Implementieren Sie zusätzlich zu den vorhandenen Anmeldemethoden eine phishingresistente Authentifizierungsmethode, insbesondere einen auf FIDO oder WebAuthn basierenden Passkey oder die Einmalanmeldung über einen akzeptierten föderierten Identitätsanbieter wie „Über Google anmelden“.
Diese Richtlinie schützt Ihre App und vereinfacht die Anmeldung für Nutzer, indem sie Schwachstellen wie Passwortmüdigkeit, Credential Stuffing und Phishing minimiert.
Erforderliche Implementierung
Damit Ihre App für das AEP infrage kommt, muss sie bei der Anmeldung mindestens eine genehmigte phishingresistente Authentifizierungsmethode (Passkeys oder ein genehmigter Anbieter für die Einmalanmeldung) auf ähnliche Weise anbieten.
- Bei Passkeys wird dies durch das Erstellen und Abrufen von Passkeys über die Credential Manager API überprüft.
- Apps, die „Über Google anmelden“ verwenden, müssen über die Credential Manager API eingebunden werden. Andere genehmigte SSO-Anbieter sind zwar zulässig, aber „Über Google anmelden“ wird empfohlen, da es einen modernen Authentifizierungsablauf bietet, der Nutzer vor Phishing schützt und gleichzeitig eine einheitliche plattformübergreifende Nutzererfahrung ermöglicht.
Anwendbarkeit der Richtlinie
Diese Richtlinie gilt für:
- Apps, die für das AEP infrage kommen möchten und eine Nutzeranmeldung erfordern.
- Smartphones, Tablets, faltbare Geräte, XR-Geräte, Wearables und Auto-Formfaktoren.
Ausnahmen
Diese Richtlinie gilt nicht für Apps, die keine Nutzerauthentifizierung oder keinen angemeldeten Status unterstützen.
Außerdem können Sie hier alternative föderierte Identitätsanbieter zur Bewertung einreichen, wenn Sie der Meinung sind, dass sie neben den akzeptierten Anbietern berücksichtigt werden sollten.
Akzeptierte föderierte Identitätsanbieter für die Einmalanmeldung
Die folgenden föderierten Identitätsanbieter für Verbraucher werden für die Anforderung zur Einmalanmeldung akzeptiert:
- Über Google anmelden
- Über Apple anmelden
- Microsoft-Konto (Verbraucher)
- Shop.app
- Amazon-Anmeldung
- GitHub-Anmeldung
- Discord-Anmeldung
- Line- oder Kakao-Anmeldung
- WeChat-Anmeldung
- Facebook-Anmeldung
Diese Liste wird regelmäßig überprüft, da sich das Ökosystem der föderierten Identitäten weiterentwickelt. Zu den Bewertungskriterien gehören:
- Steuerungsmöglichkeiten für Nutzersicherheit und Datenschutz
- Entwickler- und Einbindungserfahrung (in Übereinstimmung mit der nativen Android Credential Manager API, Einhaltung offener Standards)
- Aktive Verbraucherpräsenz
Dokumentation und Ressourcen zu Funktionen
Die folgenden Ressourcen enthalten Implementierungsleitfäden und technische Details zur phishingresistenten Authentifizierung. Diese Ressourcen dienen nur als Referenz und enthalten keine zusätzlichen Programmanforderungen.