منتشر شده: ۲۱ مه ۲۰۲۶
در کنفرانس Google I/O 2026، ما در مورد وبی صحبت کردیم که در آن ورود به سیستم کار سختی نیست. این باید یک نقطه ورود امن و ساده باشد که در واقع به کاربران احساس امنیت میدهد. این پست خلاصهای از نحوه اصلاح جریان حساب کاربری، کاهش اصطکاک و محافظت از افراد از همان ابتدا را ارائه میدهد.
دسترسی سریع
- Why modernization matters
- سادهسازی ایجاد حساب کاربری
- تأیید ویژگی بدون اصطکاک
- Implement passkeys for seamless sign-in
- پذیرش استراتژیک رمز عبور
- مدیریت رمز عبور و بازیابی انعطافپذیر
Why modernization matters
جریانهای پراسترس (مانند فرمهای ثبتنام بههمریخته، آن حلقهی آزاردهندهی «رمز عبور را فراموش کردهاید» یا دیواری از دکمههای ورود) حال و هوای سایت را از بین میبرند. آنها «قاتلان تغییر زمینه» هستند که کاربران را فراری میدهند. رمزهای عبور قدیمی و رمزهای عبور یکبار مصرف (OTP) نیز افراد را در معرض فیشینگ قرار میدهند.
Every second of friction is an opportunity for a user to drop off. Modernizing your authentication protects your systems and your users. By smoothing out every touchpoint in the identity journey, you naturally increase your conversion rates. For example, pixiv achieved a staggering 99% login success rate (a 29% improvement over passwords) after implementing passkeys. Moving away from weak credentials makes things faster and safer.
Streamline account creation
اولین تعاملی که کاربر با اپلیکیشن شما دارد، حال و هوای آن را تعیین میکند. سادهسازی ایجاد حساب کاربری اولین قدم برای بهبود پذیرش و ایمنی است.
ادغام هویت به عنوان روش اصلی ایجاد حساب کاربری
شما میتوانید با استفاده از identity Federation که به کاربران اجازه میدهد در یک ارائهدهنده معتبر مانند گوگل ثبتنام کنند، از فرمهای خستهکننده ایجاد حساب کاربری صرفنظر کنید. این یک تجربه ثبتنام قوی و ساده را فراهم میکند که کاربران را بدون «کار طاقتفرسای» ثبتنام معمولی، وارد برنامه شما میکند.
فدراسیون به این معنی است که کاربران مجبور نیستند نام یا ایمیل خود را به صورت دستی تایپ کنند. از آنجایی که ارائه دهنده قبلاً آنها را تأیید کرده است، میتوانید مراحل اضافی را برای تأیید مستقل آنها حذف کنید و افراد بیشتری را از درگاه عبور دهید.
علاوه بر این، اتخاذ یک راهکار هویت فدرال به شما امکان میدهد سطح امنیتی یک IdP (ارائهدهنده هویت) اختصاصی را به ارث ببرید. از آنجا که IdPها در هویت و امنیت تخصص دارند، تکیه بر زیرساخت آنها خطر ایجاد احراز هویت از ابتدا را از بین میبرد.
API مدیریت اعتبارنامه فدرال (FedCM) را اتخاذ کنید
اگر به عنوان یک IdP عمل میکنید، توصیه میکنیم از API FedCM استفاده کنید. این API تعامل را از طریق رابط کاربری مرورگر مدیریت میکند، که با جلوگیری از ردیابی، ضمن فراهم کردن امکان ورود با یک ضربه به کاربران، از حریم خصوصی محافظت میکند و با نمایش فقط حسابهای مرتبط، رابط کاربری را خلوت میکند .
The "Federate-then-upgrade" pattern
قابلیت ارتقاء به صورت فدرال، سرعت فدرالسازی را با امنیت بلندمدت کلیدهای عبور ترکیب میکند. اگر بلافاصله پس از ثبتنام فدرالسازیشده، از کاربر کلید عبور بخواهید ، ورود بعدی او از همان روز اول در برابر فیشینگ مقاوم خواهد بود.
بهینه سازی فرم ها برای تکمیل خودکار
اگر فرمهای دستی ضروری هستند، از ویژگیهای توصیفی name و id استفاده کنید و مقادیر autocomplete را تصحیح کنید تا مرورگر بتواند فیلدها را برای کاربر پر کند. این کار بار شناختی و احتمال اشتباهات تایپی را در طول فرآیند ثبت نام کاهش میدهد. برای جزئیات بیشتر در مورد بهینهسازی فرم ، به بهترین شیوههای فرم ثبت نام ما مراجعه کنید.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
تأیید ویژگی بدون اصطکاک
وادار کردن کاربران به ترک اپلیکیشن برای بررسی کد در ایمیلشان، نرخ تبدیل را کاهش میدهد. این تغییر زمینه جایی است که حواس افراد پرت میشود و دیگر هرگز برنمیگردند.
Meet the Email Verification Protocol (EVP)
پروتکل تأیید ایمیل (EVP) ، یک ویژگی نوظهور، به برنامه شما اجازه میدهد تا مستقیماً از طریق مرورگر، یک آدرس ایمیل تأیید شده دریافت کند.
To opt in to use this feature, append a hidden input field with the autocomplete="email-verification-token" attribute and with a challenge . The browser parses the email domain from the input and requests that the email issuer verify the user has control of this email. Upon successful verification, the browser presents a verified email claim that your backend can verify instantly. For the user, this flow happens seamlessly; they only see a notification upon email verification.
EVP نیاز به موانعی که افراد را از ورود به سیستم، ثبتنام و تنظیم مجدد رمز عبور فراری میدهد (مانند لینکهای جادویی یا رمزهای یکبار مصرف ایمیل) را از بین میبرد.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
توجه داشته باشید که پشتیبانی از EVP به ارائه دهندگان خدمات ایمیل بستگی دارد. با ارائه دهنده خاص خود مشورت کنید تا ببینید آیا قصد پشتیبانی از EVP را دارند یا خیر. اگر صاحب یک دامنه سفارشی هستید، میتوانید آن را به یک ارائه دهنده ایمیل پشتیبان متصل کنید تا از EVP نیز پشتیبانی کند.
از آنجایی که این هنوز در مرحله آزمایشی است، از بازخورد شما در مورد این ویژگی در مخزن گیتهاب قدردانی میکنیم.
API اعتبارنامههای دیجیتال
برای جزئیات حساس مانند نام قانونی یا سن، API اعتبارنامههای دیجیتال راهی برای درخواست دادههای تأیید شده از کیف پول کاربر از طریق واسطهگری مرورگر با استفاده از افشای انتخابی فراهم میکند. این بدان معناست که میتوانید بدون دریافت تاریخ تولد کامل یا نام قانونی کاربر، تأیید کنید که او بالای سن خاصی است و حریم خصوصی او را حفظ کنید.
به API مربوط به اعتبارنامههای دیجیتال: هویت امن و خصوصی در وب مراجعه کنید.
پیادهسازی کلیدهای عبور برای ورود یکپارچه
کلیدهای عبور چیزی بیش از جایگزینی برای رمزهای عبور هستند. آنها یک تغییر اساسی به سمت احراز هویت یکپارچه و مقاوم در برابر فیشینگ هستند.
حالت رابط کاربری فوری
از کروم ۱۴۹، حالت رابط کاربری فوری (Immediate UI Mode) در دسترس است. این حالت به وبسایت اجازه میدهد تا به محض ورود کاربر به سایت، اعتبارنامهها را بررسی کند. اگر رمز عبور یا کلید عبور در مدیریت رمز عبور موجود باشد، مرورگر بلافاصله لیستی از حسابهای کاربری موجود را در یک پنجره ورود به سیستم نمایش میدهد.
این امر نیاز کاربر به انتخاب روش ورود به سیستم را از بین میبرد. با ارائهی فعال اعتبارنامه برای حساب انتخاب شده، شما یک تجربهی «یکبار لمس» بدون دردسر ایجاد میکنید که برای کاربر مانند جادو به نظر میرسد.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
ببینید، حالت رابط کاربری فوری برای ورود به سیستم .
تکمیل خودکار فرم با رمز عبور: هنگام انتقال به رمزهای عبور، از تکمیل خودکار فرم استفاده کنید
برای کاربران وبسایتی که در حال گذار از رمز عبور به کلیدهای عبور هستند، قابلیت تکمیل خودکار فرم با کلید عبور به آنها اجازه میدهد تا هنگام فوکوس روی فیلد ورودی، کلیدهای عبور در پیشنهادات تکمیل خودکار ظاهر شوند. این بدان معناست که اگر کاربری از قبل کلید عبور داشته باشد، به محض اینکه فیلد نام کاربری را در فرم ورود به سیستم فوکوس کند، میتواند از آن استفاده کند. اگر این کار را نکند، همچنان میتواند از رمز عبور ذخیره شده استفاده کند.
برای فعال کردن این قابلیت، فیلد نام کاربری خود را با autocomplete="username webauthn" حاشیهنویسی کنید و هنگام فراخوانی navigator.credentials.get() مقدار mediation را روی 'conditional' تنظیم کنید.
این یک پل حیاتی در طول گذار به آیندهای بدون رمز عبور است، زیرا کاربران را با کلیدهای عبور در یک رابط کاربری آشنا آشنا میکند.
به چک لیست احراز هویت Passkeys مراجعه کنید.
پذیرش استراتژیک رمز عبور
پذیرش اغلب به زمان بستگی دارد. آگاه کردن کاربر در لحظه مناسب میتواند احتمال ثبت رمز عبور توسط او را به میزان قابل توجهی افزایش دهد.
ایجاد خودکار رمز عبور
هیچکس نمیخواهد فقط برای تنظیم یک روش ورود جدید، تنظیمات امنیتی خود را زیر و رو کند. برای کاربران فعلی که از رمز عبور استفاده میکنند، چگونه و چه زمانی باید از آنها بخواهید که به رمز عبور ارتقا دهند؟
اینجاست که ایجاد خودکار رمز عبور وارد عمل میشود. با استفاده از قابلیت ایجاد شرطی (Conditional Create)، مرورگر میتواند به طور خودکار و دقیقاً در همان لحظهای که کاربر با برنامه مدیریت رمز عبور خود وارد سیستم میشود، رمز عبور کاربران را به رمز عبور ارتقا دهد.
با ارسال mediation: 'conditional' به رابط برنامهنویسی کاربردی navigator.credentials.create() که با ورود موفقیتآمیز اخیر کاربر با استفاده از رمز عبور ذخیره شده در مدیریت رمز عبور فعال میشود، مرورگر بدون اینکه کاربر را مجبور به عبور از صفحات تنظیمات اضافی کند، یک رمز عبور جدید به صورت بومی تولید میکند.
ثبتنام بدون اصطکاک به این معنی است که کاربران مجبور نیستند برای بهبود امنیت خود تصمیم آگاهانهای بگیرند. این اتفاق به طور خودکار رخ میدهد و بدون نیاز به هیچ تلاش اضافی از آنها محافظت میکند. به عنوان مثال، آدیداس با استفاده از این استراتژی بدون نیاز به هیچ گونه اقدام فوری، شاهد افزایش ۸ درصدی در ایجاد کلیدهای عبور بود .
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
چک لیست ثبت نام Passkeys را ببینید
مدیریت رمز عبور و بازیابی انعطافپذیر
برای کاربران مهم است که اطلاعات کاربری خود را به راحتی در دستگاهها، وبسایتها و سرویسها در دسترس داشته باشند، همچنین مدیریت آنها و اطمینان از اینکه در صورت گم شدن یا سرقت دستگاه، میتوانند حسابهای خود را بازیابی کنند.
سازگاری بین پلتفرمی
اگر چندین ویژگی (مثلاً یک برنامه اندروید و یک وبسایت یا چندین وبسایت) دارید که یک سیستم ورود به سیستم را به اشتراک میگذارند، میتوانید تجربه کاربران خود را بهبود بخشید. با اشتراکگذاری یکپارچه اعتبارنامه ، مدیران رمز عبور میتوانند اعتبارنامه مناسب را در تمام ویژگیهای شما به کاربر پیشنهاد دهند.
اشتراکگذاری یکپارچهی اعتبارنامهها شامل دو فناوری است: پیوندهای داراییهای دیجیتال برای رمزهای عبور و درخواستهای مبدا مرتبط برای کلیدهای عبور.
استفاده از Digital Asset Links تضمین میکند که رمزهای عبور ایجاد شده در وب در برنامه اندروید شما نیز موجود باشند و برعکس. همچنین به مدیران رمز عبور اجازه میدهد تا یک اعتبارنامه ذخیره شده از قبل را در دامنههای مختلفی که متعلق به شما هستند و دارای یک backend احراز هویت مشترک هستند، پیشنهاد دهند.
از درخواستهای مبدا مرتبط برای در دسترس قرار دادن کلیدهای عبور در دامنهها و برنامههای مختلف از طریق مدیر اعتبارنامههای کاربر خود استفاده کنید.
این تنها یک راه دیگر است که میتوانید تجربه ورود به سیستم را برای کاربران خود روانتر کنید.
توانمندسازی کاربران با صفحه مدیریت رمز عبور
برای تجربه پیشرفته کلیدهای عبور، پیشنهاد میکنیم یک صفحه مدیریت کلیدهای عبور اختصاصی با پشتیبانی از نامهای ارائهدهنده، زمانهای استفاده و کنترلهای واضح ایجاد کنید. این به کاربران کمک میکند تا تنظیمات خود را با اطمینان مدیریت کنند. شفافیت باعث ایجاد اعتماد میشود.
به چک لیست مدیریت رمزهای عبور مراجعه کنید.
بازیابی حساب کاربری انعطافپذیر
دستگاهها ممکن است گم شوند یا ارتقا یابند. کلیدهای عبور ذاتاً مقاوم هستند زیرا از محافظت در سطح سختافزاری استفاده میکنند و معمولاً در فضای ابری همگامسازی میشوند و به کاربران امکان میدهند آنها را در دستگاه جدید بازیابی کنند. با این حال، داشتن یک جایگزین مانند یک آدرس ایمیل تأیید شده تضمین میکند که کاربران شما هرگز دسترسی به زندگی دیجیتال خود را از دست نمیدهند.
به جای اینکه کسی را برای تماس با پشتیبانی منتظر بگذارید، میتوانید با استفاده از سیگنالهایی که از قبل به آنها اعتماد دارید، مانند احراز هویت یا تأیید ایمیل، ثابت کنید که آنها مالک هستند.
ترکیب این سیگنالها در یک استراتژی بازیابی به شما امکان میدهد دسترسی را درجا بازیابی کنید. به محض بازگشت آنها، فوراً یک رمز عبور جدید ثبت کنید تا دوباره از فیشینگ محافظت شوند.
محافظت از جلسات با DBSC
To protect users from account hijacks, keeping their session cookies safe is another important layer of defense. Device Bound Session Credentials (DBSC) is a way for you to bind a session to the hardware. This mitigates session hijacking because even if a cookie is stolen, only the same device can request a re-issue of the cookie, effectively adding another layer of security to your session.
DBSC یک ویژگی آزمایشی است که اکنون در ویندوز موجود است. میتوانید اطلاعات بیشتر در مورد این بهروزرسانی را در اطلاعیه Device Bound Session Credentials در ویندوز کسب کنید. ما همچنین در حال کار بر روی گسترش پشتیبانی DBSC به macOS هستیم.
مهارتهای عامل رمزهای عبور
ما مهارتهای مربوط به رمز عبور را که جنبههای زیادی از توضیحات این پست را پوشش میدهند، در پروژه راهنمای وب مدرن خود گنجاندهایم. به زودی یک پست وبلاگی بهطور خاص در مورد مهارتهای مربوط به رمز عبور منتشر خواهیم کرد.
آمادهاید تا آیندهی احراز هویت را بسازید؟
راهنماهای جامع ما را بررسی کنید و همین امروز مدرنسازی را شروع کنید: