Cosas que debes saber antes de integrar WebAuthn

WebAuthn proporciona una alternativa más segura y amigable para el usuario a las contraseñas tradicionales. Su popularidad está en aumento, con un número creciente de sitios web que adoptan esta tecnología. Si estás ansioso por integrar WebAuthn en tu propio sitio web, no estás solo. Sin embargo, como una tecnología relativamente nueva, es probable que tengas muchas preguntas al respecto.

Cuando consideres la integración de WebAuthn en tu sitio web o aplicación, comprender estos conceptos clave y consideraciones te ayudará a tomar decisiones informadas sobre si implementarlo ahora.

¿Qué son WebAuthn y Passkeys?#

Aclaremos las definiciones:

• API de autenticación web (WebAuthn) es una extensión de la API de administración de credenciales. Habilita una autenticación fuerte con criptografía de clave pública, permitiendo una autenticación multifactorial (MFA) segura y sin contraseñas sin necesidad de mensajes de texto SMS.
• Passkeys representan una intrigante alternativa basada en WebAuthn al enfoque convencional de "contraseña + segundo factor" que muchos de nosotros hemos soportado. En este contexto, las passkeys son un caso de uso específico dentro del estándar WebAuthn.

¿Puedo usar la passkey en varios dispositivos?#

Sí, puedes usar una Passkey en varios dispositivos de dos maneras:

1. Sincronización a través de administradores de contraseñas: administradores de contraseñas populares como iCloud Keychain, Google Password Manager y 1Password te permiten sincronizar p. Las claves marcadas como "plataforma cruzada" en la respuesta de registro, como la etiqueta "sincronizada" de GitHub, se pueden usar en varios dispositivos.
2. QRCode y Bluetooth: otro enfoque es usar códigos QR y Bluetooth para iniciar sesión desde otro dispositivo. Este método proporciona flexibilidad para que los usuarios accedan a sus cuentas en diferentes plataformas.

¿Puede ser el único método de autenticación?#

Absolutamente, WebAuthn es un factor de autenticación altamente seguro. La Passkey contiene una "ID de usuario", y durante la autenticación, el servidor recibe la "ID de usuario" verificada como identificador. Esta "ID de usuario" puede ser un identificador universalmente único (UUID) u otros identificadores únicos como correo electrónico, número de teléfono o nombre de usuario. Los usuarios pueden optar por ingresar primero su "ID de usuario" y luego buscar una Passkey válida o seleccionar una Passkey de una lista asociada con el dominio actual.

¿Cómo es la compatibilidad hoy en día?#

WebAuthn se puede utilizar en un contexto seguro (HTTPS) y es compatible con las últimas versiones de la mayoría de los navegadores. Para obtener información detallada sobre la compatibilidad, consulte la documentación de MDN.

El dominio es el identificador clave de passkey#

En las acciones de WebAuthn, ya sea para el registro o la autenticación, el "ID de rp" (ID de la parte confiable) es un campo obligatorio. Representa el nombre de host del dominio de la página web actual. Si no coincide con el dominio actual, el navegador rechazará la solicitud. Esto significa que las passkeys están vinculadas a un dominio específico y actualmente no hay forma de migrar las passkeys existentes a un dominio diferente. Además, las passkeys no se pueden utilizar en diferentes dominios. Para más detalles, consulte este problema.

Comparación con la aplicación de autenticación (TOTP)#

Comparar WebAuthn con métodos tradicionales de autenticación de dos factores, como contraseñas de un solo uso basadas en tiempo (TOTP) y aplicaciones de autenticación, revela varias ventajas. WebAuthn ofrece una experiencia de autenticación más amigable y segura para el usuario. A diferencia de TOTP, que requiere la entrada manual de un código que cambia constantemente, o las aplicaciones de autenticación que pueden verse comprometidas si se roba el dispositivo, WebAuthn se basa en hardware seguro y biométricas para un proceso de autenticación sólido y sin problemas.

Sin embargo, es importante tener en cuenta que TOTP todavía tiene sus ventajas, como un fácil respaldo y uso en diferentes dispositivos, lo que lo hace compatible con casi todos los dispositivos.

Conclusión#

WebAuthn es indudablemente emocionante, pero como cualquier tecnología revolucionaria, es vital obtener una comprensión completa antes de adoptarla. Este artículo tiene como objetivo equiparte con el conocimiento necesario para tomar decisiones informadas sobre la integración de WebAuthn. A medida que consideres sus posibles beneficios, ten en cuenta que estar informado es tu clave para el éxito. Por cierto, mantente sintonizado porque la próxima gran característica de Logto admitirá WebAuthn, ofreciendo aún más posibilidades para una autenticación sin problemas y segura.