Svenska
  • webauthn
  • passkey
  • mfa

Saker du bör veta innan du integrerar WebAuthn

Introducera några grundläggande koncept av WebAuthn, med målet att hjälpa dig att fatta bättre beslut när du integrerar WebAuthn.

Sijie
Sijie
Developer

WebAuthn erbjuder ett mer säkert och användarvänligt alternativ till traditionella lösenord. Dess popularitet ökar, med allt fler webbplatser som anammar denna teknik. Om du är ivrig att integrera WebAuthn på din egen webbplats är du inte ensam. Men som en relativt ny teknik har du förmodligen många frågor om den.

När du överväger att integrera WebAuthn på din webbplats eller applikation, kommer en förståelse av dessa nyckelkoncept och överväganden hjälpa dig att fatta informerade beslut om huruvida du ska implementera det nu.

Vad är WebAuthn och Passkeys?

Låt oss klargöra definitionerna:

  • Web Authentication API (WebAuthn) är en förlängning av Credential Management API. Den möjliggör stark autentisering med publik nyckelkryptografi, vilket möjliggör lösenordslös och säker flerfaktorsautentisering (MFA) utan behov av SMS-meddelanden.
  • Passkeys representerar ett intressant WebAuthn-baserat alternativ till det konventionella "lösenord + andra-faktor"-upplägget som många av oss har uthärdat. I detta sammanhang är passkeys ett specifikt användningsfall inom WebAuthn-standarden.

Kan jag använda passkey över flera enheter?

Ja, du kan använda en passkey på flera enheter på två sätt:

  1. Synkronisering genom lösenordshanterare: Populära lösenordshanterare som iCloud-nyckelring, Google Password Manager och 1Password låter dig synkronisera passkeys. Passkeys markerade som "plattformöverskridande" i registreringssvaret, som GitHubs "synkade" tag, kan användas på olika enheter.
  2. QR-kod och Bluetooth: Ett annat sätt är att använda QR-koder och Bluetooth för att logga in från en annan enhet. Denna metod ger flexibilitet för användare att komma åt sina konton på olika plattformar.

Kan det vara den enda autentiseringsmetoden?

Absolut, WebAuthn är en mycket säker autentiseringsfaktor. Passkey innehåller ett "user ID", och under autentiseringen får servern det verifierade "user ID" som identifieraren. Detta "user ID" kan vara en universellt unik identifierare (UUID) eller andra unika identifierare som e-post, telefonnummer eller användarnamn. Användare kan välja att först ange sitt "user ID" och sedan söka efter en giltig passkey eller välja en passkey från en lista som är associerad med den aktuella domänen.

Hur är kompatibiliteten idag?

WebAuthn kan användas i ett säkert sammanhang (HTTPS) och stöds i de senaste versionerna av de flesta webbläsare. För detaljerad kompatibilitetsinformation, vänligen se MDN-dokumentationen.

Domän är nyckelidentifieraren för passkey

I WebAuthn-åtgärder, oavsett om det gäller registrering eller autentisering, är "rp ID" (relying party ID) ett obligatoriskt fält. Det representerar domänens värdnamn på den aktuella webbsidan. Om det inte matchar den aktuella domänen kommer webbläsaren att avvisa förfrågan. Detta innebär att passkeys är bundna till en specifik domän, och det finns för närvarande inget sätt att migrera befintliga passkeys till en annan domän. Dessutom kan passkeys inte användas över olika domäner. För mer information, var god se denna fråga.

Jämförelse med autentiseringsappar (TOTP)

Jämfört med traditionella tvåfaktorsautentiseringsmetoder som tidsbaserade engångslösenord (TOTP) och autentiseringsappar, erbjuder WebAuthn flera fördelar. WebAuthn erbjuder en mer användarvänlig och säker autentiseringsupplevelse. Till skillnad från TOTP, som kräver manuell inmatning av en ständigt förändrande kod, eller autentiseringsappar som kan komprometteras om enheten blir stulen, förlitar sig WebAuthn på säker hårdvara och biometrik för en sömlös och robust autentiseringsprocess.

Det är dock viktigt att notera att TOTP fortfarande har sina fördelar, såsom enkel säkerhetskopiering och användning över flera enheter, vilket gör det kompatibelt med nästan alla enheter.

Slutsats

WebAuthn är utan tvekan spännande, men som med vilken banbrytande teknik som helst, är det viktigt att få en omfattande förståelse innan man omfamnar den. Denna artikel syftar till att förse dig med den kunskap som behövs för att fatta informerade beslut om WebAuthn-integration. När du överväger dess potentiella fördelar, kom ihåg att hålla dig informerad är din nyckel till framgång. För övrigt, håll utkik eftersom Logto's nästa stora funktion kommer att stödja WebAuthn, vilket erbjuder ännu fler möjligheter för sömlös och säker autentisering.

Testa Logto idag