Опубликовано: 21 мая 2026 г.
На конференции Google I/O 2026 мы говорили о веб-пространстве, где вход в систему не является обременительным. Это должна быть безопасная, упрощенная точка входа, которая действительно создает у пользователей чувство безопасности. В этой статье мы расскажем, как можно улучшить процессы создания учетных записей, уменьшить неудобства и защитить пользователей с самого начала.
Быстрый доступ
- Почему модернизация важна
- Упрощенная процедура создания учетных записей
- Проверка атрибутов без трения
- Внедрите пароли для беспрепятственного входа в систему.
- Стратегическое внедрение кодовых ключей
- Управление ключами доступа и отказоустойчивое восстановление
Почему модернизация важна
Сложные и неудобные процессы (например, запутанные формы регистрации, раздражающий цикл "забыли пароль" или множество кнопок входа) портят впечатление. Они отталкивают пользователей, вызывая переключение между контекстами. Использование устаревших паролей и одноразовых паролей (OTP) также делает пользователей уязвимыми для фишинга.
Каждая секунда неудобства — это возможность для пользователя отказаться от использования сервиса. Модернизация аутентификации защищает ваши системы и ваших пользователей. Сглаживая каждый этап взаимодействия с пользователем, вы естественным образом повышаете коэффициент конверсии. Например, pixiv добился ошеломляющего показателя успешности входа в систему в 99% (на 29% больше, чем при использовании паролей) после внедрения паролей. Отказ от слабых учетных данных делает процесс быстрее и безопаснее.
Упрощенная процедура создания учетных записей
Первое взаимодействие пользователя с вашим приложением задает тон. Упрощение процесса создания учетной записи — первый шаг к повышению уровня использования и безопасности.
Федерация идентификационных данных как основной метод создания учетных записей.
Вы можете позволить своим пользователям избежать утомительных форм создания учетной записи, используя федерацию идентификации , которая позволяет пользователям регистрироваться у надежного поставщика, такого как Google. Это обеспечивает надежный и упрощенный процесс регистрации, позволяющий пользователям получить доступ к вашему приложению без «утомительной» процедуры обычной регистрации.
Федерация означает, что пользователям не нужно вводить свое имя или адрес электронной почты вручную. Поскольку провайдер уже проверил их, вы можете пропустить лишние шаги по независимой проверке и привлечь больше клиентов.
Кроме того, внедрение решения для федеративной идентификации позволяет унаследовать уровень безопасности выделенного поставщика идентификационных данных (IdP). Поскольку IdP специализируются на идентификации и безопасности, использование их инфраструктуры исключает риск создания системы аутентификации с нуля.
Внедрите API федеративного управления учетными данными (FedCM).
Если вы выступаете в качестве поставщика идентификации (IdP), мы рекомендуем использовать API FedCM . Он обрабатывает взаимодействие через пользовательский интерфейс браузера, что обеспечивает защиту конфиденциальности, предотвращая отслеживание, и предоставляет пользователям вход в систему одним касанием, а также упрощает интерфейс , отображая только релевантные учетные записи.
Схема "Сначала федерализация, затем модернизация"
Технология Federate-then-upgrade сочетает в себе скорость федерации с долгосрочной безопасностью паролей. Если запросить пароль сразу после регистрации в федеративной системе , следующий вход пользователя в систему будет защищен от фишинга с первого дня.
Оптимизация форм для автозаполнения
Если необходимо заполнять формы вручную, используйте описательные атрибуты name и id , а также корректные значения autocomplete , чтобы браузер мог автоматически заполнять поля за пользователя. Это снижает когнитивную нагрузку и вероятность опечаток в процессе регистрации. Более подробную информацию об оптимизации форм см. в разделе «Рекомендации по оптимизации форм регистрации» .
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
Проверка атрибутов без трения
Заставлять пользователей покидать приложение, чтобы проверить код в электронной почте, снижает коэффициент конверсии. Именно при таком переключении контекста люди отвлекаются и больше не возвращаются.
Представляем протокол проверки электронной почты (EVP).
Протокол проверки электронной почты (EVP) , новая функция, позволяет вашему приложению получать подтвержденный адрес электронной почты непосредственно через браузер.
Чтобы включить эту функцию, добавьте скрытое поле ввода с атрибутом autocomplete="email-verification-token" и challenge . Браузер анализирует домен электронной почты из поля ввода и запрашивает у отправителя письма подтверждение того, что пользователь имеет доступ к этому адресу. После успешной проверки браузер отображает подтвержденное подтверждение электронной почты, которое ваша серверная часть может мгновенно проверить. Для пользователя этот процесс происходит незаметно; он видит уведомление только после подтверждения электронной почты.
EVP устраняет необходимость в отпугивающих пользователя факторах (таких как волшебные ссылки или одноразовые пароли в электронной почте) при входе в систему, регистрации и сбросе пароля.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
Обратите внимание, что поддержка EVP зависит от конкретных почтовых провайдеров. Уточните у своего провайдера, планируют ли они поддерживать EVP. Если у вас собственный домен, вы также можете подключить его к поддерживающему EVP почтовому провайдеру.
Поскольку эта функция пока находится на экспериментальной стадии, мы будем благодарны за ваши отзывы о ней в репозитории GitHub .
API цифровых учетных данных
Для конфиденциальных данных, таких как полное имя или возраст, API цифровых учетных данных предоставляет способ запроса проверенных данных из кошелька пользователя через браузер с использованием выборочного раскрытия информации . Это означает, что вы можете проверить, достиг ли пользователь определенного возраста, не получая при этом его полную дату рождения или полное имя, сохраняя тем самым его конфиденциальность.
См. API цифровых учетных данных: Безопасная и конфиденциальная идентификация в интернете .
Внедрите пароли для беспрепятственного входа в систему.
Пароли — это не просто замена паролям. Это фундаментальный сдвиг в сторону бесшовной аутентификации, устойчивой к фишингу.
Режим мгновенного доступа к пользовательскому интерфейсу
Начиная с Chrome версии 149, доступен режим мгновенной проверки учетных данных (Immediate UI Mode ). Он позволяет веб-сайту проверять учетные данные в тот момент, когда пользователь переходит на ваш сайт. Если пароль или ключ доступа доступны в менеджере паролей, браузер немедленно выводит список доступных учетных записей в диалоговом окне входа в систему.
Это избавляет пользователя от необходимости выбирать способ входа в систему. Предлагая учетные данные для выбранной учетной записи, вы создаете удобный интерфейс «в одно касание», который кажется пользователю волшебным.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
См. режим мгновенного доступа к пользовательскому интерфейсу для входа в систему .
Автозаполнение формы для ввода пароля: используйте автозаполнение формы при переходе на ввод пароля.
Для пользователей веб-сайта, переходящего от паролей к ключам доступа, функция автозаполнения формы позволяет отображать ключи доступа в подсказках автозаполнения, когда поле ввода находится в фокусе. Это означает, что если у пользователя уже есть ключ доступа, он отобразится в момент фокусировки на поле имени пользователя в форме входа. Если же его нет, пользователь все равно сможет использовать сохраненный пароль.
Для этого добавьте аннотацию к полю имени пользователя с помощью autocomplete="username webauthn" и установите значение mediation равным 'conditional' при вызове метода navigator.credentials.get() .
Это важнейший промежуточный этап на пути к будущему без паролей, поскольку он знакомит пользователей с ключами доступа в привычном интерфейсе.
См. контрольный список аутентификации Passkeys .
Стратегическое внедрение кодовых ключей
Внедрение часто зависит от времени. Предложение пользователю в нужный момент может значительно повысить вероятность того, что он зарегистрирует пароль.
Автоматическое создание пароля
Никто не хочет копаться в настройках безопасности только для того, чтобы установить новый способ входа в систему. Как и когда следует предлагать пользователям, использующим пароли, перейти на использование ключей доступа?
Вот тут-то и пригодится автоматическое создание паролей . С помощью функции Conditional Create браузер может автоматически преобразовывать пароли пользователей в ключи доступа в тот самый момент, когда пользователь входит в систему с помощью менеджера паролей.
Передавая mediation: 'conditional' в API navigator.credentials.create() , который запускается после недавнего успешного входа пользователя в систему с использованием пароля, сохраненного в менеджере паролей, браузер генерирует новый ключ доступа автоматически, без необходимости прохождения дополнительных экранов настройки.
Регистрация без лишних сложностей означает, что пользователям не нужно сознательно принимать решение об улучшении своей безопасности. Это происходит автоматически, защищая их без каких-либо дополнительных усилий. Например, компания adidas зафиксировала 8-процентный рост количества созданных паролей благодаря этой стратегии без лишних запросов.
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
См. контрольный список для регистрации Passkeys.
Управление ключами доступа и отказоустойчивое восстановление
Для пользователей важно иметь свои учетные данные под рукой на разных устройствах, веб-сайтах и в различных сервисах. Необходимо также управлять ими и обеспечивать возможность восстановления учетных записей в случае утери или кражи устройства.
Кроссплатформенная согласованность
Если у вас несколько ресурсов (например, приложение для Android и веб-сайт, или несколько веб-сайтов), которые используют одну и ту же систему авторизации, вы можете улучшить пользовательский опыт. Благодаря беспрепятственному обмену учетными данными , менеджеры паролей могут предлагать пользователю правильные учетные данные на всех ваших ресурсах.
Беспрепятственный обмен учетными данными осуществляется с помощью двух технологий: цифровых ссылок на активы (Digital Asset Links) для паролей и запросов на подтверждение происхождения (Related Origin Requests) для ключей доступа.
Использование ссылок на цифровые активы гарантирует, что пароли, созданные в интернете, будут доступны в вашем приложении для Android, и наоборот. Это также позволяет менеджерам паролей предлагать уже сохраненные учетные данные для разных доменов, которыми вы владеете и которые используют одну и ту же систему аутентификации.
Используйте запросы на доступ к связанным источникам (Related Origin Requests) , чтобы сделать ключи доступа доступными в разных доменах и приложениях через менеджер учетных данных пользователя.
Это еще один способ сделать процесс входа в систему более удобным для ваших пользователей.
Предоставьте пользователям возможность управлять паролями через соответствующую страницу.
Для более удобного управления паролями мы рекомендуем создать отдельную страницу для управления паролями с поддержкой понятных названий поставщиков, времени использования и элементов управления. Это поможет пользователям уверенно управлять своими настройками. Прозрачность укрепляет доверие.
См. контрольный список по управлению ключами доступа .
Устойчивое восстановление аккаунта
Устройства могут быть утеряны или обновлены. Пароли по своей природе устойчивы, поскольку используют аппаратную защиту и, как правило, синхронизируются в облаке, что позволяет пользователям восстанавливать их на новом устройстве. Однако наличие резервного варианта, такого как подтвержденный адрес электронной почты, гарантирует, что ваши пользователи никогда не потеряют доступ к своей цифровой жизни.
Вместо того чтобы заставлять кого-то ждать ответа службы поддержки, вы можете доказать, что это именно тот пользователь, который вам уже доверяет, используя такие сигналы, как федерация идентификационных данных или подтверждение электронной почты.
Объединение этих сигналов в стратегию восстановления позволяет мгновенно восстановить доступ. Как только доступ будет восстановлен, немедленно зарегистрируйте новый пароль, чтобы защитить пользователей от повторного фишинга.
Защита сессий с помощью DBSC
Для защиты пользователей от взлома учетных записей важным уровнем защиты является обеспечение безопасности их сессионных cookie-файлов. Технология Device Bound Session Credentials (DBSC) позволяет привязать сессию к оборудованию. Это снижает вероятность взлома сессии, поскольку даже если cookie-файл будет украден, только то же самое устройство сможет запросить его повторную выдачу, что фактически добавляет еще один уровень безопасности к вашей сессии.
DBSC — это экспериментальная функция, теперь доступная в Windows. Подробнее об этом обновлении можно узнать в анонсе «Учетные данные сеанса, привязанного к устройству, в Windows» . Мы также работаем над расширением поддержки DBSC на macOS.
Навыки агента Passkeys
В рамках нашего проекта Modern Web Guidance мы включили навыки работы с паролями, охватывающие многие аспекты, описанные в этой статье. Вскоре мы опубликуем отдельную статью в блоге, посвященную именно навыкам работы с паролями.
Готовы создавать будущее аутентификации?
Изучите наши подробные руководства и начните модернизацию уже сегодня: