Soporte para inicio de sesión sin contraseña con Passkeys

Hola,

Sugiero compatibilidad con el sistema Passkeys de Apple.

¿Cuál es el gran avance con respecto a Discourse Apple Authentication?

Sin embargo, según implementaciones anteriores, los usuarios tenían que iniciar sesión en cada sitio web o aplicación con cada dispositivo antes de poder utilizar la funcionalidad sin contraseña. Con este compromiso ampliado, los usuarios podrán acceder automáticamente a su passkey en muchos de sus dispositivos, incluso en los nuevos, sin tener que reinscribir cada cuenta. Además, las personas podrán utilizar la autenticación FIDO en su dispositivo móvil para iniciar sesión en una aplicación o sitio web en un dispositivo cercano, independientemente de la plataforma del sistema operativo o el navegador que estén utilizando.

Supongo que es solo un protocolo refinado. Estoy seguro de que lo abordaremos más cerca del lanzamiento del nuevo iOS.

[quote=“The Dark Wizard, post:1, topic:229259, full:true, username:TheDarkWizard”]
Hola,

Sugiero soporte para el sistema Passkeys de Apple.

https://developer.apple.com/documentation/authenticationservices/public-private_key_authentication/supporting_passkeys
[/quote]No me di cuenta de que esto es algo que CDCK tiene que implementar por sí mismo. ¿Pensé que dependía del navegador web o del sistema operativo?

Y para que quede claro, las passkeys no son un estándar creado por Apple. Fueron creadas por la FIDO Alliance. Apple es solo una de las muchas empresas que están adoptando el estándar.

[quote=“Robert, post:2, topic:229259, full:true, username:merefield”]
¿Cuál es el gran salto con respecto al Plugin Sign in with Apple?
[/quote]Las passkeys no son una forma de SSO.

[quote=“Sam Saffron, post:3, topic:229259, username:sam”]
Supongo que es solo un protocolo refinado. Estoy seguro de que llegaremos a él más cerca del lanzamiento del nuevo iOS.
[/quote]La implementación de Apple parecía mucho más diferente e interesante, pero tal vez interpreté algo mal durante la keynote…

Estoy emocionado de ver cómo se desarrolla esto una vez que Apple lance sus nuevas versiones de sistemas operativos.

¿Implica criptografía de clave pública/privada?

Siempre desconfío cuando Apple está involucrado porque le encanta crear esquemas propietarios para mantenerte atrapado en su ecosistema…

Se supone que se basa en un estándar abierto de la FIDO Alliance. Google, Microsoft y otras plataformas importantes también están a bordo.

Apple afirma en su sitio que funcionará con dispositivos no Apple, pero no da ninguna explicación sobre cómo lo lograrán.

Se supone que solo funciona en tus dispositivos.

Afortunadamente, este no es el caso. Es un estándar abierto.

Apple no sabrá cómo Microsoft y Google lo implementan hasta que lo hagan.

Como se discutió, las passkeys no son un sistema propio de Apple. Ni siquiera son un nombre propio.

Las passkeys ya son compatibles con Discourse, aunque de forma imperfecta: toman la forma de claves de seguridad WebAuthn. El único cambio que Discourse necesita hacer para admitirlas correctamente es permitir que una clave de seguridad se utilice en lugar de una contraseña, en lugar de como una forma de autenticación de dos factores.

Apple tiene un vídeo sobre cómo implementar la experiencia de usuario, y estoy seguro de que muchas otras empresas también lo tienen, pero aquí resumiré los puntos relevantes.

Para implementar el soporte perfecto para passkeys (en adelante, “claves de seguridad registradas”), Discourse solo necesita hacer los siguientes cambios:

1. Cambiar la ventana modal de inicio de sesión para que solo muestre el campo de contraseña si el usuario introduce la dirección de correo electrónico de una cuenta sin claves de seguridad registradas. Las passkeys deben presentarse como la opción predeterminada, no las contraseñas. Si el usuario tiene ambas, trate la contraseña como una opción de respaldo: dado que las passkeys tienen un sistema para autenticar otros dispositivos, la única razón por la que usaría una contraseña es si el navegador es demasiado antiguo para implementar el soporte de passkeys. Esto será cada vez menos común.
2. Aceptar una clave de seguridad registrada como la única fuente de autenticación: no solicitar una contraseña, no utilizar ningún método de autenticación multifactor. No tiene sentido exigir un código TOTP, ya que cualquiera que tenga la clave privada WebAuthn también tendría el secreto compartido TOTP utilizado para generar códigos de un solo uso. Este último es en realidad mucho más fácil de robar, ya que es generado por la instancia de Discourse en primer lugar: es un secreto compartido.
3. Permitir a los usuarios con claves de seguridad registradas eliminar sus contraseñas.
4. Utilizar métodos de autenticación de dos factores solo si el usuario utiliza una contraseña.

Eso se cubrió en nuestra especificación original para webauthn

Sin embargo, solo implementamos el primer y más común método webauthn.

Bueno, en primer lugar, el factor WebAuthn ahora se llama “passkeys” y es hora de empezar a considerarlo.

Para ilustrar que son lo mismo, así es como se ve actualmente el inicio de sesión en la instancia de Discourse de Tor Project a través de Safari en iOS 16, una vez que he introducido un correo electrónico y una contraseña:

Passkey886×1920 57.1 KB

Y en Safari en macOS Monterey (que es un año más antiguo), usando la misma clave:

image934×658 51.4 KB

Sospecho que macOS Ventura cambiará el idioma para que coincida con iOS 16.

Esa es la principal innovación sobre WebAuthn existente desde la perspectiva del usuario, por cierto: puedes sincronizar la clave privada utilizando un gestor de contraseñas cifrado de extremo a extremo de tu elección.

Ya han pasado más de 3-4 meses, ¿verdad? ¿Así que habilitar el soporte de primer factor podría ser una opción?

Estoy de acuerdo en añadir esto como una opción de administrador opcional, pero no creo que tengamos ancho de banda para trabajar en esto durante uno o dos meses.

¿Alguien estaría dispuesto a financiarlo en Marketplace?

También llegará a Android

Me atrevería a apostar que la implementación de Microsoft encontrará su camino en Windows a finales de año.

Una vez que tengamos soporte para Android y iOS, creo que es un mandato claro implementarlo para Discourse. Dado que se ha lanzado en el lado de Apple, ahora estamos esperando Android.

Hoy se anuncian dos funciones para los primeros usuarios que se inscriban en la beta de Google Play Services y utilicen Chrome Canary, con un lanzamiento estable previsto para “finales de este año”.

El artículo fue escrito este mes, ¿así que podría lanzarse a finales de 2022?

Actualización

• Las claves de acceso ya están disponibles de forma estable en Chromium. (Nota: Firefox aún no admite claves de acceso)
• Gestores de contraseñas como Dashlane y 1password anunciaron compatibilidad con claves de acceso.

image1804×598 49.9 KB

Así es la compatibilidad con claves de acceso a 11 de diciembre.

fuente: Passkey support on Android and Chrome  |  Passkeys  |  Google for Developers

Además, hay un video de demostración interesante en el sitio web https://www.passwordless.dev/

Creo que Android ya es compatible con passkeys