בנוסף לשיטות הכניסה הקיימות, צריך להטמיע שיטת אימות עמידה בפני פישינג, במיוחד מפתח גישה שמבוסס על FIDO או WebAuthn, או כניסה יחידה (SSO) מספק זהויות מאוחדות מקובל, כמו 'כניסה באמצעות חשבון Google'.
ההנחיה הזו מאפשרת לאבטח את האפליקציה ולפשט את תהליך הכניסה של המשתמשים, על ידי צמצום נקודות חולשה כמו עייפות מסיסמאות, מילוי פרטי כניסה גנובים ופישינג.
הטמעה נדרשת
כדי לעמוד בדרישות של AEP, האפליקציה שלכם צריכה להציע לפחות שיטת אימות מאושרת אחת שעמידה בפני פישינג (מפתחות גישה או ספק מאושר של כניסה יחידה (SSO)) בכניסה לחשבון, באופן בולט דומה.
- במקרה של מפתחות גישה, האימות מתבצע על ידי יצירה ואחזור של מפתחות גישה באמצעות Credential Manager API.
- אפליקציות שמשתמשות בכניסה באמצעות חשבון Google צריכות להיות משולבות באמצעות Credential Manager API. אפשר להשתמש גם בספקי SSO אחרים שאושרו, אבל מומלץ להשתמש בכניסה באמצעות חשבון Google כי היא מציעה תהליך אימות מודרני שמגן על המשתמשים מפני פישינג, וגם מספק חוויה עקבית בפלטפורמות שונות.
היכן ההנחיה חלה
ההנחיה הזו רלוונטית ל:
- אפליקציות שרוצות לעמוד בדרישות של AEP ודורשות מהמשתמשים להיכנס לחשבון.
- גורמי צורה של טלפונים, טאבלטים, מכשירים מתקפלים, מכשירי XR, מכשירי Wear ומכשירי Auto.
פטורים
ההנחיה הזו לא חלה על אפליקציות שלא תומכות באימות משתמשים או במצב מחובר.
בנוסף, אם לדעתכם יש ספקי זהויות מאוחדים שצריך לשקול אותם לצד הספקים המאושרים, אתם יכולים לשלוח אותם לבדיקה כאן.
ספקי זהויות מאוחדים קבילים לכניסה יחידה (SSO)
ספקי הזהויות המאוחדות הבאים מתקבלים לצורך דרישת הכניסה היחידה:
- כניסה באמצעות חשבון Google
- כניסה באמצעות Apple
- חשבון Microsoft (לצרכן)
- Shop.app
- התחברות לאמזון
- התחברות ל-GitHub
- כניסה ל-Discord
- Line או Kakao Login
- התחברות ל-WeChat
- התחברות באמצעות חשבון Facebook
הרשימה הזו נבדקת באופן תקופתי ככל שהמערכת האקולוגית של הזהויות המאוחדות מתפתחת. קריטריוני ההערכה כוללים:
- אמצעי בקרה לשמירה על בטיחות המשתמשים ועל הפרטיות שלהם
- חוויית המפתחים והשילוב (בהתאם ל-Credential Manager API המקורי של Android, תאימות לתקנים פתוחים)
- היקף הפעילות של הצרכנים
חומרי עזר ומשאבים שקשורים לתכונות
במקורות המידע הבאים מופיעים הנחיות להטמעה ופרטים טכניים על אימות עמיד בפני פישינג. מקורות המידע האלה הם לעיונך בלבד, ולא מפורטות בהם דרישות נוספות של התוכנית.