W tym roku na konferencji Google I/O omówiliśmy, jak Chrome zmienia uwierzytelnianie i weryfikację tożsamości użytkowników w internecie dzięki interfejsowi Browser API. Niezależnie od tego, czy używasz haseł, kluczy dostępu czy federacji, Chrome zapewni ujednolicone logowanie i rejestrację, które są prostsze, bezpieczniejsze i bardziej przyjazne użytkownikowi.
Poznaj najnowsze narzędzia i sprawdzone metody, które ułatwią rejestrację i logowanie w Twojej witrynie.
Otwórz stronę sesji lub czytaj dalej, aby dowiedzieć się więcej o jej najważniejszych elementach.
Logowanie w przeglądarce
Uwierzytelnianie w internecie ewoluuje. W związku z rosnącymi oczekiwaniami użytkowników, nowymi przepisami oraz rozwijającym się ekosystemem narzędzi do identyfikacji cyfrowej deweloperzy muszą oferować bezpieczne, płynne i chroniące prywatność procesy logowania i rejestracji. Chrome może Ci pomóc.
Są 3 główne obszary:
- Uwierzytelnianie użytkowników: pomaga obsługiwać silne procesy logowania dzięki lepszemu zarządzaniu hasłami, łatwiejszemu wdrażaniu kluczy dostępu i wbudowanemu wsparciu dla federacji tożsamości za pomocą zarządzania uwierzytelnieniami federacyjnymi (FedCM).
- Weryfikacja tożsamości: umożliwia Ci żądanie zweryfikowanych danych użytkownika, takich jak wiek lub posiadanie dokumentu tożsamości, za pomocą danych cyfrowych z portfeli mobilnych.
- Zarządzanie sesjami: pomaga chronić użytkowników po zalogowaniu się przez powiązanie sesji z ich urządzeniem za pomocą danych uwierzytelniających sesji powiązanych z urządzeniem.
Poznaj narzędzia i interfejsy API, które to umożliwiają.
Menedżer danych uwierzytelniających na potrzeby logowania się w sieci: jeden interfejs logowania dla wszystkich danych uwierzytelniających
Logowanie powinno być wygodne. Użytkownicy mają jednak do wyboru hasła, klucze dostępu i opcje federacji, co często powoduje dezorientację.
Chrome rozszerza interfejs API menedżera danych logowania, umożliwiając wysyłanie żądań o dane logowania z przeglądarki niezależnie od ich typu za pomocą jednego spójnego interfejsu. Jeśli dane logowania są dostępne w menedżerze haseł, Chrome wyświetli je użytkownikowi w jednym oknie dialogowym, co ułatwi mu korzystanie z usługi.
Jeśli Chrome nie znajdzie danych logowania, poinformujemy Cię o tym. Wtedy możesz użyć własnego procesu logowania.
Ta nowa funkcja zmniejsza trudności i ułatwia logowanie.
Ta funkcja jest dostępna w wersji próbnej dla programistów. Możesz zacząć z niego korzystać lokalnie, włączając flagę chrome://flags#enable-experimental-web-platform-features
, w tym dane logowania password
i publicKey
, oraz używając mediation: "immediate"
, aby włączyć natychmiastowe pośredniczenie.
Poniższy fragment kodu pokazuje, jak to powinno wyglądać:
const cred = await navigator.credentials.get({
password: true,
publicKey: {
challenge,
rpId: 'example.com'
},
mediation: 'imme
diate',
});
Więcej informacji znajdziesz w dokumentacji Testowanie natychmiastowego zapośredniczenia w Chrome.
Hasła: mądrzejsze i bezpieczniejsze
Hasła są nadal najpopularniejszą na świecie metodą uwierzytelniania. Przeglądarki i menedżery haseł oferują narzędzia, które ułatwiają logowanie się za pomocą haseł, ale witryny nie zawsze je wykorzystują.
Chrome umożliwia bezpieczniejsze korzystanie z Menedżera haseł Google dzięki funkcjom takim jak generowanie haseł w formularzach rejestracyjnych czy sprawdzanie haseł pod kątem naruszenia bezpieczeństwa, które ostrzegają użytkowników o skompromitowanych danych logowania.
Oto kilka narzędzi, które ułatwiają korzystanie z haseł w Twojej witrynie.
Automatyczne zmienianie hasła: napraw przejęte hasła jednym kliknięciem
W późniejszych miesiącach tego roku wprowadzimy w niektórych witrynach automatyczną zmianę hasła, która ułatwi użytkownikom reagowanie, gdy ich dane logowania są zagrożone.
Gdy Chrome wykryje przejęte hasło podczas logowania, Menedżer haseł Google wyświetli użytkownikowi opcję automatycznego rozwiązania problemu.
W obsługiwanych witrynach Chrome może wygenerować silne hasło i automatycznie je zaktualizować.
Dzięki temu proces jest łatwiejszy, a użytkownicy mogą zachować bezpieczeństwo konta bez konieczności szukania ustawień konta czy porzucania procesu w połowie.
Możesz podjąć działania, aby zoptymalizować swoją witrynę pod kątem współpracy z przeglądarkami i menedżerami haseł.
- Optymalizacja autouzupełniania: użyj atrybutów
autocomplete="current-password"
iautocomplete="new-password"
, aby aktywować autouzupełnianie i przechowywanie. Zapoznaj się z naszą pomocą dotyczącą logowania się i rejestracji. - Adresy URL zmiany hasła: przekieruj z
<your-website-domain>/.well-known/change-password
do formularza zmiany hasła w witrynie (znany adres URL zmiany hasła). Gdy wykryto mało bezpieczne hasło, menedżer haseł może przekierować użytkownika na stronę zmiany hasła.
Łatwe udostępnianie danych logowania: jedno logowanie w aplikacji i w przeglądarce
Menedżerowie haseł nie tylko przechowują hasła. Pomagają one zapobiegać wyłudzaniu informacji, oferując dane logowania tylko wtedy, gdy domena się zgadza. Użytkownicy mogą jednak napotkać problemy, gdy usługa obejmuje wiele domen i platform.
Na przykład:
- Użytkownik rejestruje się w aplikacji na Androida, a potem odwiedza Twoją witrynę na laptopie
- Możesz też oferować wiele domen lub aplikacji, które akceptują to samo logowanie.
Bez udostępnionych danych logowania nie będziemy oferować zapisanego hasła, więc użytkownicy mogą mieć problemy z logowaniem się.
Łatwe udostępnianie danych logowania pomoże rozwiązać ten problem. Dzięki powiązaniu aplikacji i witryn Menedżer haseł Google może bezproblemowo udostępniać hasła w tych zasobach, co ułatwia i uproszcza logowanie.
eBay zwiększył współczynnik udanych logowań o 10%. Więcej informacji znajdziesz w przypadku: Jak eBay zwiększył o 10% skuteczność logowania dzięki bezproblemowemu udostępnianiu danych logowania.
Klucze dostępu: prostsza i bezpieczniejsza metoda logowania
Klucze dostępu to bezpieczniejsza alternatywa dla haseł, która pomaga użytkownikom bezpiecznie logować się w witrynach i aplikacjach za pomocą mechanizmu odblokowywania urządzenia, takiego jak dane biometryczne (np. odcisk palca lub twarzy), kod PIN lub wzór. Są one odporne na phishing, przyjazne dla użytkownika i szeroko stosowane w różnych przeglądarkach i systemach operacyjnych.
Synchronizacja kluczy dostępu na różnych platformach
Użytkownicy przechowują klucze dostępu w Menedżerze haseł, ale niektóre menedżery nie synchronizują ich. Może to powodować problemy, jeśli użytkownik spróbuje zalogować się na urządzeniu, na którym nie ma klucza dostępu. W takim przypadku Chrome wyświetla kod QR, aby użytkownik mógł dokończyć logowanie na innym urządzeniu, na którym są przechowywane dane logowania.
Aby zmniejszyć te niedogodności, dodaliśmy obsługę synchronizacji kluczy dostępu w Menedżerze haseł Google.
Dzięki rozszerzeniu obsługi na iOS klucze dostępu w Menedżerze haseł Google można zsynchronizować na wszystkich głównych platformach, w tym na Androidzie, Windows, macOS, ChromeOS i Linuxie. Więcej informacji znajdziesz w artykule Obsługiwane środowiska.
Natychmiastowe zapośredniczenie: żądaj tylko dostępnych danych logowania
Niektórzy użytkownicy nie mają zsynchronizowanych kluczy dostępu na wszystkich urządzeniach. Jeśli klucz dostępu nie zostanie znaleziony lokalnie, Chrome może wyświetlić kod QR, aby użytkownik mógł użyć innego urządzenia, na którym znajdują się te dane logowania. To działa, ale może zwiększać trudności.
Aby zmniejszyć ten problem, Chrome obsługuje nową opcję: mediation: 'immediate'
.
Dzięki temu Twoja witryna może prosić o dane logowania, które są już dostępne na bieżącym urządzeniu. Jeśli nie zostanie znaleziony żaden element, użytkownik nie zobaczy nic. Bez promptów, kodów QR i przerywania. Chrome poinformuje Cię o tym, aby wyświetlić zwykły interfejs logowania.
Dzięki temu użytkownicy niemający danych logowania nie muszą przechodzić procedury z kodem QR.
Stosuj to podejście, gdy użytkownik wykona jakieś istotne działanie, np. kliknie przycisk Zaloguj się lub Kup. Jeśli używasz navigator.credentials.get()
z mediation: 'immediate'
, a klucz dostępu jest dostępny na bieżącym urządzeniu, Chrome natychmiast wyświetla odpowiednie powiadomienie. W przeciwnym razie użytkownik może kontynuować bez zakłóceń. Możesz wyświetlić pole hasła, kod jednorazowy lub inną metodę.
Możesz też zwiększyć szanse na pomoc użytkownikowi w zalogowaniu się, ustawiając password: true
. Dzięki temu Chrome może zwracać zapisane hasła wraz z kluczami dostępu (jeśli są dostępne).
Ten przykład pokazuje, jak poprosić o klucz dostępu z natychmiastowym rozwiązywaniem konfliktów:
navigator.credentials.get({
publicKey: {
challenge: new Uint8Array([/* your challenge here */]),
rpId: 'example.com'
},
mediation: 'immediate',
//< password: true == enable this to request passwords alongside passkeys
}).t>hen(credential = {
// Use the credential for sign in
>}).catch(error = {
if (error.name === 'NotAllowedError') {
// No credential found on this device, fall back to another method
} else {
console.error('Error durin
g sign-in', error);
}
});
Ta funkcja jest dostępna w ścieżkach dla programistów. Więcej informacji znajdziesz w artykule tłumaczącym działanie natychmiastowej mediacji WebAuthn.
Automatyczne tworzenie kluczy dostępu
Wielu użytkowników nadal loguje się za pomocą haseł. Aby ułatwić im korzystanie z kluczy dostępu, Chrome wprowadza interfejs API, który pomaga automatycznie tworzyć klucze dostępu dla użytkowników po pomyślnym zalogowaniu się za pomocą hasła.
Wystarczy, że poprosisz o utworzenie klucza dostępu. Jeśli użytkownik ma zapisane hasło, które było ostatnio używane, menedżer haseł utworzy klucz dostępu i poinformuje Cię o jego utworzeniu. Gdy klucz dostępu będzie dostępny, użytkownik może otrzymać powiadomienie. Nie powoduje to usunięcia hasła użytkownika.
Jeśli klucz dostępu nie zostanie utworzony, przeglądarka nie będzie przeszkadzać użytkownikowi ani wyświetlać żadnych elementów interfejsu.
Dzięki temu użytkownicy mogą stopniowo stosować klucze dostępu, nie przerywając procesu logowania.
Ta funkcja jest dostępna w Chrome 136. Więcej informacji znajdziesz w artykule Ułatwianie użytkownikom korzystania z kluczy dostępu.
Usuwanie kluczy dostępu za pomocą interfejsu Signal API
Jeśli użytkownik usunie klucz dostępu ze strony lub aplikacji, jego menedżer haseł może nadal oferować ten klucz podczas logowania, co może powodować błędy i nieporozumienia. Interfejs Signal API umożliwia aplikacji powiadamianie menedżera haseł o usunięciu klucza dostępu, dzięki czemu listy danych logowania są czyste i poprawne.
Możesz też pomóc w utrzymywaniu kluczy dostępu w aktualnym stanie, wysyłając do menedżera haseł listę znanych kluczy dostępu. Dzięki temu usuwa wszystkie nieużywane klucze dostępu użytkownika.
Interfejs Signal API jest dostępny od wersji Chrome 132. Więcej informacji znajdziesz w artykule Zapewnienie spójności kluczy dostępu z danymi logowania na serwerze za pomocą interfejsu Signal API.
Importowanie i eksportowanie: zabierz ze sobą swoje dane logowania
Użytkownicy, którzy przełączają się między menedżerami haseł, często mają problemy z przeniesieniem swoich danych logowania. Chrome dodaje obsługę importowania i eksportowania kluczy dostępu oraz haseł zgodnie ze standardami FIDO. Użytkownik nie musi wykonywać żadnych czynności związanych z obsługą plików.
Ulepszenia autouzupełniania
Aby wyświetlać zapisane dane logowania w przyjazny dla użytkownika sposób, Chrome może automatycznie wyświetlać menu autouzupełniania, gdy formularz logowania jest gotowy. W formularzu obsługuj zarówno hasła, jak i klucze dostępu oraz zastosuj autofokus w polu do wpisywania danych.
Jest to przydatne, ponieważ dane logowania są wyświetlane bez konieczności klikania pola przez użytkownika. Zamiast tego użytkownik może po prostu kliknąć dane logowania, których chce użyć, co zmniejsza tarcie.
Więcej informacji znajdziesz w artykule Logowanie się przy użyciu klucza dostępu przez autouzupełnianie formularzy.
Zaktualizowane materiały szkoleniowe
Zaktualizowaliśmy nasze materiały edukacyjne dotyczące kluczy dostępu, aby umożliwić Ci zapewnienie użytkownikom jak najlepszego wrażenia z korzystania z kluczy dostępu.
- Tworzenie klucza dostępu do logowania bez hasła
- Logowanie się za pomocą klucza dostępu przez autouzupełnianie formularzy
- Pomaganie użytkownikom w skutecznym zarządzaniu kluczami dostępu
FedCM: ulepszanie tożsamości sfederowanej
Interfejs Federated Credential Management API (FedCM) umożliwia użytkownikom logowanie się za pomocą zaufanych dostawców tożsamości przy użyciu przepływu obsługiwanego przez przeglądarkę, który kładzie nacisk na prywatność i wrażenia użytkownika. FedCM pomaga uprościć rejestrację i logowanie w internecie, dzięki czemu deweloperzy mogą zapewnić płynną weryfikację tożsamości przy mniejszym nakładzie pracy.
Inteligentniejszy interfejs
FedCM daje teraz większą kontrolę nad tym, jak i kiedy pojawia się prośba o logowanie. Obsługuje 2 tryby:
- Tryb pasywny: gdy użytkownicy wracają do Twojej witryny, przeglądarka automatycznie wyświetla prośbę o logowanie do znanych dostawców tożsamości. Ta metoda sprawdza się w przypadku użytkowników, którzy już znają Twoją markę, ale może być uciążliwa, jeśli wyświetli się zbyt wcześnie.
- Tryb aktywny: prośba o zalogowanie pojawia się dopiero po kliknięciu przez użytkownika przycisku logowania, co powoduje, że użytkownik ma więcej czasu na zastanowienie się.
Jest to ważne, ponieważ zmniejsza dezorientację i zaskoczenie użytkowników. W trybie aktywnym użytkownicy mogą pozostać w Twojej witrynie i nigdy nie zobaczyć przekierowania ani innych okien dialogowych.
Pracujemy też nad tym, aby tryb pasywny był bardziej inteligentny. W przyszłych aktualizacjach będziemy eksperymentować z technikami uczenia maszynowego, które wykorzystują sygnały z witryn i użytkowników, aby określić, kiedy i jak wyświetlać interfejs użytkownika, aby zapewnić optymalne wrażenia.
bardziej elastyczne interfejsy API,
FedCM daje Ci większą elastyczność i kontrolę nad tym, jak użytkownicy logują się za pomocą tożsamości zaufanej.
Na przykład obsługa wielu dostawców tożsamości pozwala wyświetlić użytkownikom listę dostawców zamiast tylko jednego. Oznacza to, że użytkownicy mogą wybrać konto, które im odpowiada i zwiększa współczynnik logowania, przy jednoczesnym zachowaniu wysokiego poziomu ochrony prywatności.
Przeglądarka nadal pośredniczy w każdym kroku. Dostawcy tożsamości widzą tylko to, na co użytkownicy wyraźnie zezwalają, a prywatność jest chroniona przez cały proces.
Cyfrowe dokumenty tożsamości: szybka i prywatna weryfikacja online
Dane logowania w formie cyfrowej stają się coraz bardziej powszechne na całym świecie. Umożliwiają one użytkownikom weryfikowanie atrybutów, takich jak wiek, status studenta czy tożsamość, za pomocą portfela cyfrowego. Digital Credentials API umożliwia użytkownikom udostępnianie zweryfikowanych informacji, takich jak wiek lub stan licencji, bezpośrednio z portfela mobilnego na stronach internetowych.
Współpracujemy z W3C i liderami branży nad ustanowieniem tego standardu. Naszym celem jest zapewnienie użytkownikom przyjaznych, bezpiecznych, prywatnych i spójnie działających usług na wszystkich platformach.
Ciekawe funkcje:
- Obsługa na różnych urządzeniach. Użytkownicy mogą bezpiecznie przedstawiać dane logowania na dowolnym urządzeniu.
- Wybrane ujawnienie. Użytkownicy mogą potwierdzić szczegóły, takie jak „powyżej 18 lat”, bez ujawniania niepotrzebnych informacji.
- Informacje możliwe do zweryfikowania. Wydawca podpisuje dane cyfrowo, co umożliwia ich łatwą weryfikację.
- Wydanie. Pracujemy nad rozszerzeniem interfejsu API Cyfrowych danych logowania, aby umożliwić użytkownikom udostępnianie tych danych aplikacji portfela.
Dane uwierzytelniające sesji powiązane z urządzeniem: pozostawanie zalogowanym i chronionym
Sesje użytkowników są często identyfikowane na podstawie plików cookie, które złośliwe oprogramowanie może ukraść z urządzenia użytkownika.
Dane uwierzytelniające sesji powiązanych z urządzeniem wiążą sesję z określonym urządzeniem. Pozwala to zmniejszyć ryzyko przejęcia sesji i poprawia ochronę podczas logowania się na konta e-mail lub konta w mediach społecznościowych albo podczas korzystania z usług administracji publicznej.
DBSC pomaga deweloperom tworzyć bezpieczniejsze i bardziej stabilne sesje, ponieważ łączy uwierzytelnianie z urządzeniem używanym podczas logowania.
Prześlij opinię
Chętnie poznamy Twoją opinię na temat wszystkich tych informacji. Wypróbuj funkcje, użyj linków w tym dokumencie i powiedz nam, co o nich myślisz.