Supporto per l'accesso senza password con Passkeys

Ciao,

Sto suggerendo il supporto per il sistema Passkeys di Apple.

Qual è il grande salto rispetto a Discourse Apple Authentication?

Tuttavia, in base alle implementazioni precedenti, gli utenti devono accedere a ciascun sito Web o app con ciascun dispositivo prima di poter utilizzare la funzionalità senza password. Con questo impegno esteso, gli utenti potranno accedere automaticamente alla propria passkey su molti dei loro dispositivi, anche quelli nuovi, senza dover ri-registrare ogni account. Inoltre, le persone potranno utilizzare l’autenticazione FIDO sul proprio dispositivo mobile per accedere a un’app o a un sito Web su un dispositivo vicino, indipendentemente dalla piattaforma del sistema operativo o dal browser in uso.

Immagino sia solo un protocollo raffinato. Sono sicuro che ci arriveremo più vicino alla nuova versione di iOS.

[quote=“The Dark Wizard, post:1, topic:229259, full:true, username:TheDarkWizard”]
Ciao,

Sto suggerendo il supporto per il sistema Passkeys di Apple.

https://developer.apple.com/documentation/authenticationservices/public-private_key_authentication/supporting_passkeys
[/quote]Non mi ero reso conto che questa fosse una cosa che CDCK dovesse implementare da sola. Pensavo dipendesse dal browser web o dal sistema operativo?

E giusto per essere chiari, le passkey non sono uno standard creato da Apple. Sono state create dalla FIDO Alliance. Apple è solo una delle tante aziende che sta adottando lo standard.

[quote=“Robert, post:2, topic:229259, full:true, username:merefield”]
Qual è il grande passo avanti rispetto al Plugin Sign in with Apple?
[/quote]Le passkey non sono una forma di SSO.

[quote=“Sam Saffron, post:3, topic:229259, username:sam”]
Immagino sia solo un protocollo raffinato. Sono sicuro che ci arriveremo più vicino alla nuova versione di iOS.
[/quote]L’implementazione di Apple sembrava molto diversa e interessante, ma forse ho frainteso qualcosa durante il keynote…

Sono entusiasta di vedere come si svilupperà una volta che Apple rilascerà le nuove versioni del suo sistema operativo.

Utilizza la crittografia a chiave pubblica/privata?\n\nSono sempre diffidente quando Apple è coinvolta perché ama creare schemi proprietari per tenerti bloccato nel loro ecosistema…

Dovrebbe essere basato su uno standard aperto della FIDO Alliance. Anche Google, Microsoft e altre piattaforme importanti sono a bordo.

Apple afferma sul suo sito che funzionerà con dispositivi non Apple, ma non fornisce alcuna spiegazione su come ci riuscirà.

Dovrebbe funzionare solo sui tuoi dispositivi.

Fortunatamente, non è questo il caso. È uno standard aperto.

Apple non saprà come Microsoft e Google lo implementeranno finché non lo faranno.

Come discusso, le passkey non sono un sistema proprietario di Apple. Non sono nemmeno un nome proprio.

Le passkey sono in realtà già supportate da Discourse, sebbene in modo imperfetto: si presentano sotto forma di chiavi di sicurezza WebAuthn. L’unica modifica che Discourse deve apportare per supportarle correttamente è consentire l’uso di una chiave di sicurezza al posto di una password, anziché come forma di autenticazione a due fattori.

Apple ha un video su come implementare l’UX, e sono sicuro che molte altre aziende lo facciano, ma riassumerò qui i punti rilevanti.

Per implementare il supporto perfetto per le passkey (d’ora in poi denominate “chiavi di sicurezza registrate”), Discourse deve apportare solo le seguenti modifiche:

1. Modificare la finestra di accesso per mostrare il campo della password solo se l’utente inserisce l’indirizzo email di un account senza chiavi di sicurezza registrate. Le passkey dovrebbero essere presentate come opzione predefinita, non le password. Se l’utente ha entrambe, trattare la password come un’opzione di backup: poiché le passkey hanno un sistema per autenticare altri dispositivi, l’unico motivo per cui si utilizzerebbe una password è se il browser fosse troppo vecchio per implementare il supporto delle passkey. Questo diventerà sempre meno comune.
2. Accettare una chiave di sicurezza registrata come unica fonte di autenticazione: non richiedere la password, non utilizzare alcun metodo di autenticazione a più fattori. Non ha senso richiedere un codice TOTP, poiché chiunque disponga della chiave privata WebAuthn avrebbe anche il segreto condiviso TOTP utilizzato per generare codici monouso. Quest’ultimo è in realtà molto più facile da rubare, poiché viene generato dall’istanza Discourse in primo luogo: è un segreto condiviso.
3. Consentire agli utenti con chiavi di sicurezza registrate di rimuovere le proprie password.
4. Utilizzare metodi di autenticazione a due fattori solo se l’utente utilizza una password.

Ciò è stato trattato nella nostra specifica originale per webauthn

Tuttavia, abbiamo implementato solo il primo e più comune metodo webauthn.

Beh, innanzitutto il fattore WebAuthn è ora chiamato “passkeys” ed è ora di iniziare a prenderlo in considerazione.

Per illustrare che sono la stessa cosa, ecco come appare attualmente l’accesso all’istanza Discourse di Tor Project tramite Safari in iOS 16, una volta inserita un’e-mail e una password:

Passkey886×1920 57.1 KB

E in Safari su macOS Monterey (che ha un anno in meno), usando la stessa chiave:

image934×658 51.4 KB

Sospetto che macOS Ventura cambierà la lingua per corrispondere a iOS 16.

Questa è la principale innovazione rispetto a WebAuthn esistente dal punto di vista dell’utente, tra l’altro: è possibile sincronizzare la chiave privata utilizzando un gestore di password crittografato end-to-end a tua scelta.

Sono già passati ben 3-4 mesi, vero? Quindi abilitare il supporto per il primo fattore potrebbe essere una cosa?

Vanno bene per aggiungerlo come opzione amministrativa facoltativa, ma non credo che avremo la larghezza di banda per lavorarci per uno o due mesi.

Qualcuno sarebbe disposto a finanziarlo in Marketplace?

Arriva anche su Android

Scommetterei che l’implementazione di Microsoft troverà la sua strada in Windows entro la fine dell’anno.

Una volta che avremo il supporto per Android e iOS, penso che sarà un chiaro mandato implementarlo per Discourse… dato che è stato rilasciato sul lato Apple, ora stiamo aspettando Android.

Oggi vengono annunciate due funzionalità per gli early adopter che si iscrivono alla beta dei Servizi Google Play e utilizzano Chrome Canary, con un lancio stabile previsto per “più avanti quest’anno”:

L’articolo è stato scritto questo mese, quindi potrebbe essere rilasciato entro la fine del 2022?

Aggiornamento

• Le passkey sono ora stabili su Chromium. (Nota: Firefox non supporta ancora le passkey)
• Password manager come Dashlane, 1password hanno annunciato il supporto per le passkey

image1804×598 49.9 KB

Questo è l’aspetto del supporto per le passkey a partire dall’11 dicembre.

fonte: Passkey support on Android and Chrome  |  Passkeys  |  Google for Developers

Inoltre, c’è un fantastico video dimostrativo sul sito https://www.passwordless.dev/

Penso che Android supporti ora le passkey.