دستورالعمل AEP: احراز هویت مقاوم در برابر فیشینگ

علاوه بر هرگونه روش ورود به سیستم موجود، یک روش احراز هویت مقاوم در برابر فیشینگ، به ویژه کلید عبور مبتنی بر FIDO یا WebAuthn، یا ورود یکپارچه از یک ارائه دهنده هویت فدرال پذیرفته شده مانند ورود با Google را پیاده‌سازی کنید.

این دستورالعمل، برنامه شما را ایمن می‌کند و با کاهش آسیب‌پذیری‌هایی مانند خستگی از رمز عبور، پر کردن اطلاعات ورود و فیشینگ، ورود کاربر را ساده می‌کند.

پیاده‌سازی مورد نیاز

برای واجد شرایط بودن برای AEP، برنامه شما باید حداقل یک روش تأیید هویت مقاوم در برابر فیشینگ (کلیدهای عبور یا یک ارائه دهنده تأیید شده ورود یکپارچه) را در هنگام ورود به سیستم به روشی مشابه و برجسته ارائه دهد.

  • برای کلیدهای عبور، این امر با ایجاد و بازیابی کلیدهای عبور از طریق رابط برنامه‌نویسی مدیریت اعتبارنامه (Credential Manager API) تأیید می‌شود.
  • برنامه‌هایی که از ورود با گوگل استفاده می‌کنند باید از طریق رابط برنامه‌نویسی کاربردی مدیریت اعتبار (Credential Manager API) یکپارچه شوند. در حالی که سایر ارائه‌دهندگان تأیید شده‌ی SSO پذیرفته می‌شوند، ورود با گوگل توصیه می‌شود زیرا یک جریان احراز هویت مدرن ارائه می‌دهد که کاربران را از فیشینگ محافظت می‌کند و در عین حال یک تجربه‌ی سازگار و چند پلتفرمی را فراهم می‌کند.

کاربردپذیری دستورالعمل

این دستورالعمل در موارد زیر اعمال می‌شود:

  • برنامه‌هایی که می‌خواهند واجد شرایط AEP باشند و نیاز به ورود کاربر دارند.
  • فرم فاکتورهای گوشی، تبلت، تاشو، XR، Wear و Auto.

معافیت‌ها

این دستورالعمل برای برنامه‌هایی که از احراز هویت کاربر یا حالت ورود به سیستم پشتیبانی نمی‌کنند، اعمال نمی‌شود.

علاوه بر این، اگر معتقدید که ارائه‌دهندگان هویت فدرال جایگزین باید در کنار ارائه‌دهندگان پذیرفته‌شده در نظر گرفته شوند، می‌توانید آنها را برای ارزیابی در اینجا ارسال کنید.

ارائه دهندگان هویت فدرال پذیرفته شده برای SSO

ارائه‌دهندگان هویت فدرال مصرف‌کننده زیر برای الزام ورود یکپارچه پذیرفته می‌شوند:

  • با گوگل وارد شوید
  • با اپل وارد شوید
  • حساب مایکروسافت (مصرف‌کننده)
  • فروشگاه.اپ
  • ورود به سیستم آمازون
  • ورود به گیت‌هاب
  • ورود به سیستم دیسکورد
  • ورود به لاین یا کاکائو
  • ورود به وی چت
  • ورود به فیسبوک

این فهرست به صورت دوره‌ای با تکامل اکوسیستم هویت فدرال مورد بررسی قرار می‌گیرد. معیارهای ارزیابی عبارتند از:

  • کنترل‌های ایمنی و حریم خصوصی کاربر
  • تجربه توسعه‌دهنده و یکپارچه‌سازی (هماهنگ با API بومی مدیریت اعتبارنامه اندروید، انطباق با استانداردهای باز)
  • ردپای فعال مصرف‌کننده

مستندات و منابع ویژه

منابع زیر راهنمایی‌های پیاده‌سازی و جزئیات فنی در مورد احراز هویت مقاوم در برابر فیشینگ را ارائه می‌دهند. این منابع فقط برای مرجع شما هستند و شامل الزامات برنامه اضافی نمی‌شوند.