Selain metode login yang ada, terapkan metode autentikasi yang tahan terhadap phishing, khususnya kunci sandi berbasis FIDO atau WebAuthn, atau Single Sign-On dari penyedia identitas gabungan yang diterima seperti Login dengan Google.
Pedoman ini mengamankan aplikasi Anda dan menyederhanakan login pengguna dengan mengurangi kerentanan seperti kelelahan sandi, pengisian kredensial, dan phishing.
Implementasi yang diperlukan
Agar memenuhi syarat untuk AEP, aplikasi Anda harus berhasil menawarkan setidaknya satu metode autentikasi yang tahan terhadap phishing yang disetujui (Kunci Sandi atau penyedia Single Sign-On yang disetujui) saat login dengan cara yang sama-sama menonjol.
- Untuk Kunci Sandi, hal ini diverifikasi dengan membuat dan mengambil Kunci Sandi melalui Credential Manager API.
- Aplikasi yang menggunakan Login dengan Google harus diintegrasikan melalui Credential Manager API. Meskipun penyedia SSO lain yang disetujui diterima, Login dengan Google direkomendasikan karena menawarkan alur autentikasi modern yang melindungi pengguna dari phishing sekaligus memberikan pengalaman lintas platform yang konsisten dan andal.
Penerapan pedoman
Pedoman ini berlaku untuk:
- Aplikasi yang ingin memenuhi syarat untuk AEP dan memerlukan login pengguna.
- Faktor bentuk ponsel, tablet, perangkat foldable, XR, Wear, dan Auto.
Pengecualian
Pedoman ini tidak berlaku untuk aplikasi yang tidak mendukung autentikasi pengguna atau status login.
Selain itu, Anda dapat mengirimkan penyedia identitas gabungan alternatif untuk dievaluasi di sini jika Anda yakin penyedia tersebut harus dipertimbangkan bersama dengan penyedia yang diterima.
Penyedia Identitas Gabungan yang Diterima untuk SSO
Penyedia Identitas Gabungan Konsumen berikut diterima untuk persyaratan Single Sign-On:
- Login dengan Google
- Login dengan Apple
- Akun Microsoft (Konsumen)
- Shop.app
- Login Amazon
- Login GitHub
- Login Discord
- Login Line atau Kakao
- Login WeChat
- Login dengan Facebook
Daftar ini ditinjau secara berkala seiring perkembangan ekosistem identitas gabungan. Kriteria evaluasi mencakup:
- Kontrol privasi dan keamanan pengguna
- Pengalaman developer dan integrasi (sesuai dengan Credential Manager API Android native, kepatuhan terhadap standar terbuka)
- Jejak konsumen aktif
Dokumentasi dan referensi fitur
Referensi berikut memberikan panduan implementasi dan detail teknis tentang Autentikasi Tahan Phishing. Referensi ini hanya untuk referensi Anda dan tidak berisi persyaratan program tambahan.