gebruikte authenticatiemethode ter wereld. Browsers en wachtwoordmanagers bieden tools om de aanmeldervaring met wachtwoorden te verbeteren, maar websites gebruiken deze niet altijd.

Chrome ondersteunt veiligere praktijken met functies via Google Password Manager, zoals het genereren van wachtwoorden op aanmeldformulieren of controles op wachtwoordschendingen om gebruikers te waarschuwen voor gecompromitteerde inloggegevens.

Hier zijn een paar hulpmiddelen waarmee u de ervaring met het gebruik van wachtwoorden op uw site kunt verbeteren.

Geautomatiseerd wachtwoord wijzigen: herstel gecompromitteerde wachtwoorden met één klik

De automatische wachtwoordwijzigingsfunctie wordt later dit jaar voor sommige websites gelanceerd. Hiermee kunnen gebruikers gemakkelijker reageren wanneer hun inloggegevens gevaar lopen.

Wanneer Chrome bij het aanmelden detecteert dat het wachtwoord is gecompromitteerd, geeft Google Password Manager de gebruiker de optie om het wachtwoord automatisch te herstellen.

Op ondersteunde websites kan Chrome automatisch een sterke vervanging genereren en het wachtwoord voor de gebruiker bijwerken.

Dit zorgt voor minder problemen en zorgt ervoor dat gebruikers hun account veilig kunnen houden, zonder dat ze door de accountinstellingen hoeven te bladeren of het proces halverwege hoeven te verlaten.

Automatische wachtwoordwijziging in gebruik.

U kunt dingen doen om uw website te optimaliseren, zodat deze naadloos samenwerkt met browsers en wachtwoordbeheerders.

  • Optimalisatie van automatisch aanvullen : Gebruik autocomplete="current-password" en autocomplete="new-password" om automatisch aanvullen en opslaan te activeren. Zie onze handleidingen voor aanmelden en registreren .
  • Wachtwoord-URL's wijzigen : maak een redirect van <your-website-domain>/.well-known/change-password naar het formulier voor het wijzigen van wachtwoorden op uw website ( well-known wachtwoord-URL wijzigen ). Wanneer een kwetsbaar wachtwoord wordt gedetecteerd, kunnen wachtwoordbeheerders de gebruiker naar de pagina voor het wijzigen van wachtwoorden leiden.

Naadloze gegevensuitwisseling: één aanmelding via app en web

Wachtwoordmanagers doen meer dan alleen wachtwoorden opslaan. Ze helpen phishing te voorkomen door alleen inloggegevens aan te bieden wanneer het domein overeenkomt. Maar gebruikers kunnen nog steeds problemen ondervinden wanneer uw service meerdere domeinen en platforms bestrijkt.

Bijvoorbeeld:

  • Een gebruiker meldt zich aan bij uw Android-app en bezoekt later uw website op een laptop
  • Of u biedt meerdere domeinen of apps aan die dezelfde inloggegevens accepteren

Zonder gedeelde inloggegevens bieden we geen opgeslagen wachtwoord aan en kan het lastig zijn voor gebruikers om in te loggen.

Naadloze inloggegevensuitwisseling helpt dit probleem op te lossen . Door je apps en sites te koppelen, kan Google Password Manager het wachtwoord naadloos over al deze items delen, wat resulteert in een soepelere en gestroomlijnde inlogervaring.

eBay verhoogde het aantal succesvolle aanmeldingen met 10%. Lees meer in een casestudy: Hoe eBay het aantal succesvolle aanmeldingen met 10% verbeterde door het naadloos delen van inloggegevens .

Passkeys: een eenvoudigere en veiligere aanmeldmethode

Passkeys zijn een krachtiger alternatief voor wachtwoorden en helpen gebruikers veilig in te loggen bij websites en apps met behulp van een ontgrendelingsmechanisme zoals biometrie (bijvoorbeeld vingerafdrukken of gezicht), een pincode of een patroon. Ze zijn phishingbestendig, gebruiksvriendelijk en vormen een breed geaccepteerde standaard in browsers en besturingssystemen.

Synchroniseer toegangscodes op verschillende platforms

Gebruikers slaan wachtwoorden op in hun wachtwoordbeheerder, maar sommige beheerders synchroniseren deze niet. Dit kan problemen opleveren als een gebruiker probeert in te loggen vanaf een apparaat waarop de wachtwoordsleutel niet beschikbaar is. In dat geval toont Chrome een QR-code, zodat de gebruiker zich kan aanmelden vanaf een ander apparaat dat de inloggegevens wel heeft.

Om dit probleem te verhelpen, heeft Chrome ondersteuning voor wachtwoordsynchronisatie toegevoegd aan Google Password Manager.

Nu de ondersteuning is uitgebreid naar iOS , kunnen wachtwoorden in Google Password Manager worden gesynchroniseerd op alle belangrijke platforms, waaronder Android, Windows, macOS, ChromeOS en Linux. Lees meer in het artikel ' Ondersteunde omgevingen' .

Directe bemiddeling: vraag alleen beschikbare referenties op

Sommige gebruikers hebben niet op elk apparaat een gesynchroniseerde toegangscode. Als een toegangscode niet lokaal wordt gevonden, kan Chrome een QR-code tonen, zodat de gebruiker een ander apparaat kan gebruiken dat de inloggegevens wel heeft . Dit werkt, maar kan lastig zijn.

Om die frictie te verminderen, ondersteunt Chrome een nieuwe optie: mediation: 'immediate' . Hiermee kan uw site alleen inloggegevens opvragen die al beschikbaar zijn op het huidige apparaat. Als er geen inloggegevens worden gevonden, ziet de gebruiker niets. Geen prompts, geen QR-codes, geen onderbrekingen. Chrome laat het u weten, zodat u in plaats daarvan uw gebruikelijke aanmeldinterface kunt weergeven.

Dit verbetert de ervaring doordat QR-codestromen worden vermeden voor gebruikers zonder inloggegevens.

Gebruik deze aanpak wanneer een gebruiker een zinvolle actie uitvoert, zoals klikken op een knop 'Aanmelden' of 'Afrekenen'. Wanneer u navigator.credentials.get() gebruikt met mediation: 'immediate' , vraagt ​​Chrome de gebruiker direct om een ​​wachtwoord als er een sleutel beschikbaar is op het huidige apparaat. Zo niet, dan kan de gebruiker zonder onderbreking verdergaan en kunt u een wachtwoordveld, een eenmalige code of een andere methode weergeven.

U kunt uw kansen vergroten om de gebruiker te helpen bij het inloggen door password: true in te stellen. Hierdoor kan Chrome opgeslagen wachtwoorden samen met toegangssleutels retourneren, indien beschikbaar.

Het volgende voorbeeld laat zien hoe u een toegangscode aanvraagt ​​met onmiddellijke bemiddeling:

navigator.credentials.get({
  publicKey: {
    challenge: new Uint8Array([/* your challenge here */]),
    rpId: 'example.com'
  },
  mediation: 'immediate',
  //< password: true == enable this to request passwords alongside passkeys
}).t>hen(credential = {
  // Use the credential for sign in
>}).catch(error = {
  if (error.name === 'NotAllowedError') {
    // No credential found on this device, fall back to another method
  } else {
    console.error('Error during sign-in', error);
  }
});

Deze functie is beschikbaar voor ontwikkelaars. Meer informatie hierover vindt u in de uitleg over directe bemiddeling van WebAuthn .

Automatisch aanmaken van een wachtwoord

Veel gebruikers melden zich nog steeds aan met een wachtwoord. Om hen te helpen bij het gebruik van wachtwoordsleutels, introduceert Chrome een API waarmee je automatisch een wachtwoordsleutel voor je gebruikers kunt aanmaken na een succesvolle aanmelding met een wachtwoord.

Het enige wat u hoeft te doen, is een wachtwoord aanmaken. Als de gebruiker een wachtwoord heeft opgeslagen dat recent is gebruikt, maakt de wachtwoordbeheerder een wachtwoord aan en laat u weten of dit is gelukt. De gebruiker ontvangt mogelijk een melding zodra de wachtwoord beschikbaar is. Het wachtwoord van de gebruiker wordt hiermee niet verwijderd.

Als de toegangscode niet is aangemaakt, stoort de browser de gebruiker niet en wordt er geen gebruikersinterface weergegeven.

Hierdoor kunnen gebruikers geleidelijk wachtwoorden invoeren, zonder dat hun aanmeldproces wordt onderbroken.

Deze functie is beschikbaar in Chrome 136. Meer informatie hierover vindt u in het artikel Help gebruikers om toegangscodes naadloos te implementeren .

Ruim wachtwoorden op met de Signal API

Als een gebruiker een wachtwoord van uw site of app verwijdert, kan de wachtwoordbeheerder deze nog steeds aanbieden tijdens het inloggen, wat tot fouten en verwarring kan leiden. Met de Signal API kan uw app de wachtwoordbeheerder waarschuwen wanneer een wachtwoord is verwijderd, zodat de lijsten met inloggegevens overzichtelijk en nauwkeurig blijven.

U kunt ook helpen de wachtwoordsleutels up-to-date te houden door een lijst met bekende wachtwoordsleutels naar de wachtwoordbeheerder te sturen. Zo kan deze ongebruikte wachtwoordsleutels voor de gebruiker opschonen.

De Signal API is beschikbaar vanaf Chrome 132. Meer informatie vindt u in Houd de toegangssleutels consistent met de inloggegevens op uw server met de Signal API .

Importeren en exporteren: neem uw inloggegevens mee

Gebruikers die wisselen tussen wachtwoordbeheerders hebben vaak moeite met het overzetten van hun inloggegevens. Chrome voegt ondersteuning toe voor het importeren en exporteren van wachtwoorden en sleutels, gebaseerd op FIDO-standaarden . De gebruiker hoeft hiervoor geen bestanden te verwerken.

Verbeteringen voor automatisch invullen

Om opgeslagen inloggegevens op een gebruiksvriendelijke manier weer te geven, kan Chrome automatisch de vervolgkeuzelijst voor automatisch invullen weergeven wanneer het aanmeldformulier klaar is. Ondersteun hiervoor zowel wachtwoorden als toegangssleutels in uw formulier en pas autofocus toe op het invoerveld.

Dit is handig omdat de inloggegevens worden weergegeven zonder dat de gebruiker op een veld hoeft te klikken. In plaats daarvan kan de gebruiker gewoon op de gewenste inloggegevens tikken, wat de problemen vermindert.

Meer informatie vindt u in het artikel Aanmelden met een wachtwoordsleutel via automatisch invullen van formulieren .

Bijgewerkte leermiddelen

We hebben onze leermiddelen voor het gebruik van toegangssleutels vernieuwd, zodat u uw gebruikers de best mogelijke toegangssleutelervaring kunt bieden.

FedCM: Verbetering van gefedereerde identiteit

Met de Federated Credential Management API (FedCM) kunnen gebruikers zich aanmelden bij vertrouwde identiteitsproviders via een browsergestuurde workflow die privacy en gebruikerservaring vooropstelt. FedCM vereenvoudigt het aanmelden en inloggen op internet, zodat ontwikkelaars naadloze authenticatie met minder moeite kunnen ondersteunen.

Slimmere gebruikersinterface

FedCM geeft u nu meer controle over hoe en wanneer de aanmeldprompt verschijnt. Het ondersteunt twee modi :

  • Passieve modus : De browser toont automatisch de aanmeldprompt voor bekende identiteitsproviders wanneer gebruikers terugkeren naar uw site. Dit werkt goed voor bekende gebruikers, maar kan opdringerig overkomen als het te vroeg wordt getoond.
  • Actieve modus : De prompt verschijnt pas nadat de gebruiker op een aanmeldknop klikt, waardoor er een meer gerichte ervaring ontstaat.

Dit is belangrijk omdat het verwarring vermindert en voorkomt dat gebruikers verrast worden. Met de actieve modus kunnen gebruikers op uw site blijven en zien ze nooit een omleiding of andere dialoogvensters.

Maar Chrome werkt ook aan het slimmer maken van de passieve modus. Toekomstige updates zullen experimenteren met machine learning-technieken die site- en gebruikerssignalen integreren om te bepalen wanneer en hoe de gebruikersinterface moet worden weergegeven voor een optimale gebruikerservaring.

Flexibelere API's

Met FedCM hebt u meer flexibiliteit en controle over hoe gebruikers zich aanmelden met een gefedereerde identiteit.

Dankzij de ondersteuning voor meerdere identiteitsproviders kunt u uw gebruikers bijvoorbeeld een lijst met providers tonen in plaats van slechts één. Dit betekent dat gebruikers het account kunnen kiezen dat bij hen past en de aanmeldingspercentages verbeteren, terwijl de privacy van gebruikers gewaarborgd blijft.

De browser bemiddelt nog steeds bij elke stap. Identiteitsproviders zien alleen wat gebruikers expliciet toestaan, en de privacy blijft gedurende de hele stroom beschermd.

Digitale referenties: snelle, privé-ID-verificatie online

Digitale referenties worden wereldwijd steeds gebruikelijker. Gebruikers kunnen hiermee kenmerken zoals leeftijd, studentenstatus of identiteit verifiëren via een digitale portemonnee. Met de Digital Credentials API kunnen gebruikers geverifieerde claims, zoals leeftijd of rijbewijsstatus, rechtstreeks vanuit hun mobiele portemonnee delen met websites.

We werken samen met W3C en marktleiders om hier een standaard van te maken. Ons doel is een gebruiksvriendelijke, veilige, privé en consistente ervaring op alle platforms.

Enkele interessante kenmerken:

Apparaatgebonden sessiegegevens: blijf aangemeld, blijf beschermd

Gebruikersessies worden vaak geïdentificeerd aan de hand van hun cookies, die malware van het apparaat van een gebruiker kan stelen.

Apparaatgebonden sessiereferenties koppelen een sessie aan een specifiek apparaat. Dit vermindert het risico op sessiekaping en verbetert de beveiliging wanneer u bent ingelogd op uw e-mail- of socialemedia-accounts of wanneer u overheidsdiensten gebruikt.

Met DBSC kunnen ontwikkelaars veiligere en stabielere sessies creëren door de authenticatie te koppelen aan het apparaat dat wordt gebruikt tijdens het aanmelden.

Feedback

We stellen je feedback op prijs. Probeer de functies uit, bekijk de links in dit document en laat ons weten wat je ervan vindt.

Geef feedback