Português (Portugal)
  • webauthn
  • passkey
  • mfa

Coisas que deve saber antes de integrar o WebAuthn

Apresentar alguns conceitos básicos do WebAuthn, com o objetivo de ajudá-lo a tomar melhores decisões ao integrar o WebAuthn.

Sijie
Sijie
Developer

O WebAuthn oferece uma alternativa mais segura e amigável ao usuário em relação às senhas tradicionais. A sua popularidade está em alta, com um número crescente de sites aderindo a esta tecnologia. Se você está ansioso para integrar o WebAuthn no seu próprio site, você não está sozinho. No entanto, sendo uma tecnologia relativamente nova, é provável que tenha muitas perguntas sobre ela.

Ao considerar a integração do WebAuthn no seu site ou aplicação, a compreensão destes conceitos-chave e considerações ajudará você a tomar decisões informadas sobre se implementá-lo agora.

O que são WebAuthn e Passkeys?

Vamos esclarecer as definições:

  • Web Authentication API (WebAuthn) é uma extensão do Credential Management API. Empodera uma autenticação forte com criptografia de chave pública, possibilitando autenticação multifator sem senha e segura (MFA) sem a necessidade de textos SMS.
  • Passkeys representam uma alternativa intrigante baseada no WebAuthn para a abordagem convencional de "senha + segundo fator" que muitos de nós suportamos. Neste contexto, passkeys são um caso de uso específico dentro do padrão WebAuthn.

Posso usar a chave de passagem em vários dispositivos

Sim, você pode usar um Passkey em vários dispositivos de duas maneiras:

  1. Sincronização através de Gerenciadores de Senha: Gerenciadores de senha populares como iCloud Keychain, Google Password Manager e 1Password permitem que você sincronize p. Passkeys marcados como "cross-platform" na resposta de registro, como a tag "sincronizada" do GitHub, podem ser usados em vários dispositivos.
  2. QRCode e Bluetooth: Outra abordagem é usar códigos QR e Bluetooth para fazer login a partir de outro dispositivo. Este método oferece flexibilidade para os usuários acessarem suas contas em diferentes plataformas.

Pode ser o único método de autenticação

Absolutamente, WebAuthn é um fator de autenticação altamente seguro. O Passkey contém um "ID do usuário", e durante a autenticação, o servidor recebe o "ID do usuário" verificado como o identificador. Este "ID do usuário" pode ser um indentificador universalmente único (UUID) ou outros identificadores únicos como email, número de telefone ou nome de usuário. Os usuários podem escolher inserir primeiro o seu "ID do usuário" e depois procurar um Passkey válido ou selecionar um Passkey de uma lista associada ao domínio atual.

Qual é a compatibilidade hoje

WebAuthn pode ser usado em um contexto seguro (HTTPS) e é suportado nas versões mais recentes da maioria dos navegadores. Para obter informações detalhadas de compatibilidade, consulte a documentação da MDN.

Domínio é o identificador chave de passkey

Nas ações do WebAuthn, seja para registro ou autenticação, o "ID do RP" (ID da parte confiável) é um campo obrigatório. Representa o domínio do hostname da página web atual. Se este não corresponder ao domínio atual, o navegador rejeitará a solicitação. Isto significa que as passkeys estão vinculadas a um domínio específico, e atualmente não há como migrar passkeys existentes para um domínio diferente. Além disso, passkeys não podem ser usadas em diferentes domínios. Para mais detalhes, verifique esta questão.

Comparação com app de autenticador (TOTP)

Comparando WebAuthn com métodos tradicionais de autenticação de dois fatores, como Time-based One-Time Passwords (TOTP) e aplicativos Authenticator, revela várias vantagens. WebAuthn oferece uma experiência de autenticação mais amigável e segura. Diferentemente de TOTP, que requer entrada manual de um código em constante mudança, ou aplicativos Authenticator que podem ser comprometidos se o dispositivo for roubado, WebAuthn depende de hardware seguro e biometria para um processo de autenticação robusto e sem problemas.

No entanto, é importante notar que TOTP ainda tem suas vantagens, como backup fácil e uso em multiplataforma, tornando-o compatível com quase todos os dispositivos.

Conclusão

WebAuthn é indiscutivelmente excitante, mas como qualquer tecnologia inovadora, é essencial adquirir uma compreensão abrangente antes de abraçá-la. Este artigo pretende equipá-lo com o conhecimento necessário para tomar decisões informadas sobre a integração do WebAuthn. Ao considerar seus benefícios potenciais, lembre-se de que manter-se informado é a chave para o seu sucesso. A propósito, fique atento porque a próxima grande funcionalidade do Logto suportará WebAuthn, oferecendo ainda mais possibilidades para uma autenticação segura e sem problemas.

Tente o Logto hoje