Teste de origem: a API Cross-device Digital Credentials agora está disponível no Chrome para computador

José Luis Zapata

Publicado em 30 de abril de 2025

Uma atualização incrível da API Digital Credentials: suporte a vários dispositivos.

A partir do Chrome 136, os usuários podem apresentar informações verificadas armazenadas na carteira digital do dispositivo Android para o Chrome para computador. Isso é baseado na versão inicial da API Digital Credentials, introduzida como um teste de origem no Chrome 128 para Android. Esse recurso vai estar disponível primeiro nos dispositivos Pixel, e outros fornecedores do Android também estão atualizando os apps de câmera para oferecer suporte a ele.

Contexto

Cada vez mais, as credenciais digitais, como a carteira de habilitação para dispositivos móveis, são armazenadas em carteiras para dispositivos móveis, como a Carteira do Google. É possível apresentar esses dados no computador, mas os métodos atuais não oferecem garantias de privacidade ou segurança. O Chrome melhora isso com suporte à apresentação de credenciais no navegador, melhorando a segurança e a privacidade e facilitando a apresentação de informações de identidade de forma segura e tranquila.

A API Digital Credentials (DC), que permite que os usuários do Chrome no Android apresentem credenciais digitais de um app de carteira no mesmo dispositivo, já está em um teste de origem. Agora estamos estendendo esse teste de origem para oferecer suporte à apresentação de credenciais digitais em vários dispositivos. Com o recurso entre dispositivos, os usuários agora podem ler um código QR exibido no Chrome para computadores para estabelecer uma conexão e apresentar credenciais com segurança no smartphone Android.

Essa inovação garante:

• Conveniência aprimorada para o usuário:os usuários podem apresentar informações verificadas em todos os dispositivos.
• Garantias de segurança reforçadas:apresentação entre dispositivos resistente a phishing usando Bluetooth como uma verificação de proximidade entre o computador e o dispositivo móvel.

Como funciona

O compartilhamento de credenciais verificáveis armazenadas na carteira digital de um smartphone com um site usando o Chrome para computador envolve as seguintes etapas:

1. Iniciação da solicitação de credencial: um site que solicita a verificação de identidade invoca a API DC. O Chrome para computadores mostra um código QR que pede aos usuários para recuperar uma credencial de um dispositivo Android. Esse código QR contém informações criptográficas necessárias para a comunicação segura entre o Chrome para computador e o dispositivo móvel.
2. Ação do usuário: o usuário digitaliza o código QR usando o dispositivo Android.
3. Conexão de dispositivo: o Chrome para computador e o dispositivo Android estabelecem uma conexão segura para verificar a proximidade usando Bluetooth antes de prosseguir com a apresentação de credenciais.
4. Seleção de credencial: o Android mostra as credenciais de carteira qualificadas no dispositivo que correspondem à solicitação.

5. Consentimento e autenticação da carteira:

   • Depois que o usuário seleciona a credencial, a solicitação é encaminhada para o app da carteira que contém essa credencial. O usuário pode ser solicitado pelo app de carteira a fornecer consentimento de compartilhamento e fazer a autenticação localmente (por exemplo, com um PIN ou biometria).
   • O app de carteira processa a solicitação e envia com segurança as informações solicitadas criptografadas de volta ao Chrome para computador.

6. Apresentação de credenciais: as informações solicitadas são apresentadas ao site da parte confiável, que as envia ao servidor para descriptografia e processamento seguros (como verificar a idade ou a identidade do usuário).

Considerações sobre privacidade e segurança

Esse recurso entre dispositivos incorpora práticas de privacidade e segurança usadas no CTAP 2.2:

• Proximidade do computador e do dispositivo móvel:o CTAP 2.2 garante que o smartphone e o computador estejam próximos antes que as credenciais sejam apresentadas, impedindo que invasores usem indevidamente códigos QR remotamente para acessar as informações dos usuários.
• Comunicação segura:a comunicação entre o Chrome para computador e o dispositivo Android é protegida por um servidor de túnel seguro. As carteiras geralmente codificam a resposta para que apenas o servidor da Web solicitante possa lê-la.
• Consentimento do usuário:o usuário precisa agir explicitamente em relação à solicitação de credencial selecionando uma credencial antes que os dados sejam compartilhados.
• Divulgação seletiva:os apps de carteira apresentam apenas os atributos específicos solicitados, como uma faixa etária, sem expor informações desnecessárias. A API DC também oferece suporte a recursos que aumentam a privacidade, como a prova de conhecimento zero na Carteira do Google.

Faça um teste

Para conhecer a API Digital Credentials entre dispositivos:

1. Atualize para o Chrome 136 no computador e o Google Play Services 24.0 ou mais recente no dispositivo Android.
2. Ative a flag em chrome://flags#web-identity-digital-credentials.

3. Siga a demonstração:

   1. Acesse https://digital-credentials.dev no Chrome para computador.
   2. Pressione o botão Solicitar credenciais.
   3. Aponte a câmera do smartphone Android para o QR code.
   4. Apresente uma credencial de demonstração armazenada no app de carteira disponível pela OpenWallet Foundation.

Esse recurso está disponível em dispositivos Pixel, e estamos trabalhando para oferecer suporte a outros dispositivos Android no futuro.

Para começar a testar no seu próprio site, participe do teste de origem da API Digital Credentials.

Recursos

• Anúncio do teste de origem da API Digital Credentials
• GitHub de credenciais digitais do W3C (em inglês)
• Rascunho do editor de credenciais digitais do W3C
• Guia para desenvolvedores da API Digital Credentials

Compartilhar feedback

Já testou? Diga o que funcionou, o que não funcionou e o que você corrigiria.

Enviar feedback