این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

کلیدهای عبور امن و بدون درز: چک لیست استقرار

Eiji Kitamura

کلیدهای عبور به گونه ای طراحی شده اند که تجربه ورود به سیستم را متحول کنند و جایگزینی ساده تر، سریع تر و ایمن تر برای رمزهای عبور ارائه دهند. این چک لیست شما را از طریق جنبه های کلیدی پیاده سازی کلیدهای عبور برای دستیابی به نتایج بهینه تجربه کاربر (UX) راهنمایی می کند.

نحوه استفاده از این چک لیست

این چک لیست برای توسعه دهندگان و تیم های محصول است که کلیدهای عبور را در جریان های احراز هویت خود پیاده سازی می کنند. از آن استفاده کنید تا:

تأیید کنید که پیاده سازی شما از بهترین شیوه های UX کلید عبور مدرن که در مقالات زیر توضیح داده شده است، پیروی می کند.
عناصر مورد نیاز و اختیاری را که قابلیت استفاده، امنیت و سازگاری را بهبود می بخشد، شناسایی کنید.
اجرای خود را در حین توسعه و قبل از استقرار بررسی کنید.
با بهترین شیوه هایی که از پذیرش کاربر و قابلیت همکاری سیستم پشتیبانی می کند، همراستا باشید.

اینها به شما کمک می کند تا تجربه ای روان و امن را برای کاربران نهایی فراهم کنید.

ثبت نام کلیدهای عبور

برای انتقال آسان از رمزهای عبور به کلیدهای عبور در وب سایت خود، داشتن قابلیت ثبت رمز عبور پیچیده کلید اصلی است. دستورالعمل های توضیح داده شده در ایجاد یک رمز عبور برای ورود بدون رمز عبور را دنبال کنید تا یک ویژگی ثبت رمز عبور در وب سایت خود ایجاد کنید. در اینجا مواردی وجود دارد که باید علاوه بر ویژگی های اصلی ثبت کلید عبور بررسی کنید:

✅ "platform" به عنوان مقدار پیوست احراز هویت کننده برای ارسال به navigator.credentials.create() برای ایجاد رمز عبور ارتقا یافته مشخص کنید.

جریان ایجاد رمز عبور بهینه و بدون اصطکاک را برای کسانی که به صورت واکنشی کلید عبور ایجاد می کنند، ارائه دهید.

✅ کاربر را با قوی‌ترین روش احراز هویت موجود که می‌تواند از آن استفاده کند، قبل از اینکه به او اجازه ایجاد رمز عبور بدهد، تأیید کنید.

این برای جلوگیری از ایجاد یک رمز عبور در حساب ربوده شده توسط مهاجم مهم است.

✅ با استفاده از excludeCredentials از ایجاد رمزهای عبور تکراری برای همان ارائه دهنده رمز عبور جلوگیری کنید.

بسیاری از ارائه دهندگان رمز عبور تنها یک رمز عبور در هر حساب و یک شناسه RP را در خود جای می دهند. از ایجاد موارد تکراری خودداری کنید.

✅ از AAGUID برای شناسایی ارائه دهنده رمز عبور و نامگذاری اعتبار برای کاربر استفاده کنید .

مرتبط کردن یک رمز عبور با ارائه‌دهنده رمز عبور آن، روشی بصری برای ارائه اعتبار در جایی که ممکن است است.

✅ اگر تلاش برای ثبت رمز عبور با PublicKeyCredential.signalUnknownCredential() ناموفق بود، سیگنال دهید.

کلیدهای سرگردان می توانند باعث سردرگمی شوند. اگر سرور موفق به ثبت رمز عبور نشده است، به ارائه‌دهنده رمز عبور اطلاع دهید.

✅ پس از ایجاد و ثبت رمز عبور برای حساب کاربری ، یک اعلان برای کاربر ارسال کنید .

مطمئن شوید که کاربر از ایجاد یک رمز عبور آگاه است، به خصوص زمانی که توسط شخص دیگری انجام می شود.

احراز هویت کلیدهای عبور

پذیرش کاربران رمز عبور و کاربران رمز عبور بدون کمترین اصطکاک می تواند چالش برانگیز باشد. برای ایجاد ویژگی تکمیل خودکار فرم کلید عبور در وب‌سایت خود، دستورالعمل‌های توضیح داده شده در ورود با کلید عبور از طریق تکمیل خودکار فرم را دنبال کنید. در اینجا مواردی وجود دارد که باید علاوه بر ویژگی های اصلی احراز هویت کلید عبور بررسی کنید:

✅ به کاربران اجازه دهید با یک کلید عبور از طریق تکمیل خودکار فرم وارد سیستم شوند .

اگر وب سایت شما در حال انتقال از رمزهای عبور به کلیدهای عبور است، بهترین روش برای جا دادن هر دو کاربر استفاده از ویژگی تکمیل خودکار فرم مرورگر است.

✅ هنگامی که اعتبار منطبق با کلید عبور در پشتیبان با PublicKeyCredential.signalUnknownCredential() یافت نمی شود، سیگنال دهید.

کلیدهای سرگردان می توانند باعث سردرگمی شوند. به ارائه‌دهنده رمز عبور اطلاع دهید که کدام رمز قابل استفاده نیست تا ارائه‌دهنده بتواند آن را حذف کند.

✅ اگر کاربر پس از ورود به سیستم رمز عبور ایجاد نکرده است، از کاربران بخواهید که به صورت دستی یک رمز عبور ایجاد کنند.

اگر کاربر هنوز یک رمز عبور ایجاد نکرده است، او را تشویق کنید که یک رمز عبور ایجاد کند.

✅ پس از ورود کاربر با رمز عبور (و فاکتور دوم) به صورت خودکار یک رمز عبور (ایجاد شرطی) ایجاد کنید .

تسریع در پذیرش رمز عبور کاربر.

✅ اگر کاربر با رمز عبور بین دستگاهی وارد سیستم شده است، درخواست ایجاد رمز عبور محلی را بدهید.

ایجاد یک رمز عبور محلی به کاربر کمک می کند بدون اسکن کد QR از دفعه بعد وارد سیستم شود.

✅ پس از ورود به سیستم ، لیست رمزهای عبور موجود و جزئیات کاربر به روز شده (نام کاربری، نام نمایشی) را به ارائه دهنده علامت دهید.

همگام نگه داشتن لیست رمز عبور و جزئیات کاربر بین سرور و ارائه دهنده کلید عبور، تجربه کاربر را بهبود می بخشد.

مدیریت کلیدهای عبور

درک خوب کلیدهای عبور برای کاربران به آنها کمک می کند تا درک بهتری از منظره و کنترل روی کلیدهای عبور داشته باشند. دستورالعمل های توضیح داده شده در راهنمای کمک به کاربران برای مدیریت موثر کلیدهای عبور برای ایجاد یک ویژگی مدیریت رمز عبور در وب سایت خود را دنبال کنید. در اینجا مواردی وجود دارد که باید بررسی کنید:

✅ به کاربران اجازه می دهد تا کلیدهای عبور را در صفحه مدیریت رمز عبور مدیریت کنند.

یک مکان مرکزی ایجاد کنید که در آن کاربران بتوانند رمز عبور خود را مدیریت کنند.

✅ پشتیبانی از ثبت چند رمز عبور .

امکان ثبت کلیدهای عبور متعدد به کاربران کمک می کند تا بدون بازگشت به روش احراز هویت ضعیف تر، از قفل شدن جلوگیری کنند.

✅ به کاربران اجازه دهید انواع رمز عبور جدید و قابل انعطاف را در صفحه مدیریت اضافه کنند .

✅ نمایش نام کلید عبور .

کلیدهای عبور را بر اساس AAGUID نامگذاری کنید و تصویری ملموس از کلیدهای عبور کاربر ارائه دهید.

✅ مشخص می کند که یک کلید عبور قابل همگام سازی یا غیرقابل همگام سازی است.

هنگامی که یک رمز عبور همگام سازی نمی شود، کاربر را آگاه کنید.

✅اجازه به کاربران برای حذف یک کلید عمومی از سرور.

✅ هنگامی که یک کلید عمومی مرتبط از سرور حذف می شود، به لیست کلیدهای عبور سیگنال دهید.

همگام نگه داشتن لیست رمز عبور بین سرور و ارائه دهنده کلید عبور، تجربه کاربر را بهبود می بخشد.

نمونه ای از صفحه مدیریت رمز عبور که شیوه های خوب را نشان می دهد.

ملاحظات اضافی

✅ هنگامی که کاربر آن را به روز می کند، اطلاعات به روز شده کاربر (نام کاربری، نام نمایشی) را علامت بزنید .

✅ هنگامی که کاربر رمز عبور را فراموش کرده است، به جای رمز عبور جدید، یک کلید عبور ایجاد کنید .

کلیدهای عبور امن و بدون درز: چک لیست استقرار با مجموعه‌ها، منظم بمانید ذخیره و طبقه‌بندی محتوا براساس اولویت‌های شما.