تغییر شکل احراز هویت و تأیید هویت کاربر

آشیما آرورا
Ashima Arora
LinkedIn
چیراگ دسای
Chirag Desai
X LinkedIn
ایجی کیتامورا

امسال در Google I/O، نحوه تغییر شکل احراز هویت کاربر و تأیید هویت کاربر در وب را با قدرت API مرورگر به اشتراک گذاشتیم. چه از گذرواژه‌ها، کلیدهای عبور یا فدراسیون استفاده می‌کنید، Chrome تجربه ورود و ثبت‌نام واحدی را ارائه می‌کند که ساده‌تر، ایمن‌تر و کاربرپسندتر است.

جدیدترین ابزارها و بهترین روش ها را برای بهبود ثبت نام و ورود به سیستم در وب سایت خود کشف کنید.

صفحه جلسه را ببینید یا به خواندن ادامه دهید تا در مورد نکات مهم بیشتر بدانید.

مرورگر به عنوان متحد ورود به سیستم شما

احراز هویت در وب در حال پیشرفت است. با افزایش انتظارات کاربران، مقررات جدید و اکوسیستم رو به رشد ابزارهای هویت دیجیتال، توسعه‌دهندگان باید جریان‌های ورود به سیستم و ثبت‌نام را ارائه دهند که ایمن، بدون درز و حفظ حریم خصوصی باشد. Chrome اینجاست تا به شما کمک کند.

سه حوزه اصلی تمرکز وجود دارد:

  • احراز هویت کاربر : به شما کمک می‌کند از جریان‌های ورود قوی با مدیریت رمز عبور بهتر، پذیرش آسان‌تر رمز عبور، و پشتیبانی داخلی برای فدراسیون هویت از طریق مدیریت اعتبار فدرال (FedCM) پشتیبانی کنید.
  • تأیید هویت : به شما امکان می‌دهد با استفاده از اعتبار دیجیتال از کیف پول‌های تلفن همراه، اطلاعات تأیید شده کاربر، مانند مالکیت سن یا شناسه را درخواست کنید.
  • مدیریت جلسه : به شما کمک می‌کند از کاربران پس از ورود به سیستم با اتصال جلسات به دستگاه آن‌ها با Device Bound Session Credentials محافظت کنید.

ابزارها و API هایی را که همه اینها را ممکن می کنند، کاوش کنید.

مدیر اعتبار برای وب: یک رابط کاربری برای ورود به سیستم برای همه اطلاعات کاربری شما

ورود به سیستم باید راحت باشد. اما با وجود رمزهای عبور، کلیدهای عبور و گزینه‌های فدرال، کاربران اغلب با ترکیبی از انتخاب‌های گیج‌کننده مواجه می‌شوند.

Chrome در حال گسترش Credential Manager API است و به شما این امکان را می‌دهد تا با استفاده از یک رابط ثابت، بدون در نظر گرفتن نوع آن، اعتبارنامه‌ها را از مرورگر درخواست کنید. اگر اعتبارنامه‌ها از یک مدیر رمز عبور در دسترس باشند، Chrome آنها را در یک گفتگو به کاربر نشان می‌دهد و پیچیدگی را برای کاربر کاهش می‌دهد.

اگر Chrome اعتبارنامه‌ها را پیدا نکرد، به شما اطلاع می‌دهیم و می‌توانید به جریان ورود به سیستم خود بازگردید.

جریان یکپارچه ورود به سیستم با Credential Manager API جدید.

این تجربه جدید اصطکاک را کاهش می دهد و باعث می شود ورود به سیستم یکپارچه تر شود.

این ویژگی در مرحله آزمایشی توسعه دهندگان است. می توانید با فعال کردن chrome://flags#enable-experimental-web-platform-features ، از جمله اعتبار password و اعتبار publicKey ، و استفاده از mediation: "immediate" برای فعال کردن میانجیگری فوری، استفاده از آن را به صورت محلی شروع کنید.

قطعه کد زیر به شما نشان می دهد که چگونه باید به نظر برسد:

const cred = await navigator.credentials.get({
  password: true,
  publicKey: {
    challenge,
    rpId: 'example.com'
  },
  mediation: 'immediate',
});

در سند ما درباره آزمایش میانجیگری فوری در Chrome بیشتر بیاموزید.

رمزهای عبور: هوشمندتر و ایمن تر

رمز عبور هنوز رایج ترین روش احراز هویت در جهان است. مرورگرها و مدیران گذرواژه ابزارهایی را برای بهبود تجربه ورود به سیستم با گذرواژه‌ها ارائه می‌کنند، اما سایت‌ها همیشه از آنها استفاده نمی‌کنند.

Chrome از روش‌های ایمن‌تر با ویژگی‌هایی از طریق Google Password Manager مانند ایجاد رمز عبور در فرم‌های ثبت‌نام یا بررسی‌های نقض گذرواژه برای هشدار دادن به کاربران در مورد اعتبارنامه‌های به خطر افتاده، پشتیبانی می‌کند.

در اینجا چند ابزار برای بهبود تجربه استفاده از رمزهای عبور در سایت شما وجود دارد.

تغییر خودکار رمز عبور: رمزهای عبور به خطر افتاده را با یک کلیک رفع کنید

تغییر خودکار رمز عبور که اواخر امسال برای برخی از وب سایت ها راه اندازی شد، پاسخگویی کاربران را در زمانی که اعتبار آنها در خطر است آسان تر می کند.

هنگامی که Chrome در حین ورود به سیستم، رمز ورود به خطر افتاده را تشخیص می‌دهد، Google Password Manager از کاربر می‌خواهد تا گزینه‌ای برای رفع خودکار آن را ارائه دهد.

در وب‌سایت‌های پشتیبانی‌شده، Chrome می‌تواند یک جایگزین قوی ایجاد کند و رمز عبور را به‌طور خودکار برای کاربر به‌روزرسانی کند.

این اصطکاک را کاهش می دهد و به کاربران کمک می کند تا حساب خود را ایمن نگه دارند، بدون اینکه تنظیمات حساب را دنبال کنند یا فرآیند را کنار بگذارند.

تغییر خودکار رمز عبور در حال استفاده

کارهایی وجود دارد که می توانید برای بهینه سازی وب سایت خود انجام دهید تا با مرورگرها و مدیران رمز عبور کار کند.

  • بهینه‌سازی تکمیل خودکار : از autocomplete="current-password" و autocomplete="new-password" برای فعال کردن تکمیل خودکار و ذخیره‌سازی استفاده کنید. راهنمای ورود و ثبت نام ما را ببینید.
  • تغییر URL های رمز عبور : یک تغییر مسیر از <your-website-domain>/.well-known/change-password به فرم تغییر رمز عبور در وب سایت خود ( URL تغییر رمز عبور معروف ) تغییر مسیر دهید. هنگامی که یک رمز عبور آسیب پذیر شناسایی می شود، مدیران رمز عبور می توانند کاربر را به صفحه تغییر رمز عبور هدایت کنند.

اشتراک‌گذاری بی‌وقفه اعتبار: یک ورود به سیستم در برنامه و وب

مدیران رمز عبور بیشتر از ذخیره رمزهای عبور انجام می دهند. آنها فقط با ارائه اعتبارنامه زمانی که دامنه مطابقت دارد به جلوگیری از فیشینگ کمک می کنند. اما وقتی سرویس شما دامنه ها و پلتفرم های متعددی را در بر می گیرد، کاربران همچنان می توانند با مشکل مواجه شوند.

به عنوان مثال:

  • یک کاربر در برنامه اندروید شما ثبت نام می کند و بعداً از وب سایت شما در لپ تاپ بازدید می کند
  • یا چندین دامنه یا برنامه ارائه می دهید که ورود یکسان را می پذیرند

بدون اعتبار مشترک، رمز عبور ذخیره شده ارائه نمی دهیم، بنابراین کاربران ممکن است برای ورود به سیستم با مشکل مواجه شوند.

اشتراک‌گذاری یکپارچه اعتبار به رفع این مشکل کمک می‌کند . با مرتبط کردن برنامه‌ها و سایت‌های شما، Google Password Manager می‌تواند به‌طور یکپارچه گذرواژه را در میان آن دارایی‌ها به اشتراک بگذارد، و در نتیجه تجربه ورود به سیستم روان‌تر و ساده‌تری را به همراه دارد.

eBay نرخ ورود موفقیت آمیز خود را 10٪ افزایش داد. از یک مطالعه موردی بیشتر بیاموزید: چگونه eBay نرخ موفقیت ورود به سیستم را تا 10% با اشتراک‌گذاری بی‌وقفه اعتبار بهبود داد .

کلیدهای عبور: روش ورود به سیستم ساده تر و ایمن تر

کلیدهای عبور جایگزین قوی تری برای گذرواژه ها هستند که به کاربران کمک می کنند با مکانیسم باز کردن قفل دستگاه خود مانند بیومتریک (مثلاً اثر انگشت یا چهره آنها)، پین یا الگو، با خیال راحت وارد وب سایت ها و برنامه ها شوند. آنها در برابر فیشینگ مقاوم هستند، کاربر پسند هستند و استانداردی هستند که به طور گسترده در مرورگرها و سیستم عامل ها پذیرفته شده است.

کلیدهای عبور را در پلتفرم ها همگام سازی کنید

کاربران کلیدهای عبور را در مدیریت رمز عبور خود ذخیره می کنند، اما برخی از مدیران آنها را همگام نمی کنند. اگر کاربر بخواهد از دستگاهی وارد شود که کلید عبور آن در دسترس نیست، این ممکن است باعث اصطکاک شود. در این صورت، کروم یک کد QR نشان می‌دهد تا کاربر بتواند از دستگاه دیگری که دارای اعتبارنامه است وارد سیستم شود.

برای کاهش این اصطکاک، کروم پشتیبانی همگام‌سازی کلید عبور را در Google Password Manager اضافه کرد.

با پشتیبانی که اکنون به iOS گسترش یافته است ، کلیدهای عبور در Google Password Manager می توانند در همه پلتفرم های اصلی، از جمله Android، Windows، macOS، ChromeOS و Linux همگام شوند. در مقاله محیط های پشتیبانی شده بیشتر بیاموزید.

میانجیگری فوری: فقط اعتبارنامه های موجود را درخواست کنید

برخی از کاربران کلیدهای عبور همگام‌سازی شده را در هر دستگاهی ندارند. اگر کلید عبور به صورت محلی یافت نشد، Chrome ممکن است یک کد QR نشان دهد تا کاربر بتواند از دستگاه دیگری که دارای اعتبارنامه است استفاده کند . این کار می کند، اما می تواند اصطکاک را افزایش دهد.

برای کاهش این اصطکاک، Chrome از گزینه جدیدی پشتیبانی می‌کند: mediation: 'immediate' . این به سایت شما امکان می‌دهد فقط اعتبارنامه‌هایی را درخواست کند که از قبل در دستگاه فعلی موجود هستند. اگر هیچ کدام پیدا نشد، کاربر چیزی را نمی بیند. بدون درخواست، بدون کد QR، بدون وقفه. Chrome به شما اطلاع می دهد تا بتوانید به جای آن رابط کاربری معمول ورود به سیستم خود را نشان دهید.

این کار با اجتناب از جریان‌های کد QR برای کاربران بدون اعتبار، تجربه را بهبود می‌بخشد.

زمانی که کاربر هر اقدام معنی‌داری را انجام می‌دهد، از این رویکرد استفاده کنید، مانند کلیک کردن روی دکمه ورود یا پرداخت. وقتی از navigator.credentials.get() با mediation: 'immediate' ، اگر کلید عبور در دستگاه فعلی موجود باشد، Chrome فوراً از کاربر درخواست می‌کند. در غیر این صورت، کاربر بدون اختلال به کار خود ادامه می دهد و می توانید فیلد رمز عبور، کد یکبار مصرف یا روش دیگری را نشان دهید.

همچنین می توانید شانس خود را برای کمک به ورود کاربر با تنظیم password: true . این به Chrome اجازه می‌دهد در صورت وجود، رمزهای عبور ذخیره‌شده را در کنار کلیدهای عبور بازگرداند.

مثال زیر نحوه درخواست رمز عبور با میانجیگری فوری را نشان می دهد:

navigator.credentials.get({
  publicKey: {
    challenge: new Uint8Array([/* your challenge here */]),
    rpId: 'example.com'
  },
  mediation: 'immediate',
  //< password: true == enable this to request passwords alongside passkeys
}).t>hen(credential = {
  // Use the credential for sign in
>}).catch(error = {
  if (error.name === 'NotAllowedError') {
    // No credential found on this device, fall back to another method
  } else {
    console.error('Error during sign-in', error);
  }
});

این ویژگی در مسیرهای توسعه‌دهنده است و می‌توانید در توضیح میانجی فوری WebAuthn درباره آن اطلاعات بیشتری کسب کنید.

ایجاد رمز عبور خودکار

بسیاری از کاربران هنوز با رمز عبور وارد سیستم می شوند. برای کمک به آن‌ها در پذیرش کلیدهای عبور، Chrome یک API معرفی می‌کند که به شما کمک می‌کند پس از ورود موفقیت‌آمیز رمز عبور، به‌طور خودکار برای کاربران خود یک کلید عبور ایجاد کنید.

تنها کاری که باید انجام دهید این است که درخواست ایجاد رمز عبور را بدهید. اگر کاربر رمز عبور ذخیره شده ای داشته باشد که اخیراً استفاده شده است، مدیر رمز عبور یک رمز عبور ایجاد می کند و به شما اطلاع می دهد که آیا این کار موفقیت آمیز بوده است. کاربر ممکن است پس از در دسترس بودن کلید عبور، اعلان دریافت کند. این رمز عبور کاربر را حذف نمی کند.

اگر رمز عبور ایجاد نشده باشد، مرورگر کاربر را مختل نمی کند و هیچ رابط کاربری را نشان نمی دهد.

این به کاربران این امکان را می‌دهد تا به تدریج و بدون وقفه در جریان ورود به سیستم، کلیدهای عبور را اتخاذ کنند.

این ویژگی در Chrome 136 در دسترس است و می‌توانید در مقاله راهنما به کاربران در اتخاذ کلیدهای عبور بدون نقص بیشتر درباره آن بیاموزید.

کلیدهای عبور را با Signal API پاک کنید

اگر کاربری رمز عبوری را از سایت یا برنامه شما حذف کند، مدیر رمز عبور او همچنان ممکن است آن را در حین ورود به سیستم ارائه دهد و باعث خرابی و سردرگمی او شود. Signal API به برنامه شما این امکان را می دهد که در صورت حذف یک رمز عبور به مدیر رمز عبور اطلاع دهد و لیست اعتبارنامه ها را تمیز و دقیق نگه دارد.

همچنین می توانید با ارسال لیستی از کلیدهای عبور شناخته شده به مدیر رمز عبور، به به روز نگه داشتن کلیدهای عبور کمک کنید. این به آن اجازه می دهد تا کلیدهای عبور استفاده نشده را برای کاربر پاک کند.

Signal API از Chrome 132 دردسترس است . با Signal API در «کلیدهای عبور مطابق با اعتبارنامه» سرور خود را حفظ کنید .

واردات و صادرات: اعتبار خود را با خود بیاورید

کاربرانی که بین مدیران رمز عبور جابجا می شوند اغلب برای انتقال اعتبار خود با مشکل مواجه می شوند. Chrome در حال اضافه کردن پشتیبانی برای واردات و صادرات کلیدهای عبور و رمزهای عبور، بر اساس استانداردهای FIDO است . نیازی به مدیریت فایل توسط کاربر نیست.

پیشرفت های تکمیل خودکار

برای نمایش اطلاعات کاربری ذخیره‌شده به روشی کاربرپسند، Chrome می‌تواند به‌طور خودکار وقتی فرم ورود به سیستم آماده شد، فهرست کشویی تکمیل خودکار را نشان دهد. فقط از رمزهای عبور و کلیدهای عبور در فرم خود پشتیبانی کنید و فوکوس خودکار را در قسمت ورودی اعمال کنید.

این مفید است زیرا اعتبارنامه ها بدون نیاز به کلیک کاربر روی یک فیلد نشان داده می شوند. درعوض، کاربر فقط می تواند روی اعتباری که می خواهد استفاده کند ضربه بزند و اصطکاک را کاهش دهد.

در مقاله تکمیل خودکار فرم با کلید عبور وارد شوید .

منابع آموزشی به روز شده

ما منابع یادگیری رمز عبور خود را بازنگری کرده‌ایم تا مطمئن شویم که می‌توانید بهترین تجربه رمز عبور ممکن را برای کاربران خود ارائه دهید.

FedCM: بهبود هویت فدرال

API مدیریت اعتبار فدرال (FedCM) به کاربران اجازه می دهد با استفاده از یک جریان واسطه مرورگر که حریم خصوصی و تجربه کاربر را در اولویت قرار می دهد، با ارائه دهندگان هویت مورد اعتماد وارد شوند. FedCM به ساده‌سازی تجربه ثبت‌نام و ورود به سیستم در وب کمک می‌کند، بنابراین توسعه‌دهندگان می‌توانند با تلاش کمتر از احراز هویت یکپارچه پشتیبانی کنند.

رابط کاربری هوشمندتر

FedCM اکنون به شما کنترل بیشتری بر نحوه و زمان ظاهر شدن اعلان ورود به سیستم می دهد. از دو حالت پشتیبانی می کند :

  • حالت غیرفعال : مرورگر به طور خودکار درخواست ورود به سیستم را برای ارائه دهندگان هویت شناخته شده هنگامی که کاربران به سایت شما باز می گردند نشان می دهد. این برای کاربران آشنا به خوبی کار می کند، اما اگر خیلی زود نشان داده شود، می تواند احساس نفوذ کند.
  • حالت فعال : اعلان فقط پس از کلیک کاربر روی دکمه ورود ظاهر می شود و تجربه عمدی تری ایجاد می کند.

این مهم است زیرا سردرگمی را کاهش می دهد و از تعجب کاربران جلوگیری می کند. با حالت فعال ، کاربران می توانند در سایت شما بمانند و هرگز تغییر مسیر یا دیالوگ های دیگر را مشاهده نکنند.

اما کروم روی هوشمندتر کردن حالت غیرفعال نیز کار می‌کند. به‌روزرسانی‌های آینده با تکنیک‌های یادگیری ماشینی آزمایش می‌کنند که سیگنال‌های سایت و کاربر را برای تعیین زمان و نحوه نمایش UI برای ارائه یک تجربه کاربری بهینه، در بر می‌گیرد.

API های انعطاف پذیرتر

FedCM به شما انعطاف‌پذیری و کنترل بیشتری بر نحوه ورود کاربران با هویت فدرال می‌دهد.

برای مثال، پشتیبانی از ارائه‌دهنده هویت چندگانه به شما امکان می‌دهد به جای تنها یک فهرست، فهرستی از ارائه‌دهندگان را به کاربران خود نشان دهید. این بدان معناست که کاربران می توانند حسابی را انتخاب کنند که برای آنها کار می کند و نرخ ورود به سیستم را بهبود می بخشد و در عین حال حریم خصوصی کاربر را قوی می کند.

مرورگر همچنان در هر مرحله واسطه می شود. ارائه‌دهندگان هویت فقط آنچه را که کاربران صراحتاً اجازه می‌دهند می‌بینند و حریم خصوصی در طول جریان محافظت می‌شود.

اعتبار دیجیتال: تأیید سریع و خصوصی شناسه آنلاین

اعتبار دیجیتال در سراسر جهان رایج تر می شود. آنها به کاربران اجازه می دهند ویژگی هایی مانند سن، وضعیت دانش آموز یا هویت را از طریق کیف پول دیجیتال تأیید کنند. Digital Credentials API به کاربران امکان می دهد ادعاهای تأیید شده مانند سن یا وضعیت مجوز را از کیف پول تلفن همراه خود مستقیماً با وب سایت ها به اشتراک بگذارند.

ما در حال کار با W3C و رهبران صنعت هستیم تا این یک استاندارد باشد. هدف ما تجربه ای کاربرپسند، امن، خصوصی و ثابت در سراسر پلتفرم ها است.

چند ویژگی جالب:

اعتبار جلسه Device Bound: وارد سیستم بمانید، محافظت بمانید

جلسات کاربر اغلب توسط کوکی‌هایشان شناسایی می‌شوند که بدافزارها می‌توانند آن‌ها را از دستگاه کاربر بدزدند.

Device Bound Session Credentials یک جلسه را به یک دستگاه خاص پیوند می دهد. این امر خطر ربودن جلسه را کاهش می‌دهد و هنگام ورود به حساب‌های ایمیل یا رسانه‌های اجتماعی یا دسترسی به خدمات دولتی، محافظت را بهبود می‌بخشد.

DBSC به توسعه‌دهندگان کمک می‌کند با گره زدن احراز هویت به دستگاه مورد استفاده در هنگام ورود، جلسات امن‌تر و پایدارتری ایجاد کنند.

بازخورد

ما از بازخورد شما در مورد همه چیزهایی که به اشتراک گذاشتیم خوشحال خواهیم شد. ویژگی ها را امتحان کنید، پیوندهای موجود در این سند را بررسی کنید و به ما بگویید که چه فکر می کنید.

بازخورد بدهید