Data publikacji: 21 maja 2026 r.
Na konferencji Google I/O 2026 mówiliśmy o internecie, w którym logowanie nie jest uciążliwe. Powinien to być bezpieczny, uproszczony punkt wejścia, który zapewnia użytkownikom poczucie bezpieczeństwa. W tym poście podsumowujemy, jak możesz naprawić przepływy na koncie, zmniejszyć trudności i od początku chronić użytkowników.
Szybki dostęp
- Dlaczego modernizacja jest ważna
- Usprawnianie tworzenia kont
- Weryfikacja atrybutów bezproblemowa
- Wdrażanie kluczy dostępu w celu łatwego logowania
- Strategiczne wdrażanie kluczy dostępu
- Zarządzanie kluczami dostępu i odporne odzyskiwanie
Dlaczego modernizacja jest ważna
Procesy wymagające dużego wysiłku (np. niechlujne formularze rejestracji, irytująca pętla „zapomniałem hasła” lub ściana przycisków logowania) psują nastrój. Są to „zabójcy zmiany kontekstu”, którzy zniechęcają użytkowników. Tradycyjne hasła i hasła jednorazowe (OTP) również narażają użytkowników na phishing.
Każda sekunda opóźnienia to potencjalna utrata użytkownika. Modernizacja uwierzytelniania chroni systemy i użytkowników. Upraszczając każdy punkt styczności na ścieżce klienta, naturalnie zwiększasz współczynniki konwersji. Na przykład po wdrożeniu kluczy dostępu pixiv osiągnął zdumiewający 99-procentowy wskaźnik logowania (o 29% wyższy niż w przypadku haseł). Rezygnacja ze słabych danych logowania przyspiesza i zwiększa bezpieczeństwo.
Usprawnione tworzenie kont
Pierwsza interakcja użytkownika z aplikacją określa jego nastawienie. Uproszczenie procesu tworzenia konta to pierwszy krok do zwiększenia popularności i bezpieczeństwa.
Federacja tożsamości jako podstawowa metoda tworzenia kont
Możesz pozwolić użytkownikom pominąć żmudne formularze tworzenia konta, korzystając z federacji tożsamości, która umożliwia rejestrację u zaufanego dostawcy, takiego jak Google. Zapewnia to solidny i uproszczony proces rejestracji, który umożliwia użytkownikom korzystanie z aplikacji bez konieczności przechodzenia przez typową procedurę rejestracji.
Federacja oznacza, że użytkownicy nie muszą ręcznie wpisywać swojego imienia i nazwiska ani adresu e-mail. Dostawca już je zweryfikował, więc możesz pominąć zbędne kroki, aby zweryfikować je niezależnie i przyciągnąć więcej osób.
Dodatkowo wdrożenie rozwiązania do obsługi tożsamości sfederowanych pozwala przejąć poziom bezpieczeństwa dedykowanego dostawcy tożsamości. Dostawcy tożsamości specjalizują się w kwestiach związanych z tożsamością i bezpieczeństwem, więc korzystanie z ich infrastruktury eliminuje ryzyko związane z budowaniem uwierzytelniania od podstaw.
Wdrożenie interfejsu Federated Credential Management (FedCM) API
Jeśli pełnisz rolę dostawcy tożsamości, zalecamy wdrożenie interfejsu FedCM API. Obsługuje interakcję za pomocą interfejsu przeglądarki, który chroni prywatność, zapobiegając śledzeniu, a jednocześnie umożliwia użytkownikom logowanie się jednym kliknięciem i upraszcza interfejs, wyświetlając tylko odpowiednie konta.
Wzorzec „Federate-then-upgrade”
Federate-then-upgrade łączy szybkość federacji z długoterminowym bezpieczeństwem kluczy dostępu. Jeśli od razu po rejestracji za pomocą logowania federacyjnego poprosisz o klucz dostępu, kolejne logowanie użytkownika będzie odporne na phishing od pierwszego dnia.
Optymalizacja formularzy pod kątem autouzupełniania
Jeśli formularze ręczne są konieczne, użyj opisowych atrybutów name i id oraz prawidłowych wartości autocomplete, aby umożliwić przeglądarce wypełnienie pól za użytkownika. Zmniejsza to obciążenie poznawcze i ryzyko wystąpienia błędów podczas rejestracji. Więcej informacji o optymalizacji formularza znajdziesz w sprawdzonych metodach dotyczących formularza rejestracji.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
Bezproblemowa weryfikacja atrybutów
Zmuszanie użytkowników do opuszczania aplikacji w celu sprawdzenia kodu w e-mailu obniża współczynniki konwersji. W tym momencie użytkownicy się rozpraszają i nie wracają.
Poznaj protokół weryfikacji adresu e-mail (EVP)
Protokół weryfikacji adresu e-mail (EVP) to nowa funkcja, która umożliwia aplikacji uzyskanie zweryfikowanego adresu e-mail bezpośrednio w przeglądarce.
Aby wyrazić zgodę na korzystanie z tej funkcji, dołącz ukryte pole do wprowadzania danych z atrybutem autocomplete="email-verification-token" i wartością challenge. Przeglądarka analizuje domenę adresu e-mail z danych wejściowych i wysyła do wystawcy e-maila żądanie potwierdzenia, że użytkownik ma kontrolę nad tym adresem. Po pomyślnej weryfikacji przeglądarka wyświetli zweryfikowane roszczenie dotyczące adresu e-mail, które Twój backend może natychmiast zweryfikować. Dla użytkownika ten proces jest płynny. Widzi on tylko powiadomienie po zweryfikowaniu adresu e-mail.
EVP eliminuje konieczność stosowania rozwiązań, które zniechęcają użytkowników (np. magiczne linki czy jednorazowe kody w e-mailach) podczas logowania, rejestracji i resetowania hasła.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
Pamiętaj, że to od poszczególnych dostawców usług poczty e-mail zależy, czy będą obsługiwać EVP. Skontaktuj się z konkretnym dostawcą, aby dowiedzieć się, czy planuje on obsługę EVP. Jeśli masz domenę niestandardową, możesz połączyć ją z obsługiwanym dostawcą poczty e-mail, aby obsługiwać też weryfikację rozszerzoną.
Ta funkcja jest w fazie eksperymentalnej, dlatego będziemy wdzięczni za Twoją opinię na jej temat w repozytorium GitHub.
Digital Credentials API
W przypadku informacji poufnych, takich jak imię i nazwisko czy wiek, interfejs Digital Credentials API umożliwia wysyłanie żądań dotyczących zweryfikowanych danych z portfela użytkownika za pomocą przeglądarki z użyciem selektywnego ujawniania informacji. Oznacza to, że możesz potwierdzić, że użytkownik ma więcej niż określony wiek, bez otrzymywania jego pełnej daty urodzenia ani imienia i nazwiska, co pozwala zachować jego prywatność.
Więcej informacji znajdziesz w artykule Digital Credentials API: bezpieczna i prywatna tożsamość w internecie.
Wdrażanie kluczy dostępu do łatwego logowania
Klucze dostępu to coś więcej niż tylko zamiennik haseł. Stanowią one fundamentalną zmianę w kierunku bezproblemowego uwierzytelniania odpornego na phishing.
Tryb interfejsu natychmiastowego
Od Chrome 149 dostępny jest tryb natychmiastowego interfejsu. Umożliwia to witrynie sprawdzenie danych logowania w momencie, gdy użytkownik przechodzi do Twojej witryny. Jeśli w menedżerze haseł dostępny jest klucz dostępu lub hasło, przeglądarka od razu wyświetli listę dostępnych kont w oknie logowania.
Eliminuje to konieczność wybierania przez użytkownika metody logowania. Proaktywnie oferując dane logowania do wybranego konta, zapewniasz użytkownikowi bezproblemową obsługę „jedno dotknięcie”, która wydaje się magiczna.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
Zobacz Tryb natychmiastowego interfejsu logowania.
Autouzupełnianie formularzy za pomocą klucza dostępu: używaj autouzupełniania formularzy podczas przechodzenia na klucze dostępu
W przypadku użytkowników witryny, która przechodzi z haseł na klucze dostępu, autouzupełnianie formularza klucza dostępu umożliwia wyświetlanie kluczy dostępu w sugestiach autouzupełniania po kliknięciu pola do wprowadzania danych. Oznacza to, że jeśli użytkownik ma już klucz dostępu, w momencie, gdy w formularzu logowania zaznaczy pole nazwy użytkownika. Jeśli nie, nadal mogą używać zapisanego hasła.
Aby to zrobić, dodaj do pola nazwy użytkownika adnotację autocomplete="username webauthn" i ustaw wartość mediation na 'conditional' podczas wywoływania navigator.credentials.get().
Jest to kluczowe rozwiązanie pomostowe w okresie przejściowym, ponieważ umożliwia użytkownikom zapoznanie się z kluczami dostępu w znanym interfejsie.
Zapoznaj się z listą kontrolną uwierzytelniania za pomocą kluczy dostępu.
Strategiczne wdrażanie kluczy dostępu
Wdrożenie często zależy od czasu. Wyświetlenie prośby w odpowiednim momencie może znacznie zwiększyć prawdopodobieństwo zarejestrowania klucza dostępu przez użytkownika.
Automatyczne tworzenie kluczy dostępu
Nikt nie chce przeglądać ustawień zabezpieczeń tylko po to, aby skonfigurować nową metodę logowania. Jak i kiedy należy zachęcać użytkowników, którzy używają haseł, do przejścia na klucze dostępu?
W takiej sytuacji przydaje się automatyczne tworzenie kluczy dostępu. Dzięki funkcji Conditional Create przeglądarka może automatycznie przekształcać hasła użytkowników w klucze dostępu w momencie, gdy użytkownik loguje się za pomocą menedżera haseł.
Przekazując wartość mediation: 'conditional' do interfejsu navigator.credentials.create()API, wywoływanego przez ostatnie udane logowanie użytkownika za pomocą hasła zapisanego w menedżerze haseł, przeglądarka generuje nowy klucz dostępu natywnie, bez konieczności przechodzenia przez dodatkowe ekrany konfiguracji.
Rejestracja bezproblemowa oznacza, że użytkownicy nie muszą podejmować świadomej decyzji o zwiększeniu bezpieczeństwa. Dzieje się to automatycznie, dzięki czemu użytkownicy są chronieni bez konieczności podejmowania dodatkowych działań. Na przykład firma adidas odnotowała wzrost liczby utworzonych kluczy dostępu o 8% dzięki zastosowaniu tej strategii bez konieczności podawania promptu.
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
Zapoznaj się z listą kontrolną rejestracji kluczy dostępu
Zarządzanie kluczami dostępu i odporne odzyskiwanie
Użytkownicy powinni mieć łatwy dostęp do swoich danych logowania na różnych urządzeniach, w witrynach i usługach. Możesz też nimi zarządzać i zapewnić użytkownikom możliwość odzyskania kont w przypadku zgubienia lub kradzieży urządzenia.
Spójność na wielu platformach
Jeśli masz kilka usług (np. aplikację na Androida i witrynę lub kilka witryn) korzystających z tego samego systemu logowania, możesz zwiększyć wygodę użytkowników. Dzięki łatwemu udostępnianiu danych logowania menedżery haseł mogą sugerować użytkownikowi odpowiednie dane logowania we wszystkich Twoich usługach.
Bezproblemowe udostępnianie danych logowania obejmuje 2 technologie: Digital Asset Links w przypadku haseł i Related Origin Requests w przypadku kluczy dostępu.
Korzystanie z Digital Asset Links zapewnia, że hasła utworzone w internecie są dostępne w aplikacji na Androida i na odwrót. Umożliwia to również menedżerom haseł sugerowanie zapisanych już danych logowania w różnych domenach, których jesteś właścicielem i które korzystają z tego samego backendu uwierzytelniania.
Użyj powiązanych żądań pochodzenia, aby udostępnić klucze dostępu w różnych domenach i aplikacjach za pomocą menedżera danych logowania użytkownika.
To kolejny sposób na ułatwienie użytkownikom logowania.
Udostępnianie użytkownikom strony zarządzania kluczami dostępu
Aby zapewnić zaawansowane działanie kluczy dostępu, zalecamy utworzenie specjalnej strony do zarządzania kluczami dostępu, która będzie obsługiwać wyraźne nazwy dostawców, czasy użycia i elementy sterujące. Dzięki temu użytkownicy mogą z pewnością zarządzać swoimi ustawieniami. Przejrzystość buduje zaufanie.
Zapoznaj się z listą kontrolną zarządzania kluczami dostępu.
Niezawodne odzyskiwanie konta
Urządzenia mogą zostać zgubione lub wymienione na nowsze. Klucze dostępu są z natury odporne, ponieważ korzystają z ochrony na poziomie sprzętowym i są zwykle synchronizowane w chmurze, co umożliwia użytkownikom przywracanie ich na nowym urządzeniu. Jednak posiadanie adresu e-mail do odzyskiwania dostępu zapewnia użytkownikom stały dostęp do ich cyfrowego życia.
Zamiast kazać komuś czekać na połączenie z zespołem pomocy, możesz potwierdzić, że jest on właścicielem, za pomocą sygnałów, którym już ufasz, takich jak federacja tożsamości czy potwierdzanie adresu e-mail.
Połączenie tych sygnałów w strategię odzyskiwania dostępu umożliwia natychmiastowe przywrócenie dostępu. Gdy wrócą, od razu zarejestruj nowy klucz dostępu, aby ponownie chronić je przed phishingiem.
Ochrona sesji za pomocą DBSC
Aby chronić użytkowników przed przejęciem kont, ważne jest też zabezpieczenie plików cookie sesji. Dane uwierzytelniające sesji powiązane z urządzeniem (DBSC) to sposób na powiązanie sesji ze sprzętem. Ogranicza to ryzyko przejęcia sesji, ponieważ nawet jeśli plik cookie zostanie skradziony, tylko to samo urządzenie może poprosić o jego ponowne wydanie, co skutecznie dodaje kolejną warstwę zabezpieczeń sesji.
DBSC to funkcja eksperymentalna, która jest obecnie dostępna w systemie Windows. Więcej informacji o tej aktualizacji znajdziesz w ogłoszeniu na temat danych uwierzytelniających sesji powiązanych z urządzeniem w systemie Windows. Pracujemy też nad rozszerzeniem obsługi DBSC na macOS.
Umiejętności agenta w zakresie kluczy dostępu
W naszym projekcie Modern Web Guidance uwzględniliśmy umiejętności związane z kluczami dostępu, które obejmują wiele aspektów opisanych w tym poście. Wkrótce opublikujemy post na blogu poświęcony umiejętnościom związanym z kluczami dostępu.
Chcesz kształtować przyszłość uwierzytelniania?
Zapoznaj się z naszymi szczegółowymi przewodnikami i zacznij modernizować swoje działania już dziś: