Signal API برای کلیدهای عبور در دسک‌تاپ Chrome

ایجی کیتامورا

تاریخ انتشار: 13 نوامبر 2024

از Chrome 132، دسک‌تاپ Chrome (macOS، Windows، Linux و ChromeOS) از Signal API پشتیبانی می‌کند که می‌تواند کلیدهای عبور ارائه‌دهندگان کلید عبور را با اعتبارنامه‌های کلید عمومی در سرور طرف متکی نگه دارد.

هنگامی که یک رمز عبور ( یک اعتبار قابل کشف ) ایجاد می شود، ابرداده هایی مانند نام کاربری و نام نمایشی به همراه کلید خصوصی در ارائه دهنده کلید عبور (مانند مدیر رمز عبور) ذخیره می شود و اعتبار کلید عمومی در طرف متکی ذخیره می شود. سرور (RP's). ذخیره نام کاربری و نام نمایشی به کاربر کمک می‌کند تا شناسایی کند که با کدام کلید عبور وارد شود، زیرا از کاربر خواسته می‌شود پس از ورود به سیستم، یک کلید عبور انتخاب کند. این به ویژه زمانی مفید است که بیش از دو کلید عبور از ارائه‌دهندگان رمز عبور مختلف داشته باشد.

با این حال، چند مورد وجود دارد که تفاوت بین لیست رمز عبور در ارائه دهنده کلید عبور و لیست اعتبار در سرور می تواند باعث سردرگمی شود.

اولین مورد زمانی است که کاربر یک اعتبار روی سرور را حذف می کند و کلید عبور را در ارائه دهنده رمز عبور دست نخورده می گذارد. دفعه بعد که کاربر سعی می کند با رمز عبور وارد سیستم شود، کلید عبور همچنان توسط ارائه دهنده رمز عبور به کاربر ارائه می شود. با این حال، تلاش برای ورود به سیستم ناموفق خواهد بود زیرا سرور نمی تواند با کلید عمومی حذف شده تأیید کند.

مورد دوم زمانی است که کاربر نام کاربری یا نام نمایشی خود را در سرور به روز می کند. دفعه بعد که کاربر سعی می‌کند وارد سیستم شود، کلید عبور در ارائه‌دهنده رمز عبور همچنان نام کاربری و نام نمایشی قدیمی را نمایش می‌دهد، حتی اگر در سرور به‌روزرسانی شده باشد. در حالت ایده آل باید همگام باشند.

سیگنال API

WebAuthn Signal API به RP ها اجازه می دهد تا اعتبارنامه های موجود را به ارائه دهندگان رمز عبور متصل سیگنال دهند. این به یک ارائه‌دهنده رمز عبور پشتیبانی می‌کند تا کلیدهای عبور نادرست یا باطل شده را از حافظه خود به‌روزرسانی یا حذف کند تا با سرور سازگار باشد.

به عنوان مثال، زمانی که کاربر نتواند به یک RP وارد شود، زیرا اعتبار مرتبط در سرور RP دیگر وجود ندارد، RP می تواند از Signal API برای سیگنال دادن به اینکه اعتبار حذف شده دیگر برای ارائه دهنده رمز عبور معتبر نیست، استفاده کند، بنابراین ارائه دهنده رمز عبور می تواند رمز عبور مرتبط را حذف کند.

مثال دیگر زمانی است که کاربر به صفحه تنظیمات RP می رود و اعتبار موجود را حذف می کند، RP می تواند از Signal API برای ارسال لیستی از اعتبارنامه های موجود به ارائه دهنده رمز عبور استفاده کند، بنابراین ارائه دهنده کلید عبور می تواند کلیدهای عبور مرتبط را همگام نگه دارد.

وقتی کلید عبور از Google Password Manager در Chrome حذف می‌شود، گفتگویی نمایش داده می‌شود.
وقتی کلید عبور از Google Password Manager در Chrome حذف می‌شود، گفتگویی نمایش داده می‌شود.

همچنین می تواند نام کاربری و نام نمایشی به روز شده را علامت دهد، به طوری که ابرداده کلید عبور ذخیره شده برای همان کاربر می تواند به روز شود.

به عنوان مثال، هنگامی که یک کاربر نام کاربری یا نام نمایشی خود را در RP به روز می کند، RP می تواند از Signal API برای سیگنال دادن اطلاعات کاربر به روز شده به ارائه دهنده رمز عبور استفاده کند، بنابراین ارائه دهنده کلید عبور می تواند اطلاعات کاربری کلیدهای عبور مرتبط را همگام نگه دارد.

وقتی فراداده کلید عبور در Google Password Manager در Chrome به‌روزرسانی می‌شود، گفتگویی نمایش داده می‌شود.
وقتی فراداده کلید عبور در Google Password Manager در Chrome به‌روزرسانی می‌شود، گفتگویی نمایش داده می‌شود.

Google Password Manager روی دسک‌تاپ Chrome، Signal AP را پیاده‌سازی می‌کند. برای ارائه دهندگان رمز عبور مبتنی بر افزونه کروم، این به آنها بستگی دارد که سیگنال را منعکس کنند یا خیر.

ما در حال برنامه ریزی برای پشتیبانی از Signal API در اندروید کروم در آینده هستیم.

برای یادگیری نحوه ادغام WebAuthn Signal API، لیست کلیدهای عبور را با استفاده از Signal API با سرور همگام نگه دارید .