Cose che dovresti sapere prima di integrare WebAuthn

WebAuthn offre un'alternativa più sicura e user-friendly alle password tradizionali. La sua popolarità è in aumento, con un numero crescente di siti web che adottano questa tecnologia. Se sei impaziente di integrare WebAuthn nel tuo sito web, non sei solo. Tuttavia, essendo una tecnologia relativamente nuova, probabilmente avrai molte domande su di essa.

Quando consideri l'integrazione di WebAuthn nel tuo sito web o nella tua applicazione, la comprensione di questi concetti e considerazioni chiave ti aiuterà a prendere decisioni informate su se implementarla o meno.

Cos'è WebAuthn e cos'è Passkeys?#

Chiarifichiamo le definizioni:

• Web Authentication API (WebAuthn) è un'estensione di Credential Management API. Potenzia l'autenticazione forte con la crittografia a chiave pubblica, consentendo l'autenticazione multi-fattore (MFA) sicura e senza password senza la necessità di testi SMS.
• Passkeys rappresentano un'interessante alternativa basata su WebAuthn alla convenzionale "password + secondo fattore" abituale. In questo contesto, i passkey sono un caso d'uso specifico dello standard WebAuthn.

Posso usare passkey su più dispositivi#

Sì, puoi usare un Passkey su più dispositivi in due modi:

1. Sincronizzazione tramite Password Managers: I manager di password popolari come iCloud Keychain, Google Password Manager e 1Password consentono di sincronizzare i Passkeys. I passkey contrassegnati come "cross-platform" nella risposta di registrazione, come il tag "sincronizzato" di GitHub, possono essere utilizzati su vari dispositivi.
2. QRCode e Bluetooth: Un altro approccio consiste nell'utilizzo di codici QR e Bluetooth per l'accesso da un altro dispositivo. Questo metodo fornisce flessibilità agli utenti per accedere ai loro account su diverse piattaforme.

Può essere l'unico metodo di autenticazione#

Assolutamente sì, WebAuthn è un fattore di autenticazione altamente sicuro. Il Passkey contiene un "user ID", e durante l'autenticazione, il server riceve l'"user ID" verificato come identificatore. Questo "user ID" può essere un identificatore univoco universale (UUID) o altri identificatori unici come email, numero di telefono o nome utente. Gli utenti possono scegliere di inserire prima il loro "user ID" e poi cercare un Passkey valido o selezionare un Passkey da un elenco associato al dominio corrente.

Qual è la compatibilità oggi#

WebAuthn può essere utilizzato in un contesto sicuro (HTTPS) ed è supportato nelle ultime versioni della maggior parte dei browser. Per informazioni dettagliate sulla compatibilità, si prega di fare riferimento alla documentazione MDN.

Il dominio è l'identificatore chiave del passkey#

Nelle azioni di WebAuthn, sia per la registrazione che per l'autenticazione, l'"rp ID" (relying party ID) è un campo obbligatorio. Rappresenta il nome host del dominio della pagina web corrente. Se non corrisponde al dominio corrente, il browser rifiuterà la richiesta. Questo significa che i passkey sono legati a un dominio specifico, e attualmente non c'è modo di migrare passkey esistenti a un dominio diverso. Inoltre, i passkey non possono essere utilizzati tra domini diversi. Per maggiori dettagli, si prega di consultare questo problema.

Comparazione con l'applicazione autenticatore (TOTP)#

Confrontando WebAuthn con i metodi tradizionali di autenticazione a due fattori, come le Password Monouso basate sul Tempo (TOTP) e le app di autenticazione, si evidenziano diversi vantaggi. WebAuthn offre una esperienza di autenticazione più user-friendly e sicura. A differenza di TOTP, che richiede l'inserimento manuale di un codice in costante cambiamento, o delle app di autenticazione che possono essere compromesse se il dispositivo viene rubato, WebAuthn si basa su hardware sicuro e biometrie per un processo di autenticazione robusto e senza soluzione di continuità.

Tuttavia, è importante notare che TOTP ha ancora i suoi vantaggi, come il facile backup e l'uso su più dispositivi, rendendolo compatibile con quasi tutti i dispositivi.

Conclusione#

WebAuthn è indubbiamente eccitante, ma come ogni tecnologia rivoluzionaria, è fondamentale acquisire una comprensione completa prima di adottarla. Questo articolo mira a fornirti le conoscenze necessarie per prendere decisioni informate riguardo all'integrazione di WebAuthn. Mentre consideri i suoi potenziali benefici, tieni a mente che rimanere informato è la chiave del tuo successo. A proposito, rimani sintonizzato perché la prossima grande funzionalità di Logto supporterà WebAuthn, offrendo ancora più possibilità per un'autenticazione fluida e sicura.