Português (Brasil)
  • webauthn
  • chave de acesso
  • mfa

Coisas que você deve saber antes de integrar o WebAuthn

Introduz alguns conceitos básicos do WebAuthn, com o objetivo de ajudá-lo a tomar melhores decisões ao integrar o WebAuthn.

Sijie
Sijie
Developer

O WebAuthn oferece uma alternativa mais segura e amigável em comparação com as senhas tradicionais. Sua popularidade está em crescimento, com um número crescente de sites aderindo a essa tecnologia. Se você está ansioso para integrar o WebAuthn ao seu próprio site, não está sozinho. No entanto, como uma tecnologia relativamente nova, é provável que você tenha muitas dúvidas sobre ela.

Ao considerar a integração do WebAuthn em seu site ou aplicativo, entender esses conceitos e considerações essenciais ajudará você a tomar decisões informadas sobre se deve implementá-lo agora.

O que são WebAuthn e Chaves de Acesso?

Vamos esclarecer as definições:

  • Web Authentication API (WebAuthn) é uma extensão da API de Gerenciamento de Credenciais. Ela possibilita uma autenticação forte com criptografia de chave pública, permitindo autenticação em vários fatores (MFA) sem senha e segura sem a necessidade de textos SMS.
  • Chaves de Acesso representam uma intrigante alternativa baseada no WebAuthn para a abordagem convencional de "senha + segundo fator" que muitos de nós suportamos. Nesse contexto, as chaves de acesso são um caso de uso específico dentro do padrão WebAuthn.

Posso usar a chave de acesso em vários dispositivos?

Sim, você pode usar uma Chave de Acesso em vários dispositivos de duas maneiras:

  1. Sincronizando através de Gerenciadores de Senhas: Gerenciadores de senhas populares como o iCloud Keychain, Google Password Manager e 1Password permitem que você sincronize p. Chaves de Acesso marcadas como "cross-platform" na resposta de registro, como a tag "sincronizada" do GitHub, podem ser usadas em vários dispositivos.
  2. QR Code e Bluetooth: Outra abordagem é usar códigos QR e Bluetooth para fazer login a partir de outro dispositivo. Este método oferece flexibilidade para os usuários acessarem suas contas em diferentes plataformas.

Pode ser o único método de autenticação?

Absolutamente, o WebAuthn é um fator de autenticação altamente seguro. A Chave de Acesso contém uma "ID do usuário" e, durante a autenticação, o servidor recebe o "ID do usuário" verificado como o identificador. Este "ID do usuário" pode ser um identificador único universal (UUID) ou outros identificadores únicos, como e-mail, número de telefone ou nome de usuário. Os usuários podem optar por inserir seu "ID do usuário" primeiro e depois buscar uma Chave de Acesso válida ou selecionar uma Chave de Acesso de uma lista associada ao domínio atual.

Como está a compatibilidade hoje

O WebAuthn pode ser usado em um contexto seguro (HTTPS) e é suportado nas últimas versões da maioria dos navegadores. Para obter informações detalhadas sobre a compatibilidade, consulte a documentação MDN.

Domínio é o identificador-chave da chave de acesso

Nas ações WebAuthn, seja para registro ou autenticação, o "ID rp" (ID da parte dependente) é um campo obrigatório. Ele representa o nome de domínio hospedeiro da página da web atual. Se não corresponder ao domínio atual, o navegador rejeitará a solicitação. Isso significa que as Chaves de Acesso estão vinculadas a um domínio específico, e atualmente não há como migrar as Chaves de Acesso existentes para um domínio diferente. Além disso, as Chaves de Acesso não podem ser usadas em diferentes domínios. Para mais detalhes, consulte essa questão.

Comparando com o aplicativo autenticador (TOTP)

Comparando o WebAuthn com os métodos tradicionais de autenticação de dois fatores, como senhas de uso único baseadas em tempo (TOTP) e aplicativos autenticadores, revela várias vantagens. O WebAuthn oferece uma experiência de autenticação mais amigável e segura. Ao contrário do TOTP, que requer a entrada manual de um código constantemente alterado, ou aplicativos autenticadores que podem ser comprometidos se o dispositivo for roubado, o WebAuthn depende de hardware seguro e biometria para um processo de autenticação robusto e sem problemas.

No entanto, é importante notar que o TOTP ainda tem suas vantagens, como backup fácil e uso em vários dispositivos, tornando-o compatível com praticamente todos os dispositivos.

Conclusão

O WebAuthn é indiscutivelmente emocionante, mas como qualquer tecnologia revolucionária, é vital obter um entendimento completo antes de adotá-lo. Este artigo tem como objetivo equipá-lo com o conhecimento necessário para tomar decisões informadas sobre a integração do WebAuthn. Ao considerar seus possíveis benefícios, lembre-se de que estar informado é a sua chave para o sucesso. A propósito, fique atento porque o próximo grande recurso do Logto suportará o WebAuthn, oferecendo ainda mais possibilidades de autenticação segura e perfeita.

Experimente o Logto hoje