X היא אפליקציית מדיה חברתית שמטרתה לעזור לכמעט 500 מיליון משתמשים ברחבי העולם לקבל את התמונה המלאה עם כל הפרשנויות בשידור חי – מחדשות ובידור ועד ספורט ופוליטיקה. לאחרונה, מפתחי X שיפצו את תהליך הכניסה לאפליקציית Android, כדי שהמשתמשים לא יפספסו אף שיחה שמעניינת אותם. באמצעות Credential Manager API, הצוות הטמיע אימות חדש באמצעות מפתחות גישה כדי לאפשר גישה מהירה, קלה ובטוחה יותר לאפליקציה.

כניסה לחשבון באמצעות מפתחות גישה

כיום, מערכות אימות מסורתיות שמבוססות על סיסמאות הן פחות מאובטחות ומועדות יותר להתקפות סייבר. משתמשים רבים בוחרים סיסמאות שקל לנחש, וגורמים זדוניים יכולים לפרוץ אותן בקלות באמצעות התקפות כוח ברוטלי. בנוסף, הם משתמשים באותן סיסמאות בכמה חשבונות, כך שאם סיסמה אחת נפרצת, כל החשבונות נפרצים.

מפתחות גישה נותנים מענה לדאגה הגוברת לגבי אבטחת חשבונות מפני סיסמאות חלשות ומתקפות פישינג, כי הם מבטלים לחלוטין את הצורך בסיסמאות. התכונה מספקת חוויית כניסה בטוחה וחלקה יותר, ומבטלת את הצורך של המשתמשים לזכור את שמות המשתמש או הסיסמאות שלהם.

קיילי מקרוברטס, ראש מחלקת הבטיחות ב-X, אמרה: "מפתחות גישה הם דרך פשוטה ומאובטחת יותר להתחבר לחשבון. הם מחליפים את הסיסמאות בקוד אימות או בנתונים ביומטריים כמו טביעות אצבע או זיהוי פנים". "בדקנו את האפשרות להשתמש במפתחות גישה כדי להקל על המשתמשים להיכנס לחשבונות שלהם בצורה בטוחה יותר, וכך לעזור להם להגן על החשבונות בלי הצורך לזכור סיסמאות".

מאז הטמעת מפתחות הגישה, צוות X הבחין בירידה משמעותית בזמני הכניסה ובמדדים שמצביעים על שיפור בתהליך הכניסה. עם מפתחות הגישה, שיעור הכניסה המוצלחת לאפליקציה הוכפל בהשוואה למצב שבו הסתמכו רק על סיסמאות. בנוסף, הצוות הבחין בירידה במספר הבקשות לאיפוס סיסמאות ממשתמשים שהפעילו מפתחות גישה.

לדברי מפתחים ב-X, אימוץ מפתחות גישה הביא ליתרונות נוספים מעבר לאבטחה משופרת ולחוויית כניסה פשוטה יותר, כמו עלויות נמוכות יותר ושיפור חוויית המשתמש.

"מפתחות הגישה אפשרו לנו לצמצם את ההוצאות שקשורות לאימות דו-שלבי מבוסס-SMS, כי הם מציעים אימות חזק ומוטמע", אומרת קיילי. "בזכות הכניסה הקלה לחשבון, יש סיכוי גבוה יותר שהמשתמשים יתחברו לפלטפורמה שלנו, כי הם לא צריכים לזכור סיסמאות או לאפס אותן".

מפתחות גישה מתבססים על קריפטוגרפיה של מפתח ציבורי כדי לאמת משתמשים ולספק להם מפתחות פרטיים. כלומר, אתרים ואפליקציות יכולים לראות את המפתח הציבורי ולשמור אותו, אבל הם אף פעם לא יכולים לראות את המפתח הפרטי. המפתח הפרטי מוצפן ונשמר על ידי ספק האישורים של המשתמש. המפתחות הם ייחודיים ומקושרים לאתר או לאפליקציה, ולכן אי אפשר להשיג אותם בפישינג, מה שמגביר את רמת האבטחה שלהם.

שילוב חלק באמצעות Credential Manager API

כדי לשלב מפתחות גישה, מפתחי X השתמשו ב-Credential Manager API של Android, שהפך את התהליך ל"חלק במיוחד", לדברי קיילי. ה-API מאחד את Smart Lock,‏ One Tap וכניסה באמצעות Google לתהליך עבודה יחיד ויעיל. השינוי הזה גם אפשר למפתחים להסיר מאות שורות קוד, מה ששיפר את ההטמעה וצמצם את עלויות התחזוקה.

בסופו של דבר, ההעברה אל Credential Manager נמשכה שבועיים בלבד עבור X מפתחים, ולאחר מכן עוד שבועיים כדי לתמוך באופן מלא במפתחות גישה. זו הייתה 'העברה מהירה מאוד' והצוות 'לא ציפה שזה יהיה כל כך פשוט וקל', אמר סוראב ארורה, מהנדס צוות ב-X. הודות ל-API הפשוט של Credential Manager, שמבוסס על קורוטינות, הסרנו את המורכבויות של טיפול בכמה אפשרויות אימות. כך צמצמנו את כמות הקוד, את הסיכוי לבאגים ואת המאמצים הכוללים של המפתחים.

X מפתחים נהנו משיפור משמעותי במהירות הפיתוח לאחר ששילבו את Credential Manager API. במסגרת המעבר שלהם לשימוש במפתחות גישה באמצעות Credential Manager API, הם השיגו:

• צמצום של 80% בכמות הקוד במודול האימות
• 90% resolution of legacy edge case bugs
• קיצור של 85% בכמות הקוד לטיפול ב-GIS, בכניסה בלחיצה אחת וב-Smart Lock

השימוש בשיטות ברמה העליונה של Credential Manager API, כמו createCredential ו-getCredential, מפשט את השילוב על ידי הסרת מורכבויות של לוגיקה מותאמת אישית שקשורות לפרוטוקולים נפרדים. הגישה האחידה הזו גם אפשרה למפתחים של X להשתמש בממשק יחיד ועקבי כדי לטפל בסוגים שונים של אימות, כמו מפתחות גישה, סיסמאות וכניסות מאוחדות כמו כניסה באמצעות חשבון Google.

"עם שיטות ה-API הפשוטות של Credential Manager, יכולנו לאחזר מפתחות גישה, סיסמאות ואסימונים מאוחדים בקריאה אחת, וכך לצמצם את ההסתעפות הלוגית ולטפל בתגובות בצורה נקייה יותר", אמר סוראב. "שימוש בשיטות שונות של API, כמו createCredential() ו-getCredential(), גם פישט את אחסון פרטי הכניסה, ואיפשר לנו לטפל בסיסמאות ובמפתחות גישה במקום אחד".

X מפתחים לא נתקלו בהרבה אתגרים כשיישמו את התכונה 'כניסה באמצעות חשבון Google' באמצעות Credential Manager API. החלפת הקוד הקודם של 'כניסה באמצעות חשבון Google', 'הקשה אחת' ו-Smart Lock ב-X בהטמעה פשוטה יותר של Credential Manager, פירושה שמפתחים לא צריכים יותר לטפל בסטטוסים של חיבור או ניתוק ובתוצאות של פעילות, וכך מצטמצם הסיכון לשגיאות.

עתיד עם מפתחות גישה

השילוב של מפתחות גישה ב-X מוכיח שאפשר ליצור חוויית אימות מאובטחת וידידותית יותר למשתמשים. באמצעות Credential Manager API, מפתחי X פישטו את תהליך השילוב, צמצמו את הסיכון לבאגים ושיפרו את האבטחה ואת מהירות הפיתוח – וכל זאת תוך שיפור חוויית המשתמש.

"ההמלצה שלנו למפתחים ששוקלים לשלב מפתחות גישה היא להשתמש ב-Credential Manager API", אומר סוראב. "הכלי הזה מפשט מאוד את התהליך ומפחית את כמות הקוד שצריך לכתוב ולתחזק, וכך משפר את ההטמעה עבור המפתחים".

בעתיד, X מתכננת לשפר עוד יותר את חוויית המשתמש על ידי מתן אפשרות להירשם באמצעות מפתחות גישה בלבד, ועל ידי הוספת מסך ייעודי לניהול מפתחות גישה.

שנתחיל?

כך משתמשים במפתחות גישה וב-Credential Manager API כדי לשפר את חוויית המשתמש בכניסה לאפליקציה.