Login de Conta usando Chave Pública

Funcionalidade
1

Login no Discourse Sem nome de usuário, sem e-mail, sem senha.
Chaves públicas não exigem senha.
Como a 2FA deve ser mantida tanto no aplicativo quanto no site, ela pode impedir o registro de bots e evitar o esquecimento da chave pública.

Cadastre-se —> Gere a chave pública —> Vincule a 2FA TOTP

2FA é sua senha, 2FA como primeiro fator.

Faça login usando chave pública + 2FA.

Gerar chave pública
k41d9dfe789b8881c165e50f035aad1f286f88f2b33d97d10c198a4df37ae16f756f8a6b3520f2899eb19c321ef357e3fccaf6af627527c10b7cce9af7be4dc9

O que eu preciso

Já registrei mais de 10 fóruns Discourse no navegador Win10 e Android, como F-droid, etc.

Mas esqueci meu nome de usuário e senha, e meu e-mail foi banido pelo provedor de e-mail.

2

Que benefício isso traria em relação ao padrão Passkey?

1 curtida
3

Passkey Ninguém usa, não é propício para backup e recuperação,
Passkey não é universal e depende excessivamente do navegador.

4

Todo mundo que conheço usa.

Espera… o quê :flushed_face:

O que estou perdendo desta vez?

1 curtida
5

Chave de acesso Você precisa ter um e-mail para fazer login para ativá-la.
Se eu não esquecer minha senha e meu e-mail for banido pelo operador. Como posso fazer login!

Chave pública + 2FA podem resolver este problema muito bem. Você deve vincular o 2FA durante o processo de registro.

Chave pública é o nome de usuário

6

Você precisará ter um bom domínio da terminologia e um design claro para propor algo concreto.

Por exemplo, por “2FA” você provavelmente quer dizer “TOTP”?

E “nome de usuário é chave pública” deixa muito a ser interpretado.

Enquanto isso, você poderia fazer um POC do seu esquema proposto implementando-o como um provedor DiscourseConnect (ou SAML ou oAuth…).

Além disso, em que cenário essa proposta melhora as coisas para o usuário final?

1 curtida
7

Não, não é.

Mas o problema real é que:

Não use contas de spam. Esse é o verdadeiro motivo. Mas em uma situação como essa, você deve tentar entrar em contato com o administrador e explicar. Ou crie uma nova conta e tente conectá-las.

2 curtidas
8

Só dando minha opinião aqui, eu uso passkeys:

Uma lista mostrando a data e hora em que as passkeys foram adicionadas e usadas pela última vez, juntamente com suas verificações cruzadas, e os tipos de passkeys como Yubikey A e Yubikey C também estão incluídos na lista. (Legenda por IA)
Uma lista mostrando a data e hora em que as passkeys foram adicionadas e usadas pela última vez, juntamente com suas verificações cruzadas, e os tipos de passkeys como Yubikey A e Yubikey C também estão incluídos na lista. (Legenda por IA)469×290 5.84 KB

Todos os principais navegadores suportam passkeys, tanto quanto sei?

2 curtidas