Polski
  • webauthn
  • klucz-dostępu
  • mfa

Rzeczy, które powinieneś wiedzieć przed zintegrowaniem WebAuthn

Przedstawiamy kilka podstawowych pojęć WebAuthn, które pomogą Ci podjąć lepsze decyzje podczas integracji WebAuthn.

Sijie
Sijie
Developer

WebAuthn zapewnia bezpieczniejszą i bardziej przyjazną dla użytkownika alternatywę dla tradycyjnych haseł. Jego popularność rośnie, a coraz więcej stron internetowych korzysta z tej technologii. Jeśli chcesz zintegrować WebAuthn ze swoją stroną internetową, nie jesteś sam. Jednak jako stosunkowo nowa technologia może budzić wiele pytań.

Przy rozważaniu integracji WebAuthn ze swoją stroną internetową lub aplikacją zrozumienie kluczowych koncepcji i czynników pomoże Ci podjąć świadome decyzje, czy zaimplementować to teraz.

Czym są WebAuthn i klucze dostępu?

Wyjaśnijmy definicje:

  • Web Authentication API (WebAuthn) to rozszerzenie Credential Management API. Umożliwia silne uwierzytelnianie za pomocą kryptografii klucza publicznego, co pozwala na logowanie bez haseł i bezpieczne uwierzytelnianie wieloskładnikowe (MFA) bez konieczności wysyłania tekstu SMS.
  • Klucze dostępu to intrygująca alternatywa oparta na WebAuthn dla tradycyjnego podejścia "hasło + drugi składnik", które wielu z nas znosi. W tym kontekście, klucze dostępu to specyficzny przypadek użycia w standardzie WebAuthn.

Czy mogę używać klucza dostępu na różnych urządzeniach

Tak, możesz używać klucza dostępu na wielu urządzeniach na dwa sposoby:

  1. Synchronizacja przez menedżerów haseł: Popularne menedżery haseł, takie jak iCloud Keychain, Google Password Manager i 1Password pozwalają na synchronizację kluczy dostępu. Klucze oznaczone jako "cross-platform" w odpowiedzi rejestracji, takie jak tag "synced" na GitHub, mogą być używane na różnych urządzeniach.
  2. Kod QR i Bluetooth: Innym podejściem jest używanie kodów QR i Bluetooth do zalogowania się z innego urządzenia. Ta metoda daje użytkownikom elastyczność w dostępie do swoich kont na różnych platformach.

Czy to może być jedyna metoda uwierzytelniania

Zdecydowanie tak, WebAuthn to wyjątkowo bezpieczny czynnik uwierzytelniania. Klucz dostępu zawiera "ID użytkownika", a podczas uwierzytelniania serwer otrzymuje zweryfikowane "ID użytkownika" jako identyfikator. To "ID użytkownika" może być uniwersalnie unikalnym identyfikatorem (UUID) lub innymi unikalnymi identyfikatorami, takimi jak e-mail, numer telefonu lub nazwa użytkownika. Użytkownicy mogą wybrać wprowadzenie najpierw swojego "ID użytkownika", a następnie szukać ważnego klucza dostępu lub wybrać klucz dostępu z listy powiązanej z bieżącą domeną.

Jak wygląda dzisiejsza kompatybilność

WebAuthn może być używany w bezpiecznym kontekście (HTTPS) i jest obsługiwany w najnowszych wersjach większości przeglądarek. Aby uzyskać szczegółowe informacje o kompatybilności, prosimy zobaczyć dokumentację MDN.

Domena jest kluczowym identyfikatorem klucza dostępu

W akcjach WebAuthn, zarówno podczas rejestracji, jak i uwierzytelniania, "rp ID" (relying party ID) jest obowiązkowym polem. Reprezentuje on domenę hosta bieżącej strony internetowej. Jeśli nie pasuje do bieżącej domeny, przeglądarka odrzuci żądanie. Oznacza to, że klucze dostępu są przypisane do konkretnej domeny, a obecnie nie ma możliwości przeniesienia istniejących kluczy do innej domeny. Co więcej, klucze dostępu nie mogą być używane na różnych domenach. Aby uzyskać więcej informacji, zobacz ten problem.

Porównanie z aplikacją uwierzytelniającą (TOTP)

Porównanie WebAuthn do tradycyjnych metod uwierzytelniania dwuskładnikowego, takich jak czasowe jednorazowe hasła (TOTP) i aplikacje uwierzytelniające, pokazuje kilka zalet. WebAuthn oferuje bardziej przyjazne dla użytkownika i bezpieczne doświadczenie uwierzytelniania. W przeciwieństwie do TOTP, które wymaga ręcznego wprowadzania ciągle zmieniającego się kodu, lub aplikacji uwierzytelniających, które mogą być narażone na atak, jeśli urządzenie zostanie skradzione, WebAuthn polega na bezpiecznym sprzęcie i biometrii dla bezproblemowego i solidnego procesu uwierzytelniania.

Jednakże ważne jest zauważenie, że TOTP nadal ma swoje zalety, takie jak łatwe tworzenie kopii zapasowych i użytkowanie na różnych urządzeniach, co sprawia, że jest kompatybilny z praktycznie wszystkimi urządzeniami.

Wnioski

WebAuthn jest niewątpliwie ekscytujący, ale jak każda przełomowa technologia, ważne jest uzyskanie pełnego zrozumienia przed jego przyjęciem. Ten artykuł ma na celu wyposażenie Cię w wiedzę niezbędną do podjęcia świadomych decyzji dotyczących integracji WebAuthn. Rozważając jego potencjalne korzyści, pamiętaj, że pozostanie na bieżąco jest kluczem do sukcesu. A propos, bądź na bieżąco, bo Logto wkrótce wprowadzi wsparcie dla WebAuthn, oferując jeszcze więcej możliwości dla bezproblemowego i bezpiecznego uwierzytelniania.

Spróbuj Logto dzisiaj