Pular para o conteúdo principal

Passkeys (WebAuthn)

Passkey oferece uma alternativa mais segura e amigável às senhas tradicionais. Utilizando criptografia de chave pública, o passkey aumenta a segurança ao vincular o dispositivo do usuário, o domínio do serviço e o ID do usuário, combatendo efetivamente ataques de phishing e de senha. Compatível com vários dispositivos ou navegadores, permite que os usuários utilizem biometria e recursos de segurança de hardware para uma autenticação conveniente. WebAuthn fornece a API para que sites implementem passkey.

O Logto agora suporta passkey (WebAuthn) para Autenticação Multifatorial (MFA). O recurso de login com passkey estará disponível em breve. Fique atento para atualizações.

Conceitos

Os clientes geralmente conhecem Passkeys em vez de WebAuthn, então qual é a relação entre eles e como usá-los? Vamos explorar esses conceitos:

  • Passkeys: Um passkey é uma credencial baseada em FIDO, resistente a phishing, para substituir senhas. Utiliza criptografia assimétrica de chave pública para maior segurança. Pode ser tokens de hardware ou chaves de segurança, como dispositivos USB ou Bluetooth. Como "Passkeys" é o método de autenticação exibido aos usuários, deve ser utilizado no cliente do seu produto.
  • WebAuthn: É uma API JavaScript desenvolvida pela W3C e FIDO Alliance, que capacita a autenticação de aplicações web com os padrões FIDO2. Passkeys é um dos métodos de autenticação suportados pelo WebAuthn. No Console do Logto, nos referimos profissionalmente a essa integração como "WebAuthn".

O WebAuthn oferece diversos autenticadores para os usuários escolherem, disponíveis em dois tipos para uso local e em nuvem:

  • Autenticador de plataforma (autenticador interno): Está vinculado a um único e específico sistema operacional de dispositivo, como computador, laptop, celular ou tablet, com o qual o usuário faz login. Funciona exclusivamente no dispositivo para autorização usando métodos como biometria ou código de acesso do dispositivo, sendo uma forma rápida de autenticar. Exemplo: iCloud Keychain verificado por Touch ID, Face ID ou código de acesso do dispositivo no macOS ou iOS; Windows Hello verificado por reconhecimento facial, impressão digital ou PIN amigável.
  • Autenticador itinerante (autenticador externo, autenticador multiplataforma): É um dispositivo portátil separado ou aplicativo de software, como uma chave de segurança de hardware ou um smartphone. Deve conectar o dispositivo usando USB ou manter NFC ou Bluetooth ativados. O autenticador itinerante não se limita a um único dispositivo ou navegador, proporcionando maior flexibilidade.

Para se aprofundar nos princípios e processos do WebAuthn, consulte nossos posts no blog: WebAuthn e Passkeys 101 e Coisas que você deve saber antes de integrar o WebAuthn.

Atenção às limitações

É essencial estar atento a algumas limitações ao implementar o WebAuthn:

  1. Limitação de plataforma e navegador: É importante observar que o Logto atualmente não oferece suporte ao WebAuthn para aplicativos nativos. Além disso, a disponibilidade dos autenticadores WebAuthn depende das capacidades do navegador e do dispositivo (Confira a lista). Portanto, o WebAuthn nem sempre é a única opção para implementar Autenticação Multifatorial (MFA); caso contrário, você pode controlar quais navegadores e dispositivos podem acessar seu produto.
  2. Limitação de domínio: Alterar o domínio pode dificultar a verificação do usuário por meio de suas contas WebAuthn existentes. Passkeys são vinculados ao domínio específico da página web atual e não podem ser usados entre domínios diferentes.
  3. Limitação de dispositivo: Perder o dispositivo pode resultar em perda de acesso às contas, especialmente para quem depende de Autenticadores de Plataforma "Este dispositivo". Para melhorar o acesso à autenticação, é recomendável fornecer aos usuários mais de um fator de autenticação.

Fluxos de autenticação

A especificação Passkeys exige que os usuários cliquem ativamente no botão da página atual para iniciar o componente de autenticação. Isso significa que, tanto nos fluxos de configuração quanto de verificação, os usuários devem ser redirecionados para a página inicial para iniciar o WebAuthn.

  • Fluxos de configuração de passkey
Fluxo de configuração do WebAuthn
  • Fluxos de verificação de passkey
Fluxo de verificação do WebAuthn

Coisas que você deve saber antes de integrar o WebAuthn

 WebAuthn e Passkey 101