Kullanıcı kimlik doğrulamasını ve kimlik doğrulamasını yeniden şekillendirme

Ashima Arora
Ashima Arora
LinkedIn
Chirag Desai
Chirag Desai
X LinkedIn
Eiji Kitamura

Bu yıl Google I/O'da, Chrome'un tarayıcı API'sinin gücüyle web'de kullanıcı kimlik doğrulamasını ve kimlik doğrulamasını nasıl yeniden şekillendirdiğini paylaştık. Chrome, şifre, geçiş anahtarı veya federasyon kullanıyor olsanız da daha basit, daha güvenli ve daha kullanıcı dostu bir birleşik oturum açma ve kaydolma deneyimi sunar.

Web sitenizdeki kayıt ve oturum açma işlemlerini iyileştirmek için en yeni araçları ve en iyi uygulamaları keşfedin.

Önemli noktalar hakkında daha fazla bilgi edinmek için oturumun sayfasına göz atın veya okumaya devam edin.

Oturum açma yardımcınız olarak tarayıcı

Web'de kimlik doğrulama gelişiyor. Artan kullanıcı beklentileri, yeni düzenlemeler ve büyüyen bir dijital kimlik araçları ekosistemi nedeniyle geliştiricilerin güvenli, sorunsuz ve gizliliği koruyan oturum açma ve kayıt akışları sunması gerekiyor. Chrome size yardımcı olmaya hazır.

Üç ana odak alanı vardır:

  • Kullanıcı kimlik doğrulaması: Daha iyi şifre yönetimi, geçiş anahtarının daha kolay benimsenmesi ve birleşik kimlik bilgisi yönetimi (FedCM) aracılığıyla kimlik federasyonu için yerleşik destek sayesinde güçlü oturum açma akışlarını desteklemenize yardımcı olur.
  • Kimlik doğrulama: Mobil cüzdanlardaki dijital kimlik bilgilerini kullanarak yaş veya kimlik sahibi gibi doğrulanmış kullanıcı ayrıntılarını istemenize olanak tanır.
  • Oturum yönetimi: Cihaza Bağlı Oturum Kimlik Bilgileri ile oturumları cihazlarına bağlayarak oturum açtıktan sonra kullanıcıları korumanıza yardımcı olur.

Tüm bunları mümkün kılan araçları ve API'leri keşfedin.

Web için kimlik bilgisi yöneticisi: Tüm kimlik bilgileriniz için tek bir oturum açma kullanıcı arayüzü

Oturum açmak kolay olmalıdır. Ancak şifreler, geçiş anahtarları ve birleşik seçeneklerin hepsi kullanımda olduğundan kullanıcılar genellikle kafa karıştırıcı bir seçenek karışımıyla karşı karşıya kalır.

Chrome, kimlik bilgisi yöneticisi API'sini genişleterek türden bağımsız olarak tek bir tutarlı arayüz kullanarak tarayıcıdan kimlik bilgisi istemenize olanak tanır. Kimlik bilgileri bir şifre yöneticisinden alınabiliyorsa Chrome bunları kullanıcıya tek bir iletişim kutusunda gösterir. Böylece kullanıcının işlem yapması kolaylaşır.

Chrome kimlik bilgilerini bulamazsa size bildiririz ve kendi oturum açma akışınıza geri dönebilirsiniz.

Yeni Credential Manager API ile birleşik oturum açma akışı.

Bu yeni deneyim, kullanıcıların daha kolay oturum açmasını sağlar.

Bu özellik geliştirici deneme sürümündedir. Hem password kimlik bilgisi hem de publicKey kimlik bilgisi dahil olmak üzere chrome://flags#enable-experimental-web-platform-features işaretini etkinleştirip mediation: "immediate"'ı kullanarak anında uyumlulaştırmayı etkinleştirerek yerel olarak kullanmaya başlayabilirsiniz.

Aşağıdaki kod snippet'inde, bu öğenin nasıl görünmesi gerektiği gösterilmektedir:

const cred = await navigator.credentials.get({
  password: true,
  publicKey: {
    challenge,
    rpId: 'example.com'
  },
  mediation: 'immediate',
});

Chrome'da Anında Uyumlulaştırma'yı test etme hakkındaki belgemizden daha fazla bilgi edinebilirsiniz.

Şifreler: daha akıllı ve daha güvenli

Şifreler hâlâ dünyanın en yaygın kimlik doğrulama yöntemidir. Tarayıcılar ve şifre yöneticileri, şifrelerle oturum açma deneyimini iyileştirmeye yönelik araçlar sunar ancak siteler bu araçları her zaman kullanmaz.

Chrome, Google Şifre Yöneticisi'ndeki özelliklerle daha güvenli uygulamalar sunar. Örneğin, kayıt formlarında şifre oluşturma veya kimlik bilgilerinin güvenliği ihlal edildiğinde kullanıcıları uyarmak için şifre ihlali kontrolleri gibi özellikler sunar.

Sitenizde şifre kullanma deneyimini iyileştirmeye yönelik birkaç araç aşağıda verilmiştir.

Otomatik şifre değişikliği: Güvenliği ihlal edilmiş şifreleri tek tıklamayla düzeltin

Bu yılın ilerleyen dönemlerinde bazı web sitelerinde kullanıma sunulacak olan otomatik şifre değiştirme özelliği, kimlik bilgileri risk altındayken kullanıcıların yanıt vermesini kolaylaştırır.

Chrome, oturum açma sırasında güvenliği ihlal edilmiş bir şifre algıladığında Google Şifre Yöneticisi, kullanıcıya şifreyi otomatik olarak düzeltme seçeneği sunar.

Chrome, desteklenen web sitelerinde güçlü bir şifre oluşturabilir ve kullanıcının şifresini otomatik olarak güncelleyebilir.

Bu sayede kullanıcılar, hesap ayarlarını aramak veya işlemi yarıda bırakmak zorunda kalmadan hesaplarını güvende tutabilir.

Otomatik şifre değişikliği kullanılıyor.

Web sitenizi tarayıcılar ve şifre yöneticileriyle birlikte çalışacak şekilde optimize etmek için yapabileceğiniz bazı işlemler vardır.

  • Otomatik tamamlama optimizasyonu: Otomatik doldurma ve depolama alanını tetiklemek için autocomplete="current-password" ve autocomplete="new-password" öğelerini kullanın. Giriş ve kayıt kılavuzlarımıza göz atın.
  • Şifre URL'lerini değiştir: <your-website-domain>/.well-known/change-password adresinden web sitenizdeki şifre değiştirme formuna yönlendirme yapın (bilinen şifre değiştirme URL'si). Şifre yöneticileri, güvenlik açığı bulunan bir şifre algılandığında kullanıcıyı şifre değiştirme sayfasına yönlendirebilir.

Sorunsuz kimlik bilgisi paylaşımı: Uygulama ve web'de tek oturum açma

Şifre yöneticileri, şifreleri depolamaktan daha fazlasını yapar. Yalnızca alan adı eşleştiğinde kimlik bilgileri sunarak kimlik avının önlenmesine yardımcı olurlar. Ancak hizmetiniz birden fazla alan ve platformu kapsıyorsa kullanıcılar sorunla karşılaşabilir.

Örneğin:

  • Bir kullanıcı Android uygulamanıza kaydolup daha sonra dizüstü bilgisayarda web sitenizi ziyaret eder
  • Aynı girişi kabul eden birden fazla alan veya uygulama sunuyorsanız

Paylaşılan kimlik bilgisi olmadan kayıtlı şifre sunulmaz. Bu nedenle, kullanıcıların oturum açması zor olabilir.

Sorunsuz kimlik bilgisi paylaşımı bu sorunu düzeltmenize yardımcı olur. Google Şifre Yöneticisi, uygulama ve sitelerinizi ilişkilendirerek şifreyi bu öğeler arasında sorunsuz bir şekilde paylaşabilir. Bu sayede daha sorunsuz ve basit bir oturum açma deneyimi elde edebilirsiniz.

eBay, başarılı oturum açma oranını %10 artırdı. eBay, sorunsuz kimlik bilgisi paylaşımıyla giriş başarı oranlarını% 10 artırdı başlıklı makaleden daha fazla bilgi edinin.

Geçiş anahtarları: Daha basit ve daha güvenli bir oturum açma yöntemi

Geçiş anahtarları, kullanıcıların web sitelerinde ve uygulamalarda biyometrik veriler (ör. parmak izleri veya yüzler), PIN veya desen gibi cihaz kilit açma mekanizmalarıyla güvenli bir şekilde oturum açmasına yardımcı olan, şifrelere kıyasla daha güçlü bir alternatiftir. Kimlik avına karşı dirençli, kullanıcı dostu ve tarayıcılar ile işletim sistemleri arasında yaygın olarak benimsenen bir standarttır.

Geçiş anahtarlarını platformlar arasında senkronize etme

Kullanıcılar geçiş anahtarlarını şifre yöneticilerinde saklar ancak bazı yöneticiler bunları senkronize etmez. Bu durum, kullanıcı geçiş anahtarının kullanılamadığı bir cihazdan oturum açmaya çalışırsa soruna neden olabilir. Bu durumda Chrome, kullanıcının kimlik bilgilerinin bulunduğu başka bir cihazdan oturum açabilmesi için bir QR kodu gösterir.

Chrome, bu sorunu azaltmak için Google Şifre Yöneticisi'ne geçiş anahtarı senkronizasyonu desteği ekledi.

iOS desteğinin de eklenmesiyle Google Şifre Yöneticisi'ndeki geçiş anahtarları Android, Windows, macOS, ChromeOS ve Linux dahil olmak üzere tüm büyük platformlarda senkronize edilebilir. Daha fazla bilgi için Desteklenen ortamlar makalesini inceleyin.

Anında uyumlulaştırma: Yalnızca mevcut kimlik bilgilerini isteyin

Bazı kullanıcıların geçiş anahtarları her cihazda senkronize edilmemiştir. Yerel olarak geçiş anahtarı bulunamazsa Chrome, kullanıcının kimlik bilgisini içeren başka bir cihaz kullanabilmesi için bir QR kodu gösterebilir. Bu yöntem işe yarar ancak kullanıcıların işini zorlaştırabilir.

Chrome, bu sorunu azaltmak için yeni bir seçenek olan mediation: 'immediate''ü destekler. Bu sayede siteniz, mevcut cihazda mevcut olan kimlik bilgilerini isteyebilir. Hiçbiri bulunamazsa kullanıcı hiçbir şey görmez. İstem, QR kodu veya kesinti yoktur. Chrome, bunun yerine normal oturum açma kullanıcı arayüzünüzü gösterebilmeniz için sizi bilgilendirir.

Bu, kimlik bilgileri olmayan kullanıcılar için QR kodu akışlarından kaçınarak deneyimi iyileştirir.

Kullanıcı oturum açma veya ödeme düğmesini tıklamak gibi anlamlı bir işlem yaptığında bu yaklaşımı kullanın. navigator.credentials.get()mediation: 'immediate' ile kullandığınızda, mevcut cihazda geçiş anahtarı varsa Chrome kullanıcıdan hemen şifre ister. Aksi takdirde kullanıcı kesinti olmadan devam eder ve şifre alanı, tek kullanımlık kod veya başka bir yöntem gösterebilirsiniz.

Ayrıca, password: true ayarını yaparak kullanıcının oturum açmasına yardımcı olma şansınızı artırabilirsiniz. Bu sayede Chrome, kayıtlı şifreleri (varsa) geçiş anahtarlarıyla birlikte döndürebilir.

Aşağıdaki örnekte, anında arabuluculuk ile geçiş anahtarının nasıl isteneceği gösterilmektedir:

navigator.credentials.get({
  publicKey: {
    challenge: new Uint8Array([/* your challenge here */]),
    rpId: 'example.com'
  },
  mediation: 'immediate',
  //< password: true == enable this to request passwords alongside passkeys
}).t>hen(credential = {
  // Use the credential for sign in
>}).catch(error = {
  if (error.name === 'NotAllowedError') {
    // No credential found on this device, fall back to another method
  } else {
    console.error('Error during sign-in', error);
  }
});

Bu özellik geliştirici sürümlerindedir ve WebAuthn anında arabuluculuk açıklamalı makalesinde bu özellik hakkında daha fazla bilgi edinebilirsiniz.

Otomatik geçiş anahtarı oluşturma

Birçok kullanıcı hâlâ şifrelerle oturum açıyor. Chrome, geçiş anahtarlarını kullanmaya başlamalarına yardımcı olmak için başarılı bir şifre oturumu açtıktan sonra kullanıcılarınız için otomatik olarak geçiş anahtarı oluşturmanıza yardımcı olan bir API sunar.

Tek yapmanız gereken geçiş anahtarı oluşturma isteğinde bulunmaktır. Kullanıcının yakın zamanda kullanılmış kayıtlı bir şifresi varsa şifre yöneticisi bir geçiş anahtarı oluşturur ve bu işlemin başarılı olup olmadığını size bildirir. Geçiş anahtarı kullanılabilir hale geldiğinde kullanıcıya bildirim gönderilebilir. Bu işlem, kullanıcının şifresini silmez.

Geçiş anahtarı oluşturulmazsa tarayıcı kullanıcıyı rahatsız etmez veya kullanıcı arayüzü göstermez.

Bu sayede kullanıcılar, oturum açma akışlarını kesintiye uğratmadan geçiş anahtarlarını kademeli olarak kullanmaya başlayabilir.

Bu özellik Chrome 136'tan itibaren kullanılabilir. Bu özellik hakkında daha fazla bilgiyi Kullanıcıların geçiş anahtarlarını daha sorunsuz bir şekilde kullanmalarına yardımcı olma makalesinde bulabilirsiniz.

Signal API ile geçiş anahtarlarını temizleme

Bir kullanıcı sitenizden veya uygulamanızdan geçiş anahtarını silerse şifre yöneticisi, oturum açma sırasında bu anahtarı sunmaya devam edebilir. Bu da kullanıcının başarısız olmasına ve kafa karışıklığına neden olabilir. Signal API, bir geçiş anahtarı kaldırıldığında uygulamanızın şifre yöneticisini bilgilendirmesini sağlayarak kimlik bilgisi listelerini temiz ve doğru tutar.

Ayrıca, bilinen geçiş anahtarlarının listesini şifre yöneticisine göndererek geçiş anahtarlarının güncel kalmasına yardımcı olabilirsiniz. Bu sayede, kullanıcı için kullanılmayan şifre anahtarlarını temizleyebilir.

Signal API, Chrome 132'den itibaren kullanılabilir. Signal API ile geçiş anahtarlarını sunucunuzdaki kimlik bilgileriyle tutarlı tutma başlıklı makalede daha fazla bilgi edinin.

İçe ve dışa aktarma: Kimlik bilgilerinizi yanınızda taşıyın

Şifre yöneticileri arasında geçiş yapan kullanıcılar genellikle kimlik bilgilerini aktarmakta zorlanır. Chrome, FIDO standartlarına göre geçiş anahtarlarının ve şifrelerin içe ve dışa aktarılması için destek ekliyor. Kullanıcının dosya işlemesi gerekmez.

Otomatik doldurma iyileştirmeleri

Chrome, kayıtlı kimlik bilgilerini kullanıcı dostu bir şekilde göstermek için oturum açma formu hazır olduğunda otomatik doldurma açılır menüsünü otomatik olarak gösterebilir. Bunun için formunuzda hem şifreleri hem de geçiş anahtarlarını desteklemeniz ve giriş alanına otomatik odaklama uygulamanız yeterlidir.

Bu, kullanıcının bir alanı tıklamasına gerek kalmadan kimlik bilgilerinin gösterilmesi nedeniyle yararlıdır. Bunun yerine kullanıcı, kullanmak istediği kimlik bilgisine dokunarak işlemi kolaylaştırabilir.

Form otomatik doldurma özelliğiyle geçiş anahtarıyla oturum açma makalesinde daha fazla bilgi edinin.

Güncellenen eğitim kaynakları

Kullanıcılarınıza mümkün olan en iyi geçiş anahtarı deneyimini sunabilmeniz için geçiş anahtarı öğrenme kaynaklarımızı baştan sona yeniledik.

FedCM: Birleştirilmiş kimliği iyileştirme

Federated Credential Management API (FedCM), kullanıcıların gizliliği ve kullanıcı deneyimini ön planda tutan tarayıcı aracılı bir akış kullanarak güvenilir kimlik sağlayıcılarla oturum açmasına olanak tanır. FedCM, web'de kayıt ve oturum açma deneyimlerini basitleştirir. Böylece geliştiriciler, sorunsuz kimlik doğrulamayı daha az çabayla destekleyebilir.

Daha akıllı kullanıcı arayüzü

FedCM artık oturum açma isteğinin nasıl ve ne zaman gösterileceği konusunda size daha fazla kontrol sunar. İki modu destekler:

  • Pasif mod: Kullanıcılar sitenize geri döndüğünde tarayıcı, bilinen kimlik sağlayıcılar için oturum açma istemini otomatik olarak gösterir. Bu, aşina olan kullanıcılar için iyi bir seçenektir ancak çok erken gösterilirse müdahaleci olarak algılanabilir.
  • Etkin mod: İstem yalnızca kullanıcı bir oturum açma düğmesini tıkladıktan sonra görünür. Bu sayede daha bilinçli bir deneyim sağlanır.

Bu, kafa karışıklığını azalttığı ve kullanıcıları şaşırtmadığı için önemlidir. Etkin mod sayesinde kullanıcılar sitenizde kalabilir ve yönlendirme veya başka iletişim kutuları görmez.

Chrome, pasif modu daha akıllı hale getirmek için de çalışıyor. Gelecekteki güncellemelerde, optimum bir kullanıcı deneyimi sunmak için kullanıcı arayüzünün ne zaman ve nasıl gösterileceğini belirlemek amacıyla site ve kullanıcı sinyallerini içeren makine öğrenimi teknikleri denenecektir.

Daha esnek API'ler

FedCM, kullanıcıların birleşik kimlikle nasıl oturum açtığı üzerinde daha fazla esneklik ve kontrol sahibi olmanızı sağlar.

Örneğin, birden fazla kimlik sağlayıcı desteği, kullanıcılarınıza yalnızca bir sağlayıcı yerine bir sağlayıcı listesi göstermenize olanak tanır. Bu sayede kullanıcılar, güçlü kullanıcı gizliliğini korurken kendilerine en uygun hesabı seçip oturum açma oranlarını artırabilir.

Tarayıcı, her adımda aracı olmaya devam eder. Kimlik sağlayıcılar yalnızca kullanıcıların açıkça izin verdiği bilgileri görür ve gizlilik, akış boyunca korunur.

Dijital kimlik bilgileri: İnternet üzerinden hızlı ve gizli kimlik doğrulama

Dijital kimlik bilgileri dünya genelinde yaygınlaşıyor. Kullanıcıların dijital cüzdan üzerinden yaş, öğrenci durumu veya kimlik gibi özellikleri doğrulamasına olanak tanır. Dijital Kimlik Bilgileri API'si, kullanıcıların yaş veya lisans durumu gibi doğrulanmış iddiaları mobil cüzdanlarından doğrudan web siteleriyle paylaşmasına olanak tanır.

Bu özelliği standart hâle getirmek için W3C ve sektör liderleriyle birlikte çalışıyoruz. Amacımız, platformlar genelinde kullanıcı dostu, güvenli, gizli ve tutarlı bir deneyim sunmaktır.

İlginç özelliklerden bazıları:

Cihaz Bağlı Oturumun Kimlik Bilgileri: Oturumunuz açık kalsın, güvenliğiniz korunsun

Kullanıcı oturumları genellikle çerezleriyle tanımlanır. Kötü amaçlı yazılımlar, çerezleri kullanıcının cihazından çalabilir.

Cihaz bağlı oturum kimlik bilgileri, bir oturumu belirli bir cihaza bağlar. Bu, oturum ele geçirme riskini azaltır ve e-posta veya sosyal medya hesaplarınıza giriş yaptığınızda ya da resmi hizmetlere eriştiğinizde korumayı artırır.

Cihaza bağlı oturum kimlik bilgileri, kimlik doğrulamayı oturum açma sırasında kullanılan cihaza bağlayarak geliştiricilerin daha güvenli ve kararlı oturumlar oluşturmasına yardımcı olur.

Geri bildirim

Paylaştığımız her şeyle ilgili geri bildirimlerinizi öğrenmekten memnuniyet duyarız. Özellikleri deneyin, bu belgedeki bağlantıları keşfedin ve görüşlerinizi bizimle paylaşın.

Geri bildirim gönderme