Suporte a login sem senha com Passkeys

Olá,

Estou sugerindo suporte para o sistema Passkeys da Apple.

Qual é o grande avanço em relação a Discourse Apple Authentication?

No entanto, sob implementações anteriores, os usuários precisavam fazer login em cada site ou aplicativo com cada dispositivo antes de poderem usar a funcionalidade sem senha. Com este compromisso estendido, os usuários poderão acessar automaticamente sua chave de acesso em muitos de seus dispositivos, mesmo em novos, sem precisar se registrar novamente em cada conta. Além disso, as pessoas poderão usar a autenticação FIDO em seu dispositivo móvel para fazer login em um aplicativo ou site em um dispositivo próximo, independentemente da plataforma de sistema operacional ou navegador que estejam executando.

Acho que é apenas um protocolo refinado. Tenho certeza de que chegaremos a isso mais perto do lançamento do novo iOS.

Eu não sabia que isso era algo que o CDCK teria que implementar. Pensei que dependesse do navegador ou do sistema operacional?

E para ser claro, as passkeys não são um padrão criado pela Apple. Elas foram criadas pela FIDO Alliance. A Apple é apenas uma das muitas empresas que estão adotando o padrão.

As passkeys não são uma forma de SSO.

A implementação da Apple parecia muito mais diferente e interessante, mas talvez eu tenha interpretado mal algo durante a keynote…

Estou animado para ver como isso se desenvolverá assim que a Apple lançar suas novas versões do sistema operacional.

Envolvendo criptografia de chave pública/privada?

Sempre fico desconfiado quando a Apple está envolvida porque eles adoram criar esquemas proprietários para mantê-lo preso em seu ecossistema…

Supostamente, é baseado em um padrão aberto da FIDO Alliance. Google, Microsoft e outras grandes plataformas também estão a bordo.

A Apple afirma em seu site que funcionará com dispositivos não Apple, mas não fornece explicações sobre como eles conseguirão isso.

É suposto funcionar apenas nos seus dispositivos.

Felizmente, não é isso. É um padrão aberto.

A Apple não saberá como a Microsoft e o Google o implementam até que o façam.

Conforme discutido, as passkeys não são um sistema próprio da Apple. Elas nem sequer são um nome próprio.

As passkeys já são, na verdade, suportadas pelo Discourse, embora de forma imperfeita: elas assumem a forma de chaves de segurança WebAuthn. A única alteração que o Discourse precisa fazer para suportá-las adequadamente é permitir que uma chave de segurança seja usada em vez de uma senha, em vez de como uma forma de autenticação de dois fatores.

A Apple tem um vídeo sobre como implementar a experiência do usuário, e tenho certeza de que muitas outras empresas também o têm, mas resumirei os pontos relevantes aqui.

Para implementar o suporte perfeito para passkeys (doravante referidas como “chaves de segurança registradas”), o Discourse só precisa fazer as seguintes alterações:

1. Altere o modal de login para mostrar apenas o campo de senha se o usuário inserir o endereço de e-mail de uma conta sem chaves de segurança registradas. As passkeys devem ser apresentadas como padrão, não senhas. Se o usuário tiver ambos, trate a senha como uma opção de backup: como as passkeys têm um sistema para autenticar outros dispositivos, a única razão pela qual você usaria uma senha seria se o navegador for muito antigo para implementar o suporte a passkeys. Isso se tornará cada vez mais incomum.
2. Aceite uma chave de segurança registrada como a única fonte de autenticação: não solicite uma senha, não use nenhum método de autenticação multifator. Não há sentido em exigir um código TOTP, pois qualquer pessoa com a chave privada WebAuthn também teria o segredo compartilhado TOTP usado para gerar códigos de uso único. Este último é, na verdade, muito mais fácil de roubar, pois é gerado pela instância do Discourse em primeiro lugar: é um segredo compartilhado.
3. Permita que usuários com chaves de segurança registradas removam suas senhas.
4. Use apenas métodos de autenticação de dois fatores se o usuário usar uma senha.

Isso foi coberto em nossa especificação original para webauthn

No entanto, implementamos apenas o primeiro e mais comum método webauthn.

Bem, primeiro o fator WebAuthn é chamado de “passkeys” agora, e é hora de começar a considerar isso.

Para ilustrar que são a mesma coisa, é assim que o login na instância Discourse do Tor Project através do Safari no iOS 16 se parece atualmente, depois que eu insiro um e-mail e senha:

Passkey886×1920 57.1 KB

E no Safari no macOS Monterey (que é um ano mais antigo), usando a mesma chave:

image934×658 51.4 KB

Suspeito que o macOS Ventura mudará o idioma para corresponder ao iOS 16.

Essa é a principal inovação em relação ao WebAuthn existente da perspectiva do usuário, a propósito: você pode sincronizar a chave privada usando um gerenciador de senhas criptografado de ponta a ponta de sua escolha.

Já faz bem mais de 3-4 meses, não é? Então habilitar o suporte de primeiro fator poderia ser uma coisa?

Eu concordo em adicionar isso como uma opção de administrador opt-in, mas não acho que teremos tempo para trabalhar nisso por um ou dois meses.

Alguém estaria disposto a financiar isso em Marketplace?

Chegando ao Android também

Aposto que a implementação da Microsoft encontrará seu caminho para o Windows até o final do ano.

Assim que tivermos suporte para Android e iOS, acho que é um mandato claro para implementar isso para o Discourse. Como já foi lançado no lado da Apple, estamos esperando pelo Android agora.

Dois recursos estão sendo anunciados hoje para usuários que adotam cedo e se inscrevem no Programa Beta do Google Play Services e usam o Chrome Canary, com um lançamento estável previsto para “mais tarde este ano”:

O artigo foi escrito este mês, então pode ser lançado até o final de 2022?

Atualização

• As Passkeys agora estão estáveis no Chromium. (Observação: o Firefox ainda não suporta passkeys)
• Gerenciadores de senhas como Dashlane, 1password anunciaram suporte para passkeys

image1804×598 49.9 KB

É assim que o suporte a passkeys se parece a partir de 11 de dezembro.

fonte: Passkey support on Android and Chrome  |  Passkeys  |  Google for Developers

Além disso, há um vídeo de demonstração interessante no site https://www.passwordless.dev/

Acho que o Android já suporta passkeys