В этом году на Google I/O мы рассказали, как Chrome меняет аутентификацию пользователей и проверку личности в Интернете с помощью возможностей API браузера. Используете ли вы пароли, ключи доступа или федерацию, Chrome предложит унифицированный процесс входа и регистрации, который проще, безопаснее и удобнее для пользователя.
Откройте для себя новейшие инструменты и передовые методы для улучшения процесса регистрации и входа на ваш сайт.
Посетите страницу сессии или продолжайте читать, чтобы узнать больше о ключевых моментах.
Браузер как ваш союзник при входе в систему
Аутентификация в Интернете развивается. С ростом ожиданий пользователей, новыми правилами и растущей экосистемой инструментов цифровой идентификации разработчикам необходимо предлагать безопасные, бесперебойные и сохраняющие конфиденциальность процессы входа и регистрации. Chrome здесь, чтобы помочь.
Существует три основных направления:
- Аутентификация пользователей : помогает поддерживать надежные потоки входа с улучшенным управлением паролями, более простым принятием ключей доступа и встроенной поддержкой федерации удостоверений посредством федеративного управления учетными данными (FedCM).
- Проверка личности : позволяет запрашивать проверенные данные пользователя, такие как возраст или право собственности на удостоверение личности, используя цифровые учетные данные из мобильных кошельков.
- Управление сеансами : помогает защитить пользователей после входа в систему, привязывая сеансы к их устройствам с помощью учетных данных сеанса, привязанных к устройству.
Изучите инструменты и API, которые делают все это возможным.
Менеджер учетных данных для Интернета: единый пользовательский интерфейс входа для всех ваших учетных данных
Вход должен быть удобным. Но с паролями, ключами доступа и федеративными опциями пользователи часто сталкиваются с запутанной смесью вариантов.
Chrome расширяет API Credential Manager, позволяя вам запрашивать учетные данные из браузера, независимо от типа, используя один последовательный интерфейс. Если учетные данные доступны из менеджера паролей, Chrome отобразит их пользователю в одном диалоговом окне, что снижает сложность для пользователя.
Если Chrome не обнаружит учетные данные, мы сообщим вам об этом, и вы сможете вернуться к собственному процессу входа.
Этот новый опыт уменьшает неудобства и делает вход в систему более удобным.
Эта функция находится в стадии тестирования разработчиками. Вы можете начать использовать ее локально, включив флаг chrome://flags#enable-experimental-web-platform-features , включая как password , так и publicKey , и используя mediation: "immediate" для включения немедленного посредничества.
Следующий фрагмент кода показывает, как это должно выглядеть:
const cred = await navigator.credentials.get({
password: true,
publicKey: {
challenge,
rpId: 'example.com'
},
mediation: 'immediate',
});
Подробнее читайте в нашем документе о тестировании немедленного посредничества в Chrome .
Пароли: умнее и безопаснее
Пароли по-прежнему остаются самым распространенным методом аутентификации в мире. Браузеры и менеджеры паролей предлагают инструменты для улучшения процесса входа с помощью паролей, но сайты не всегда их принимают.
Chrome поддерживает более безопасные методы работы с функциями Google Password Manager, такими как генерация паролей в формах регистрации или проверка паролей на предмет взлома для предупреждения пользователей о скомпрометированных учетных данных.
Вот несколько инструментов, которые помогут улучшить использование паролей на вашем сайте.
Автоматическая смена пароля: исправление скомпрометированных паролей одним щелчком мыши
Функция автоматической смены паролей, которая будет запущена на некоторых веб-сайтах в конце этого года, позволит пользователям легче реагировать на ситуации, когда их учетные данные подвергаются риску.
Когда Chrome обнаруживает взломанный пароль во время входа в систему, Google Password Manager предлагает пользователю автоматически исправить его.
На поддерживаемых веб-сайтах Chrome может автоматически генерировать надежную замену и обновлять пароль для пользователя.
Это снижает трение и помогает пользователям сохранять безопасность своих учетных записей, не тратя время на изучение настроек учетной записи и не прерывая процесс на полпути.
Есть несколько действий, которые вы можете выполнить, чтобы оптимизировать работу своего веб-сайта с браузерами и менеджерами паролей.
- Оптимизация автозаполнения : используйте
autocomplete="current-password"иautocomplete="new-password"для запуска автозаполнения и хранения. Ознакомьтесь с нашими руководствами по входу и регистрации . - URL-адреса для смены пароля : сделайте перенаправление с
<your-website-domain>/.well-known/change-passwordна форму смены пароля на вашем сайте ( URL-адрес для смены пароля ). При обнаружении уязвимого пароля менеджеры паролей могут перенаправить пользователя на страницу смены пароля.
Удобный обмен учетными данными: единый вход в приложение и веб-сайт
Менеджеры паролей не просто хранят пароли. Они помогают предотвратить фишинг, предлагая учетные данные только при совпадении домена. Но пользователи все равно могут столкнуться с проблемами, если ваш сервис охватывает несколько доменов и платформ.
Например:
- Пользователь регистрируется в вашем приложении Android, а затем посещает ваш сайт на ноутбуке.
- Или вы предлагаете несколько доменов или приложений, которые принимают один и тот же логин.
Без общих учетных данных мы не предоставим сохраненный пароль, поэтому у пользователей могут возникнуть трудности при входе в систему.
Бесперебойный обмен учетными данными помогает это исправить . Связывая ваши приложения и сайты, Google Password Manager может беспрепятственно обмениваться паролем между этими активами, что обеспечивает более плавный и оптимизированный процесс входа.
eBay увеличил процент успешных входов на 10%. Узнайте больше из примера: Как eBay увеличил процент успешных входов на 10% с помощью бесперебойного обмена учетными данными .
Пароли: более простой и безопасный метод входа в систему
Пароли — это более надежная альтернатива паролям, которая помогает пользователям безопасно входить на веб-сайты и в приложения с помощью механизма разблокировки устройства, например, биометрических данных (например, отпечатков пальцев или лица), PIN-кода или шаблона. Они устойчивы к фишингу, удобны для пользователя и являются широко распространенным стандартом в браузерах и операционных системах.
Синхронизация паролей между платформами
Пользователи хранят пароли в своем менеджере паролей, но некоторые менеджеры не синхронизируют их. Это может вызвать затруднения, если пользователь попытается войти с устройства, на котором пароль недоступен. В этом случае Chrome показывает QR-код, чтобы пользователь мог завершить вход с другого устройства, на котором хранятся учетные данные.
Чтобы уменьшить это затруднение, Chrome добавил поддержку синхронизации ключей доступа в Google Password Manager.
С поддержкой iOS пароли в Google Password Manager могут синхронизироваться на всех основных платформах, включая Android, Windows, macOS, ChromeOS и Linux. Узнайте больше в статье Поддерживаемые среды .
Немедленное посредничество: запрос только имеющихся учетных данных
У некоторых пользователей нет синхронизированных паролей на каждом устройстве. Если пароли не найдены локально, Chrome может показать QR-код, чтобы пользователь мог использовать другое устройство, на котором хранятся учетные данные . Это работает, но может добавить трения.
Чтобы уменьшить это трение, Chrome поддерживает новую опцию: mediation: 'immediate' . Это позволяет вашему сайту запрашивать только те учетные данные, которые уже доступны на текущем устройстве. Если ничего не найдено, пользователь ничего не видит. Никаких подсказок, никаких QR-кодов, никаких прерываний. Chrome даст вам знать, чтобы вы могли показать свой обычный интерфейс входа.
Это улучшает процесс, устраняя необходимость в использовании QR-кода для пользователей без учетных данных.
Используйте этот подход, когда пользователь выполняет какие-либо значимые действия, например, нажимает кнопку «Войти» или «Оформить заказ». Когда вы используете navigator.credentials.get() с mediation: 'immediate' , если на текущем устройстве доступен ключ доступа, Chrome немедленно запрашивает его у пользователя. Если нет, пользователь продолжает работу без прерывания, и вы можете показать поле пароля, одноразовый код или другой метод.
Вы также можете увеличить свои шансы помочь пользователю войти, установив password: true . Это позволяет Chrome возвращать сохраненные пароли вместе с ключами доступа, если они доступны.
В следующем примере показано, как запросить ключ доступа с немедленным посредничеством:
navigator.credentials.get({
publicKey: {
challenge: new Uint8Array([/* your challenge here */]),
rpId: 'example.com'
},
mediation: 'immediate',
//< password: true == enable this to request passwords alongside passkeys
}).t>hen(credential = {
// Use the credential for sign in
>}).catch(error = {
if (error.name === 'NotAllowedError') {
// No credential found on this device, fall back to another method
} else {
console.error('Error during sign-in', error);
}
});
Эта функция находится в списке для разработчиков, и вы можете узнать о ней больше в объяснении немедленного посредничества WebAuthn .
Автоматическое создание ключа доступа
Многие пользователи по-прежнему входят в систему с помощью паролей. Чтобы помочь им принять пароли, Chrome представляет API, который помогает вам автоматически создавать пароли для ваших пользователей после успешного входа с паролем.
Все, что вам нужно сделать, это запросить создание ключа доступа. Если у пользователя есть сохраненный пароль, который использовался недавно, менеджер паролей создает ключ доступа и сообщает вам, был ли он успешным. Пользователь может получить уведомление, как только ключ доступа станет доступен. Это не удаляет пароль пользователя.
Если ключ доступа не создан, браузер не будет отвлекать пользователя и не будет отображать какой-либо пользовательский интерфейс.
Это позволяет пользователям постепенно вводить пароли, не прерывая процесс входа в систему.
Эта функция доступна в Chrome 136, и вы можете узнать больше о ней в статье Помогите пользователям более эффективно использовать пароли .
Очистите пароли с помощью API Signal
Если пользователь удалит пароль с вашего сайта или приложения, его менеджер паролей может по-прежнему предлагать его во время входа, вызывая сбои и путаницу. API Signal позволяет вашему приложению уведомлять менеджер паролей об удалении пароля, поддерживая чистоту и точность списков учетных данных.
Вы также можете помочь поддерживать пароли в актуальном состоянии, отправив список известных паролей в менеджер паролей. Это позволяет ему очистить любые неиспользуемые пароли для пользователя.
API Signal доступен, начиная с Chrome 132. Подробнее читайте в статье Обеспечение соответствия паролей учетным данным на сервере с помощью API Signal .
Импорт и экспорт: возьмите с собой свои учетные данные
Пользователи, переключающиеся между менеджерами паролей, часто испытывают трудности с переносом своих учетных данных. Chrome добавляет поддержку импорта и экспорта паролей и ключей доступа на основе стандартов FIDO . Пользователю не требуется никакой обработки файлов.
Улучшения автозаполнения
Чтобы отображать сохраненные учетные данные в удобном для пользователя виде, Chrome может автоматически отображать раскрывающийся список автозаполнения, когда форма входа готова. Просто поддерживайте в форме как пароли, так и ключи доступа и применяйте автофокус к полю ввода.
Это полезно, поскольку учетные данные отображаются без необходимости нажатия пользователем на поле. Вместо этого пользователь может просто нажать на учетные данные, которые он хочет использовать, что снижает трение.
Подробнее читайте в статье Вход с помощью ключа доступа через автозаполнение форм .
Обновленные учебные ресурсы
Мы пересмотрели наши обучающие ресурсы по ключам доступа, чтобы вы могли предоставить своим пользователям наилучший опыт работы с ключами доступа.
- Создайте ключ доступа для входа без пароля
- Войти с помощью ключа доступа через автозаполнение форм
- Помогите пользователям эффективно управлять ключами доступа
FedCM: Улучшение федеративной идентичности
API Federated Credential Management (FedCM) позволяет пользователям входить в систему с помощью доверенных поставщиков удостоверений, используя браузерный поток, который ставит конфиденциальность и пользовательский опыт на первое место. FedCM помогает упростить регистрацию и вход в систему в Интернете, поэтому разработчики могут поддерживать бесшовную аутентификацию с меньшими усилиями.
Более умный пользовательский интерфейс
FedCM теперь дает вам больше контроля над тем, как и когда появляется запрос на вход. Он поддерживает два режима :
- Пассивный режим : браузер автоматически показывает запрос на вход для известных поставщиков удостоверений, когда пользователи возвращаются на ваш сайт. Это хорошо работает для знакомых пользователей, но может показаться навязчивым, если отображается слишком рано.
- Активный режим : запрос появляется только после того, как пользователь нажимает кнопку входа, что делает процесс более осознанным.
Это важно, поскольку это уменьшает путаницу и не удивляет пользователей. В активном режиме пользователи могут оставаться на вашем сайте и никогда не видеть перенаправления или других диалогов.
Но Chrome также работает над тем, чтобы сделать пассивный режим более умным. Будущие обновления будут экспериментировать с методами машинного обучения, которые включают сигналы сайта и пользователя, чтобы определить, когда и как показывать пользовательский интерфейс для обеспечения оптимального пользовательского опыта.
Более гибкие API
FedCM обеспечивает большую гибкость и контроль над тем, как пользователи входят в систему с помощью федеративной идентификации.
Например, поддержка нескольких поставщиков удостоверений позволяет вам показывать пользователям список поставщиков вместо одного. Это означает, что пользователи могут выбрать учетную запись, которая им подходит, и повышает показатели входа, сохраняя при этом высокую конфиденциальность пользователей.
Браузер по-прежнему выступает посредником на каждом шагу. Поставщики удостоверений видят только то, что пользователи явно разрешают, и конфиденциальность остается защищенной на протяжении всего потока.
Цифровые удостоверения личности: быстрая и конфиденциальная проверка личности онлайн
Цифровые удостоверения становятся все более распространенными во всем мире. Они позволяют пользователям проверять атрибуты, такие как возраст, статус студента или личность через цифровой кошелек. API цифровых удостоверений позволяет пользователям делиться проверенными утверждениями, такими как возраст или статус лицензии, из своего мобильного кошелька напрямую с веб-сайтами.
Мы работаем с W3C и лидерами отрасли, чтобы сделать это стандартом. Наша цель — удобный, безопасный, конфиденциальный и единообразный опыт на всех платформах.
Некоторые интересные особенности:
- Поддержка кросс-устройств . Пользователи могут безопасно предоставлять учетные данные с любого устройства .
- Выборочное раскрытие . Пользователи могут подтвердить данные, например «старше 18 лет», не раскрывая ненужную информацию.
- Проверяемая информация . Эмитент подписывает данные цифровой подписью, что позволяет осуществить простую проверку.
- Выпуск . Мы работаем над расширением API цифровых учетных данных, чтобы пользователи могли предоставлять эти учетные данные своему приложению-кошельку .
Учетные данные сеанса, привязанные к устройству: оставайтесь в системе, оставайтесь защищенными
Сеансы пользователя часто идентифицируются по файлам cookie, которые вредоносное ПО может украсть с устройства пользователя.
Учетные данные сеанса, привязанные к устройству, связывают сеанс с определенным устройством. Это снижает риск перехвата сеанса и улучшает защиту, когда вы входите в свою учетную запись электронной почты или социальных сетей или получаете доступ к государственным услугам.
DBSC помогает разработчикам создавать более безопасные и стабильные сеансы, привязывая аутентификацию к устройству, используемому при входе в систему.
Обратная связь
Мы будем рады вашим отзывам обо всем, чем мы поделились. Попробуйте функции, изучите ссылки в этом документе и расскажите нам, что вы думаете.