از اینکه با Google I/O تنظیم کردید متشکریم! تماشای محتوا بر اساس تقاضا

این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

کلیدهای عبور امن و بدون درز: چک لیست استقرار

Eiji Kitamura

منتشر شده: ۵ ژوئن ۲۰۲۵

کلیدهای عبور برای ایجاد انقلابی در تجربه ورود به سیستم طراحی شده‌اند و جایگزینی ساده‌تر، سریع‌تر و امن‌تر برای رمزهای عبور ارائه می‌دهند. این چک لیست شما را در جنبه‌های کلیدی پیاده‌سازی کلیدهای عبور برای دستیابی به نتایج بهینه تجربه کاربری (UX) راهنمایی می‌کند.

نحوه استفاده از این چک لیست

این چک لیست برای توسعه‌دهندگان و تیم‌های محصول که کلیدهای عبور را در جریان‌های احراز هویت خود پیاده‌سازی می‌کنند، در نظر گرفته شده است. از آن برای موارد زیر استفاده کنید:

تأیید کنید که پیاده‌سازی شما از بهترین شیوه‌های مدرن تجربه کاربری کلید عبور که در مقالات بعدی توضیح داده شده است، پیروی می‌کند.
عناصر مورد نیاز و اختیاری را که قابلیت استفاده، امنیت و سازگاری را بهبود می‌بخشند، شناسایی کنید.
پیاده‌سازی خود را در طول توسعه و قبل از استقرار بررسی کنید.
با بهترین شیوه‌هایی که از پذیرش کاربر و قابلیت همکاری سیستم پشتیبانی می‌کنند، همسو شوید.

این موارد به شما کمک می‌کنند تا یک تجربه روان و ایمن را برای کاربران نهایی فراهم کنید.

ثبت رمز عبور

برای ایجاد یک گذار روان از رمزهای عبور به کلیدهای عبور در وب‌سایت خود، داشتن یک قابلیت ثبت کلید عبور پیشرفته، کلید اصلی است. دستورالعمل‌های شرح داده شده در «ایجاد کلید عبور برای ورودهای بدون رمز عبور» را دنبال کنید تا یک ویژگی ثبت کلید عبور در وب‌سایت خود ایجاد کنید. در اینجا مواردی وجود دارد که باید علاوه بر ویژگی‌های اساسی ثبت کلید عبور، بررسی کنید:

✅ برای ایجاد کلید عبور ارتقا یافته، "platform" به عنوان مقدار پیوست احراز هویت کننده که باید به navigator.credentials.create() ارسال شود، مشخص کنید.

برای کسانی که به صورت واکنشی کلید عبور ایجاد می‌کنند، جریان ایجاد کلید عبور بهینه و بدون مشکل را فراهم کنید.

✅ قبل از اینکه به کاربر اجازه ایجاد رمز عبور داده شود، با قوی‌ترین روش احراز هویت موجود، اعتبارسنجی شود.

این امر برای جلوگیری از ایجاد رمز عبور توسط مهاجم در حساب کاربری ربوده شده مهم است.

✅ با استفاده از excludeCredentials از ایجاد کلیدهای عبور تکراری برای یک ارائه‌دهنده کلید عبور مشابه جلوگیری کنید.

بسیاری از ارائه‌دهندگان کلید عبور فقط یک کلید عبور برای هر حساب و یک شناسه RP ارائه می‌دهند. از ایجاد کلیدهای تکراری خودداری کنید.

✅ از AAGUID برای شناسایی ارائه‌دهنده‌ی رمز عبور و نام‌گذاری اعتبارنامه‌ی کاربر استفاده کنید .

مرتبط کردن یک کلید عبور با ارائه‌دهنده‌ی کلید عبور آن، روشی شهودی برای ارائه‌ی اعتبارنامه در صورت امکان است.

✅ در صورت عدم موفقیت تلاش برای ثبت رمز عبور، با استفاده از PublicKeyCredential.signalUnknownCredential() سیگنال ارسال کنید.

کلیدهای عبور سرگردان می‌توانند باعث سردرگمی شوند. اگر سرور در ثبت کلید عبور ناموفق بود، به ارائه‌دهنده کلید عبور اطلاع دهید.

✅ پس از ایجاد و ثبت رمز عبور برای حساب کاربری ، برای کاربر اعلان ارسال کنید .

مطمئن شوید که کاربر از ایجاد رمز عبور آگاه است، به خصوص زمانی که این کار توسط شخص دیگری انجام می‌شود.

احراز هویت با رمز عبور

تطبیق دادن کاربران با رمز عبور و کاربران با کلید عبور بدون کمترین مشکل می‌تواند یک چالش باشد. برای ایجاد قابلیت تکمیل خودکار فرم با کلید عبور در وب‌سایت خود، دستورالعمل‌های شرح داده شده در «ورود با کلید عبور از طریق تکمیل خودکار فرم» را دنبال کنید. در اینجا مواردی وجود دارد که باید علاوه بر ویژگی‌های اساسی احراز هویت با کلید عبور، بررسی کنید:

✅ به کاربران اجازه دهید از طریق تکمیل خودکار فرم، با رمز عبور وارد شوند .

اگر وب‌سایت شما در حال گذار از رمزهای عبور به کلیدهای عبور است، بهترین روش برای تطبیق هر دو کاربر، استفاده از ویژگی تکمیل خودکار فرم مرورگر است.

✅ هنگامی که اعتبارنامه منطبق با کلید عبور در backend با PublicKeyCredential.signalUnknownCredential() یافت نشد، سیگنال ارسال کنید.

کلیدهای عبور سرگردان می‌توانند باعث سردرگمی شوند. به ارائه‌دهنده‌ی کلید عبور اطلاع دهید که کدام کلید عبور قابل استفاده نیست تا ارائه‌دهنده بتواند آن را حذف کند.

✅ اگر کاربر پس از ورود به سیستم، رمز عبوری ایجاد نکرده باشد، از او بخواهید که آن را به صورت دستی ایجاد کند.

اگر کاربر هنوز رمز عبور ایجاد نکرده است، او را تشویق کنید که یکی ایجاد کند.

✅ ایجاد خودکار کلید عبور (ایجاد مشروط) پس از ورود کاربر با رمز عبور (و یک عامل دوم).

تسریع در پذیرش رمز عبور کاربر.

✅ اگر کاربر با رمز عبور بین دستگاهی وارد سیستم شده باشد، درخواست ایجاد رمز عبور محلی را می‌دهد.

ایجاد یک رمز عبور محلی به کاربر کمک می‌کند تا دفعه بعد بدون اسکن کد QR وارد سیستم شود.

✅ پس از ورود به سیستم، لیست کلیدهای عبور موجود و اطلاعات کاربری به‌روزرسانی‌شده (نام کاربری، نام نمایشی) را به ارائه‌دهنده خدمات اطلاع دهید

همگام‌سازی فهرست کلید عبور و جزئیات کاربر بین سرور و ارائه‌دهنده کلید عبور، تجربه کاربری را بهبود می‌بخشد.

مدیریت رمزهای عبور

ارائه درک خوبی از کلیدهای عبور برای کاربران به آنها کمک می‌کند تا درک بهتری از چشم‌انداز و کنترل کلیدهای عبور داشته باشند. دستورالعمل‌های شرح داده شده در «به کاربران کمک کنید تا کلیدهای عبور را به طور مؤثر مدیریت کنند» را دنبال کنید تا یک ویژگی مدیریت کلید عبور در وب‌سایت خود ایجاد کنید. در اینجا مواردی وجود دارد که باید بررسی کنید:

✅ به کاربران اجازه دهید کلیدهای عبور را در صفحه مدیریت کلید عبور مدیریت کنند.

یک مکان مرکزی ایجاد کنید که کاربران بتوانند کلیدهای عبور خود را در آن مدیریت کنند.

✅ پشتیبانی از ثبت چندین رمز عبور .

قابلیت ثبت چندین رمز عبور به کاربران کمک می‌کند تا بدون نیاز به استفاده از روش‌های احراز هویت ضعیف‌تر، از قفل شدن حساب خود جلوگیری کنند.

✅ به کاربران اجازه دهید انواع جدید و انعطاف‌پذیری از کلیدهای عبور را در صفحه مدیریت اضافه کنند .

✅ نمایش نام رمز عبور .

کلیدهای عبور را بر اساس AAGUID نامگذاری کنید و تصویری ملموس از کلیدهای عبور کاربر ارائه دهید.

✅ مشخص کنید که آیا رمز عبور قابل همگام‌سازی است یا خیر .

کاربر را از عدم همگام‌سازی رمز عبور مطلع کنید.

✅ به کاربران اجازه دهید کلید عمومی را از سرور حذف کنند .

✅ هنگامی که یک کلید عمومی مرتبط از سرور حذف می‌شود، فهرست کلیدهای عبور را علامت‌گذاری می‌کند.

همگام‌سازی فهرست کلید عبور بین سرور و ارائه‌دهنده کلید عبور، تجربه کاربری را بهبود می‌بخشد.

نمونه‌ای از صفحه مدیریت رمز عبور که شیوه‌های خوب را نشان می‌دهد.

ملاحظات اضافی

✅ اطلاعات به‌روزرسانی‌شده‌ی کاربر (نام کاربری، نام نمایشی) را هنگام به‌روزرسانی توسط کاربر، ارسال کنید .

✅ ایجاد یک کلید عبور به جای رمز عبور جدید، زمانی که کاربر "رمز عبور خود را فراموش کرده است" .

کلیدهای عبور امن و بدون درز: چک لیست استقرار با مجموعه‌ها، منظم بمانید ذخیره و طبقه‌بندی محتوا براساس اولویت‌های شما.