Русский
  • webauthn
  • passkey
  • mfa

Вещи, которые вы должны знать перед интеграцией WebAuthn

Введение в некоторые основные концепции WebAuthn, призванных помочь вам принять лучшие решения при интеграции WebAuthn.

Sijie
Sijie
Developer

WebAuthn предоставляет более безопасную и удобную для пользователя альтернативу традиционным паролям. Его популярность растет, все больше и больше сайтов принимают эту технологию. Если вы стремитесь интегрировать WebAuthn на свой собственный сайт, вы не одиноки. Однако, как относительно новая технология, у вас наверняка есть много вопросов по этому поводу.

При рассмотрении интеграции WebAuthn на ваш сайт или в приложение понимание этих ключевых концепций и основных моментов поможет вам принять обоснованные решения о том, стоит ли его реализовывать сейчас.

Что такое WebAuthn и Passkeys?

Давайте проясним определения:

  • Web Authentication API (WebAuthn) является продолжением Credential Management API. Он обеспечивает сильную аутентификацию с помощью криптографии с открытым ключом, позволяя безопасную двухфакторную аутентификацию (MFA) без необходимости отправки текстовых SMS.
  • Passkeys представляют собой интригующую альтернативу на основе WebAuthn традиционному подходу "пароль + второй фактор", которым многие из нас приходилось сталкиваться. В данном контексте passkeys - это конкретный случай использования стандарта WebAuthn.

Можно ли использовать ключи доступа с разными устройствами

Да, вы можете использовать ключ доступа на нескольких устройствах двумя способами:

  1. Синхронизация через менеджеры паролей: Популярные менеджеры паролей, такие как iCloud Keychain, Google Password Manager и 1Password, позволяют синхронизировать Passkeys. Ключи доступа, отмеченные как "кросс-платформенные" в ответе при регистрации, например, метка "синхронизировано" от GitHub, могут использоваться на различных устройствах.
  2. QRCode и Bluetooth: Другой подход состоит в использовании QR-кодов и Bluetooth для авторизации с другого устройства. Этот метод обеспечивает гибкость для пользователей для доступа к их учетным записям на различных платформах.

Может ли это быть единственный метод аутентификации

Абсолютно, WebAuthn - это высоко защищенный фактор аутентификации. Passkey содержит "user ID", и в процессе аутентификации сервер получает подтвержденный "user ID" в качестве идентификатора. Этот "user ID" может быть универсально уникальным идентификатором (UUID) или другими уникальными идентификаторами, такими как электронная почта, телефонный номер или имя пользователя. Пользователи могут выбрать ввод своего "user ID" первым, а затем искать действительный ключ доступа или выбрать ключ доступа из списка, связанного с текущим доменом.

Какова совместимость сегодня

WebAuthn может использоваться в безопасном контексте (HTTPS) и поддерживается в последних версиях большинства браузеров. Для получения подробной информации о совместимости, пожалуйста, обратитесь к документации MDN.

Домен - ключевой идентификатор ключа доступа

В действиях WebAuthn, будь то регистрация или аутентификация, "rp ID" (идентификатор надежной стороны) является обязательным полем. Он представляет доменное имя хоста текущей веб-страницы. Если оно не соответствует текущему домену, браузер отклонит запрос. Это означает, что ключи доступа привязаны к конкретному домену, и в настоящее время нет способа миграции существующих ключей доступа на другой домен. Кроме того, ключи доступа не могут использоваться в разных доменах. Для получения дополнительной информации, пожалуйста, смотрите этот вопрос.

Сравнение с приложением-аутентификатором (TOTP)

Сравнение WebAuthn с традиционными методами двухфакторной аутентификации, такими как пароли на основе времени (TOTP) и приложения-аутентификаторы, выявляет ряд преимуществ. WebAuthn предлагает более удобный и безопасный опыт аутентификации. В отличие от TOTP, который требует ручного ввода постоянно изменяющегося кода, или приложений-аутентификаторов, которые могут быть скомпрометированы, если устройство будет украдено, WebAuthn полагается на безопасное оборудование и биометрию для бесшовного и надежного процесса аутентификации.

Однако важно отметить, что TOTP все еще имеет свои преимущества, такие как простое резервное копирование и использование с различными устройствами, что делает его совместимым почти со всеми устройствами.

Заключение

WebAuthn безусловно интересен, но как и любая прорывная технология, предварительное всестороннее понимание - важное условие для его принятия. Цель этой статьи - познакомить вас с необходимыми знаниями для принятия обоснованных решений относительно интеграции WebAuthn. При его рассмотрении учитывайте его потенциальные преимущества, помните, что оставаться в курсе событий - ваш ключ к успеху. Кстати, следите за новостями, потому что следующая большая функция Logto будет поддерживать WebAuthn, что открывает еще больше возможностей для бесшовной и безопасной аутентификации.

Попробуйте Logto сегодня