از آنجایی که کلیدهای عبور مبتنی بر استانداردهای FIDO هستند، روی اندروید و کروم، همراه با بسیاری از اکوسیستم ها و مرورگرهای محبوب دیگر مانند Microsoft Windows، Microsoft Edge، macOS، iOS و Safari کار می کنند.
برای بررسی وضعیت پشتیبانی در Chrome و Android به محیط های پشتیبانی شده مراجعه کنید.
این به پیاده سازی مدیر رمز عبور بستگی دارد که آیا یک ارائه دهنده اعتبار اجازه ایجاد رمز عبور و احراز هویت بدون چالش عامل دانش کاربر را می دهد یا خیر. ارائهدهندگان میتوانند از کاربران بخواهند قبل از ایجاد یک رمز عبور، یک پین یا قفل صفحه بیومتریک تنظیم کنند.
به عنوان مثال، یک کلید عبور ثبت شده در Android، می تواند برای ورود به سیستم عامل های دیگر با اتصال تلفن Android به دستگاه دیگری استفاده شود. برای برقراری ارتباط بین دو دستگاه، کاربران باید سایتی را که میخواهند به آن وارد شوند در دستگاهی که رمز عبور ثبتشده ندارد باز کنند، یک کد QR را اسکن کنند و سپس ورود به سیستم را در دستگاهی که داشتند تأیید کنند. کلید عبور را در (در این مورد، دستگاه Android) ایجاد کرد. کلید عبور هرگز از دستگاه Android خارج نمیشود، بنابراین معمولاً برنامهها پیشنهاد میکنند یک کلید عبور جدید در دستگاه دیگر ایجاد کنید تا ورود به سیستم در دفعه بعد تسهیل شود. این جریان برای پلتفرم های دیگر نیز به روشی مشابه کار خواهد کرد.
کلیدهای عبور در ارائه دهنده اعتبار تعریف شده توسط پلت فرم ذخیره می شوند. برخی از پلتفرمها، مانند Android، به کاربران اجازه میدهند تا ارائهدهنده مورد نظر خود (یک سیستم یا مدیر رمز عبور شخص ثالث) را با شروع Android 14 انتخاب کنند، که ممکن است بتواند کلیدهای عبور را در پلتفرمهای مختلف همگامسازی کند. پشتیبانی از انتقال کلیدهای عبور مستقیم از یک ارائه دهنده پلت فرم به دیگری در حال حاضر در دسترس نیست.
کلیدهای عبور فقط در اکوسیستم دستگاه (یعنی اندروید به اندروید با Google Password Manager به طور پیشفرض) همگامسازی میشوند، اما نه در سراسر اکوسیستم.
اندروید در حال باز کردن این پلتفرم است (از اندروید 14 شروع می شود) تا به کاربران اجازه دهد از کدام ارائه دهنده اعتباری که می خواهند استفاده کنند (مانند مدیر رمز عبور شخص ثالث) را انتخاب کنند. این امکان استفاده از مواردی مانند همگام سازی کلیدهای عبور بین اکوسیستم های مختلف را فراهم می کند (بسته به باز بودن سایر پلت فرم ها).
به توسعهدهندگان توصیه میشود فعلاً گزینههای ورود به سیستم موجود را در برنامه خود نگه دارند تا همچنان برای دستگاهها و سطوحی که از کلیدهای عبور پشتیبانی نمیکنند در دسترس باشند.
خیر. این بستگی به ارائه دهنده ای دارد که کلیدهای عبور و RP (طرف متکی) را ذخیره می کند، اما هیچ روش معمولی برای منقضی شدن کلیدهای عبور وجود ندارد.
طرفهای متکی (برنامههای شخص ثالث) میتوانند « AllowCredentials » را با فهرستی از شناسههای اعتبار ارسال شده از برنامه پشتیبان خود پر کنند که نشان میدهد کدام کلیدهای عبور باید برای احراز هویت کاربر استفاده شوند.
برای کلیدهای عبور ایجاد شده در Chrome در Android:
بله، کلیدهای عبور ایجاد شده در کروم در Google Password Manager ذخیره میشوند و در Android و بالعکس زمانی که کاربران به همان حساب Google وارد میشوند در دسترس هستند.
برای کلیدهای عبور ایجاد شده در Chrome در سایر سیستم عامل ها:
اگر کلید عبور در Chrome در سایر سیستم عامل ها (Mac، iOS، Windows) ایجاد شده باشد، خیر. برای اطلاعات بیشتر ، محیط های پشتیبانی شده را بررسی کنید. در همین حال، کاربران می توانند از تلفنی که رمز عبور را روی آن ایجاد کرده اند برای ورود به سیستم استفاده کنند .
بله، در Chrome و Android، اعتبارنامههای متصل به دستگاه که قبل از فعال کردن همگامسازی ایجاد شدهاند، موجود هستند و همچنان میتوانند برای احراز هویت استفاده شوند.
کلیدهای عبور ایجاد شده در Android پشتیبانگیری میشوند و با دستگاههای Android که به همان حساب Google وارد شدهاند، همگامسازی میشوند، به همان شیوهای که گذرواژهها در مدیریت رمز عبور پشتیبانگیری میشوند.
این بدان معناست که کلیدهای عبور کاربر هنگام تعویض دستگاه خود با آنها همراه می شود. برای ورود به برنامه ها در یک تلفن جدید، تنها کاری که کاربر باید انجام دهد این است که خود را با قفل صفحه دستگاه موجود خود تأیید کند.
یک روش قفل صفحه کافی است.
این بستگی به پلت فرم دستگاه و نحوه اجرای تأیید کاربر دارد. در مورد Google Password Manager ، کلیدهای عبور به هیچ روش احراز هویت خاصی مرتبط نیستند و میتوانند با هر عامل قفل صفحه موجود (بیومتریک، پین یا الگو) استفاده شوند.
در حال حاضر، اعتبارنامههای غیرقابل کشف ایجاد شده در Chrome در Android، یا در یک برنامه Android با استفاده از API Services Play، رفتار موجود خود را حفظ میکنند و بنابراین همچنان به دستگاه متصل میشوند.
هنگام استفاده از کلیدهای عبور، پسوند کلید عمومی دستگاه که در حال توسعه است، یک کلید دوم متصل به دستگاه است که همگامسازی نمیشود و میتوان از آن برای تجزیه و تحلیل ریسک استفاده کرد. با این حال، این هنوز توسط هیچ ارائه دهنده اعتبار پشتیبانی نمی شود.
در اندروید:
اگر کلیدهای عبور در Google Password Manager ذخیره شده باشند، تنها کاری که کاربر باید انجام دهد این است که با همان حساب Google وارد دستگاه جدید شود و خود را با قفل صفحه دستگاه قبلی خود (پین، الگو یا رمز عبور) تأیید کند. دستگاه قبلی برای ورود کاربر به دستگاه های دیگر لازم نیست.
اگر کلیدهای عبور در یک ارائهدهنده اطلاعات کاربری دیگر ذخیره شده باشند، به جریانهای ورود به سیستم در دستگاههای جدید آن ارائهدهنده اعتبار بستگی دارد. اکثر ارائه دهندگان اعتبار، اعتبارنامه ها را با ابر همگام می کنند و راه هایی را به کاربران ارائه می دهند تا پس از احراز هویت، به آنها در دستگاه های جدید دسترسی داشته باشند.
بله، دادههای بیومتریک کاربر هرگز از دستگاه خارج نمیشوند و هرگز در سرور مرکزی ذخیره نمیشوند تا در صورت رخنه به سرقت بروند.
آره. کاربران می توانند به منظور ورود به سیستم ، یک "پیوند یکباره" بین تلفن خود و دستگاه شخص دیگری ایجاد کنند .
بله، رمز عبور رمز عبور سرتاسر رمزگذاری شده است. یک حساب کاربری در معرض خطر گوگل کلیدهای عبور را فاش نمی کند، زیرا کاربران همچنین باید قفل صفحه دستگاه اندروید خود را برای رمزگشایی رمز عبور باز کنند.
فدراسیون هویت برای ثبت نام در یک سرویس عالی است، زیرا اطلاعات اولیه نمایه کاربر مانند نام و آدرس ایمیل تأیید شده را برمیگرداند که به راهاندازی حسابهای جدید کمک میکند. کلیدهای عبور برای ساده سازی احراز هویت مجدد کاربران عالی هستند.