این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

مدرن‌سازی احراز هویت با کلیدهای عبور، اعتبارنامه‌های دیجیتال و موارد دیگر

Eiji Kitamura

Natalia Markoborodova

منتشر شده: ۲۱ مه ۲۰۲۶

در کنفرانس Google I/O 2026، ما در مورد وبی صحبت کردیم که در آن ورود به سیستم کار سختی نیست. این باید یک نقطه ورود امن و ساده باشد که در واقع به کاربران احساس امنیت می‌دهد. این پست خلاصه‌ای از نحوه اصلاح جریان حساب کاربری، کاهش اصطکاک و محافظت از افراد از همان ابتدا را ارائه می‌دهد.

دسترسی سریع

چرا مدرنیزاسیون اهمیت دارد؟
ساده‌سازی ایجاد حساب کاربری
تأیید ویژگی بدون اصطکاک
پیاده‌سازی کلیدهای عبور برای ورود یکپارچه
پذیرش استراتژیک رمز عبور
مدیریت رمز عبور و بازیابی انعطاف‌پذیر

چرا مدرنیزاسیون اهمیت دارد؟

جریان‌های پراسترس (مانند فرم‌های ثبت‌نام به‌هم‌ریخته، آن حلقه‌ی آزاردهنده‌ی «رمز عبور را فراموش کرده‌اید» یا دیواری از دکمه‌های ورود) حال و هوای سایت را از بین می‌برند. آن‌ها «قاتلان تغییر زمینه» هستند که کاربران را فراری می‌دهند. رمزهای عبور قدیمی و رمزهای عبور یکبار مصرف (OTP) نیز افراد را در معرض فیشینگ قرار می‌دهند.

هر ثانیه از اصطکاک، فرصتی برای کاربر است تا از سیستم خارج شود. مدرن‌سازی احراز هویت، از سیستم‌ها و کاربران شما محافظت می‌کند. با هموارسازی هر نقطه تماس در مسیر هویت، به طور طبیعی نرخ تبدیل خود را افزایش می‌دهید. به عنوان مثال، pixiv پس از پیاده‌سازی کلیدهای عبور، به نرخ موفقیت خیره‌کننده ۹۹٪ در ورود به سیستم (۲۹٪ بهبود نسبت به رمزهای عبور) دست یافت . دوری از اعتبارنامه‌های ضعیف، همه چیز را سریع‌تر و ایمن‌تر می‌کند.

ساده‌سازی ایجاد حساب کاربری

اولین تعاملی که کاربر با اپلیکیشن شما دارد، حال و هوای آن را تعیین می‌کند. ساده‌سازی ایجاد حساب کاربری اولین قدم برای بهبود پذیرش و ایمنی است.

ادغام هویت به عنوان روش اصلی ایجاد حساب کاربری

شما می‌توانید با استفاده از identity Federation که به کاربران اجازه می‌دهد در یک ارائه‌دهنده معتبر مانند گوگل ثبت‌نام کنند، از فرم‌های خسته‌کننده ایجاد حساب کاربری صرف‌نظر کنید. این یک تجربه ثبت‌نام قوی و ساده را فراهم می‌کند که کاربران را بدون «کار طاقت‌فرسای» ثبت‌نام معمولی، وارد برنامه شما می‌کند.

فدراسیون به این معنی است که کاربران مجبور نیستند نام یا ایمیل خود را به صورت دستی تایپ کنند. از آنجایی که ارائه دهنده قبلاً آنها را تأیید کرده است، می‌توانید مراحل اضافی را برای تأیید مستقل آنها حذف کنید و افراد بیشتری را از درگاه عبور دهید.

علاوه بر این، اتخاذ یک راهکار هویت فدرال به شما امکان می‌دهد سطح امنیتی یک IdP (ارائه‌دهنده هویت) اختصاصی را به ارث ببرید. از آنجا که IdPها در هویت و امنیت تخصص دارند، تکیه بر زیرساخت آنها خطر ایجاد احراز هویت از ابتدا را از بین می‌برد.

API مدیریت اعتبارنامه فدرال (FedCM) را اتخاذ کنید

اگر به عنوان یک IdP عمل می‌کنید، توصیه می‌کنیم از API FedCM استفاده کنید. این API تعامل را از طریق رابط کاربری مرورگر مدیریت می‌کند، که با جلوگیری از ردیابی، ضمن فراهم کردن امکان ورود با یک ضربه به کاربران، از حریم خصوصی محافظت می‌کند و با نمایش فقط حساب‌های مرتبط، رابط کاربری را خلوت می‌کند .

یک پنجره محاوره‌ای حالت فعال ورود به سیستم FedCM روی دسکتاپ که از کاربر درخواست می‌کند با حساب کاربری خود وارد سیستم شود. این پنجره شامل یک آیکون برند و گزینه‌هایی برای ورود به RP با حساب فعلی ارائه شده توسط IdP، انتخاب یک حساب دیگر یا لغو است. این پنجره در مرکز قرار دارد و از پنجره محاوره‌ای حالت غیرفعال بزرگتر است. — FedCM: پنجره‌ی محاوره‌ای رابط کاربری حالت فعال. درباره حالت‌های رابط کاربری موجود که FedCM ارائه می‌دهد بیشتر بدانید.

الگوی «فدراسیون-سپس-ارتقا»

قابلیت ارتقاء به صورت فدرال، سرعت فدرال‌سازی را با امنیت بلندمدت کلیدهای عبور ترکیب می‌کند. اگر بلافاصله پس از ثبت‌نام فدرال‌سازی‌شده، از کاربر کلید عبور بخواهید ، ورود بعدی او از همان روز اول در برابر فیشینگ مقاوم خواهد بود.

بهینه سازی فرم ها برای تکمیل خودکار

اگر فرم‌های دستی ضروری هستند، از ویژگی‌های توصیفی name و id استفاده کنید و مقادیر autocomplete را تصحیح کنید تا مرورگر بتواند فیلدها را برای کاربر پر کند. این کار بار شناختی و احتمال اشتباهات تایپی را در طول فرآیند ثبت نام کاهش می‌دهد. برای جزئیات بیشتر در مورد بهینه‌سازی فرم ، به بهترین شیوه‌های فرم ثبت نام ما مراجعه کنید.

<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">

<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">

تأیید ویژگی بدون اصطکاک

وادار کردن کاربران به ترک اپلیکیشن برای بررسی کد در ایمیلشان، نرخ تبدیل را کاهش می‌دهد. این تغییر زمینه جایی است که حواس افراد پرت می‌شود و دیگر هرگز برنمی‌گردند.

آشنایی با پروتکل تأیید ایمیل (EVP)

پروتکل تأیید ایمیل (EVP) ، یک ویژگی نوظهور، به برنامه شما اجازه می‌دهد تا مستقیماً از طریق مرورگر، یک آدرس ایمیل تأیید شده دریافت کند.

برای استفاده از این ویژگی، یک فیلد ورودی مخفی با ویژگی autocomplete="email-verification-token" و یک challenge اضافه کنید. مرورگر دامنه ایمیل را از ورودی تجزیه می‌کند و از صادرکننده ایمیل درخواست می‌کند که تأیید کند کاربر کنترل این ایمیل را دارد. پس از تأیید موفقیت‌آمیز، مرورگر یک ایمیل تأیید شده ارائه می‌دهد که backend شما می‌تواند فوراً آن را تأیید کند. برای کاربر، این جریان به طور یکپارچه اتفاق می‌افتد؛ آنها فقط پس از تأیید ایمیل، یک اعلان مشاهده می‌کنند.

EVP نیاز به موانعی که افراد را از ورود به سیستم، ثبت‌نام و تنظیم مجدد رمز عبور فراری می‌دهد (مانند لینک‌های جادویی یا رمزهای یکبار مصرف ایمیل) را از بین می‌برد.

<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">

توجه داشته باشید که پشتیبانی از EVP به ارائه دهندگان خدمات ایمیل بستگی دارد. با ارائه دهنده خاص خود مشورت کنید تا ببینید آیا قصد پشتیبانی از EVP را دارند یا خیر. اگر صاحب یک دامنه سفارشی هستید، می‌توانید آن را به یک ارائه دهنده ایمیل پشتیبان متصل کنید تا از EVP نیز پشتیبانی کند.

از آنجایی که این هنوز در مرحله آزمایشی است، از بازخورد شما در مورد این ویژگی در مخزن گیت‌هاب قدردانی می‌کنیم.

مثالی از جریان پروتکل تأیید ایمیل (EVP).

API اعتبارنامه‌های دیجیتال

برای جزئیات حساس مانند نام قانونی یا سن، API اعتبارنامه‌های دیجیتال راهی برای درخواست داده‌های تأیید شده از کیف پول کاربر از طریق واسطه‌گری مرورگر با استفاده از افشای انتخابی فراهم می‌کند. این بدان معناست که می‌توانید بدون دریافت تاریخ تولد کامل یا نام قانونی کاربر، تأیید کنید که او بالای سن خاصی است و حریم خصوصی او را حفظ کنید.

به API مربوط به اعتبارنامه‌های دیجیتال: هویت امن و خصوصی در وب مراجعه کنید.

پیاده‌سازی کلیدهای عبور برای ورود یکپارچه

کلیدهای عبور چیزی بیش از جایگزینی برای رمزهای عبور هستند. آنها یک تغییر اساسی به سمت احراز هویت یکپارچه و مقاوم در برابر فیشینگ هستند.

حالت رابط کاربری فوری

از کروم ۱۴۹، حالت رابط کاربری فوری (Immediate UI Mode) در دسترس است. این حالت به وب‌سایت اجازه می‌دهد تا به محض ورود کاربر به سایت، اعتبارنامه‌ها را بررسی کند. اگر رمز عبور یا کلید عبور در مدیریت رمز عبور موجود باشد، مرورگر بلافاصله لیستی از حساب‌های کاربری موجود را در یک پنجره ورود به سیستم نمایش می‌دهد.

این امر نیاز کاربر به انتخاب روش ورود به سیستم را از بین می‌برد. با ارائه‌ی فعال اعتبارنامه برای حساب انتخاب شده، شما یک تجربه‌ی «یک‌بار لمس» بدون دردسر ایجاد می‌کنید که برای کاربر مانند جادو به نظر می‌رسد.

const credential = await navigator.credentials.get({
  password: true,
  uiMode: 'immediate',
  publicKey: publicKeyObject,
});

ببینید، حالت رابط کاربری فوری برای ورود به سیستم .

تکمیل خودکار فرم با رمز عبور: هنگام انتقال به رمزهای عبور، از تکمیل خودکار فرم استفاده کنید

برای کاربران وب‌سایتی که در حال گذار از رمز عبور به کلیدهای عبور هستند، قابلیت تکمیل خودکار فرم با کلید عبور به آنها اجازه می‌دهد تا هنگام فوکوس روی فیلد ورودی، کلیدهای عبور در پیشنهادات تکمیل خودکار ظاهر شوند. این بدان معناست که اگر کاربری از قبل کلید عبور داشته باشد، به محض اینکه فیلد نام کاربری را در فرم ورود به سیستم فوکوس کند، می‌تواند از آن استفاده کند. اگر این کار را نکند، همچنان می‌تواند از رمز عبور ذخیره شده استفاده کند.

مثالی از انتخاب رمز عبور از طریق تکمیل خودکار فرم.

برای فعال کردن این قابلیت، فیلد نام کاربری خود را با autocomplete="username webauthn" حاشیه‌نویسی کنید و هنگام فراخوانی navigator.credentials.get() مقدار mediation را روی 'conditional' تنظیم کنید.

این یک پل حیاتی در طول گذار به آینده‌ای بدون رمز عبور است، زیرا کاربران را با کلیدهای عبور در یک رابط کاربری آشنا آشنا می‌کند.

به چک لیست احراز هویت Passkeys مراجعه کنید.

پذیرش استراتژیک رمز عبور

پذیرش اغلب به زمان بستگی دارد. آگاه کردن کاربر در لحظه مناسب می‌تواند احتمال ثبت رمز عبور توسط او را به میزان قابل توجهی افزایش دهد.

ایجاد خودکار رمز عبور

هیچ‌کس نمی‌خواهد فقط برای تنظیم یک روش ورود جدید، تنظیمات امنیتی خود را زیر و رو کند. برای کاربران فعلی که از رمز عبور استفاده می‌کنند، چگونه و چه زمانی باید از آنها بخواهید که به رمز عبور ارتقا دهند؟

اینجاست که ایجاد خودکار رمز عبور وارد عمل می‌شود. با استفاده از قابلیت ایجاد شرطی (Conditional Create)، مرورگر می‌تواند به طور خودکار و دقیقاً در همان لحظه‌ای که کاربر با برنامه مدیریت رمز عبور خود وارد سیستم می‌شود، رمز عبور کاربران را به رمز عبور ارتقا دهد.

جریان درخواست کلید عبور با ایجاد شرطی.

با ارسال mediation: 'conditional' به رابط برنامه‌نویسی کاربردی navigator.credentials.create() که با ورود موفقیت‌آمیز اخیر کاربر با استفاده از رمز عبور ذخیره شده در مدیریت رمز عبور فعال می‌شود، مرورگر بدون اینکه کاربر را مجبور به عبور از صفحات تنظیمات اضافی کند، یک رمز عبور جدید به صورت بومی تولید می‌کند.

ثبت‌نام بدون اصطکاک به این معنی است که کاربران مجبور نیستند برای بهبود امنیت خود تصمیم آگاهانه‌ای بگیرند. این اتفاق به طور خودکار رخ می‌دهد و بدون نیاز به هیچ تلاش اضافی از آنها محافظت می‌کند. به عنوان مثال، آدیداس با استفاده از این استراتژی بدون نیاز به هیچ گونه اقدام فوری، شاهد افزایش ۸ درصدی در ایجاد کلیدهای عبور بود .

await navigator.credentials.create({
  mediation: 'conditional',
  publicKey: { ... },
});

چک لیست ثبت نام Passkeys را ببینید

مدیریت رمز عبور و بازیابی انعطاف‌پذیر

برای کاربران مهم است که اطلاعات کاربری خود را به راحتی در دستگاه‌ها، وب‌سایت‌ها و سرویس‌ها در دسترس داشته باشند، همچنین مدیریت آنها و اطمینان از اینکه در صورت گم شدن یا سرقت دستگاه، می‌توانند حساب‌های خود را بازیابی کنند.

سازگاری بین پلتفرمی

اگر چندین ویژگی (مثلاً یک برنامه اندروید و یک وب‌سایت یا چندین وب‌سایت) دارید که یک سیستم ورود به سیستم را به اشتراک می‌گذارند، می‌توانید تجربه کاربران خود را بهبود بخشید. با اشتراک‌گذاری یکپارچه اعتبارنامه ، مدیران رمز عبور می‌توانند اعتبارنامه مناسب را در تمام ویژگی‌های شما به کاربر پیشنهاد دهند.

اشتراک‌گذاری یکپارچه‌ی اعتبارنامه‌ها شامل دو فناوری است: پیوندهای دارایی‌های دیجیتال برای رمزهای عبور و درخواست‌های مبدا مرتبط برای کلیدهای عبور.

استفاده از Digital Asset Links تضمین می‌کند که رمزهای عبور ایجاد شده در وب در برنامه اندروید شما نیز موجود باشند و برعکس. همچنین به مدیران رمز عبور اجازه می‌دهد تا یک اعتبارنامه ذخیره شده از قبل را در دامنه‌های مختلفی که متعلق به شما هستند و دارای یک backend احراز هویت مشترک هستند، پیشنهاد دهند.

از درخواست‌های مبدا مرتبط برای در دسترس قرار دادن کلیدهای عبور در دامنه‌ها و برنامه‌های مختلف از طریق مدیر اعتبارنامه‌های کاربر خود استفاده کنید.

این تنها یک راه دیگر است که می‌توانید تجربه ورود به سیستم را برای کاربران خود روان‌تر کنید.

توانمندسازی کاربران با صفحه مدیریت رمز عبور

نمونه‌ای از صفحه مدیریت رمز عبور که شیوه‌های خوب را نشان می‌دهد.

برای تجربه پیشرفته کلیدهای عبور، پیشنهاد می‌کنیم یک صفحه مدیریت کلیدهای عبور اختصاصی با پشتیبانی از نام‌های ارائه‌دهنده، زمان‌های استفاده و کنترل‌های واضح ایجاد کنید. این به کاربران کمک می‌کند تا تنظیمات خود را با اطمینان مدیریت کنند. شفافیت باعث ایجاد اعتماد می‌شود.

به چک لیست مدیریت کلیدهای عبور مراجعه کنید.

بازیابی حساب کاربری انعطاف‌پذیر

دستگاه‌ها ممکن است گم شوند یا ارتقا یابند. کلیدهای عبور ذاتاً مقاوم هستند زیرا از محافظت در سطح سخت‌افزاری استفاده می‌کنند و معمولاً در فضای ابری همگام‌سازی می‌شوند و به کاربران امکان می‌دهند آنها را در دستگاه جدید بازیابی کنند. با این حال، داشتن یک جایگزین مانند یک آدرس ایمیل تأیید شده تضمین می‌کند که کاربران شما هرگز دسترسی به زندگی دیجیتال خود را از دست نمی‌دهند.

به جای اینکه کسی را برای تماس با پشتیبانی منتظر بگذارید، می‌توانید با استفاده از سیگنال‌هایی که از قبل به آنها اعتماد دارید، مانند احراز هویت یا تأیید ایمیل، ثابت کنید که آنها مالک هستند.

ترکیب این سیگنال‌ها در یک استراتژی بازیابی به شما امکان می‌دهد دسترسی را درجا بازیابی کنید. به محض بازگشت آنها، فوراً یک رمز عبور جدید ثبت کنید تا دوباره از فیشینگ محافظت شوند.

محافظت از جلسات با DBSC

برای محافظت از کاربران در برابر سرقت حساب کاربری، ایمن نگه داشتن کوکی‌های جلسه آنها یک لایه مهم دفاعی دیگر است. اعتبارنامه‌های جلسه متصل به دستگاه (DBSC) راهی برای اتصال یک جلسه به سخت‌افزار است. این امر سرقت جلسه را کاهش می‌دهد زیرا حتی اگر یک کوکی به سرقت برود، فقط همان دستگاه می‌تواند درخواست صدور مجدد کوکی را بدهد و عملاً یک لایه امنیتی دیگر به جلسه شما اضافه می‌کند.

DBSC یک ویژگی آزمایشی است که اکنون در ویندوز موجود است. می‌توانید اطلاعات بیشتر در مورد این به‌روزرسانی را در اطلاعیه Device Bound Session Credentials در ویندوز کسب کنید. ما همچنین در حال کار بر روی گسترش پشتیبانی DBSC به macOS هستیم.

مهارت‌های عامل رمزهای عبور

ما مهارت‌های مربوط به رمز عبور را که جنبه‌های زیادی از توضیحات این پست را پوشش می‌دهند، در پروژه راهنمای وب مدرن خود گنجانده‌ایم. به زودی یک پست وبلاگی به‌طور خاص در مورد مهارت‌های مربوط به رمز عبور منتشر خواهیم کرد.

آماده‌اید تا آینده‌ی احراز هویت را بسازید؟

راهنماهای جامع ما را بررسی کنید و همین امروز مدرن‌سازی را شروع کنید: