Grazie per la fiducia 😂💪🏻

Grazie! Fammi sapere come va la tua sperimentazione 👍🏻

💪🏻💪🏻

vero! per ora Google Cloud e iCloud Apple sembrano essere le soluzioni papabili. Ma se non erro le nuove versioni di android avranno la possibilità di far scegliere dove storare le passkey. Lascio questo link per chi volesse approfondire developers.google.com/identity/passkeys/faq?hl=it

Esatto, finchè non sarà possibile decidere dove tenere le passkey io non credo le adotterò.

Ci sta, make sense. Ma credo sia questione di poco, almeno su Android

Ciao! esatto generata lato server. La cosa importante è che sia (come dice lo standard) "An unpredictable challenge" in modo tale che si possa essere sicuri che la challenge sia la stessa di quella generata durante la richiesta. Questo per evitare replay attack. Immagino qualcosa di simile a un hash sha-256 di una stringa tipo "-----" o qualcosa del genere insomma. Si nell'esempio io scrivo le public key su file, ma non penso sia una cosa furba da fare. Molto probabilmente un database relazionale avrebbe più senso in questo caso (non ci ho ancora riflettuto molto). Secondo me conviene NON implementare una API per richiedere il valore della challenge, ma far generare il javascript server side (sia per la registrazione che per l'auth). Così su due piedi mi sembra più sicuro che esporre un metodo per rispondere con una challenge valida, anche se poi sarebbe difficile da usare in un processo di auth ex novo, ma non mi renderebbe tranquillo averlo.

​@@rev3rsesecurity quindi diciamo sarebbe preferibile una pagina generata in SSR (Server Side Rendering) , ma le informazioni che indichi per creare l'hash sono informazioni aggiunte dall'input dell'utente e dal browser (user agent e email), devo studiare meglio anche io :)

Secondo me sì, molto meglio server side probabilmente, almeno per la challenge che è la parte un po' più critica IMHO

Grazie a te! Credo che gestire una chiave pubblica per un sito sia meno impegnativo che gestire un database di password (se pur hashed). Credo che un'autenticazione basata su chiave pubblica/privata possa avere il duplice vantaggio di eliminare il problema delle password per l'utente ma anche per lo sviluppatore. Sono sicuro che la risposta la avremo tra non molto 🙂

Lasciare la tua chiave pubblica a terzi non rappresenta un problema, in che senso lasciare il controllo dei tuoi accessi?

Per usufruire di questo servizio devi avere un app che lo gestisce, questa app ha ovviamente l'accesso a tutte le chiavi. Di fatto questa app ha il controllo totale su quelle chiavi e di conseguenza sui siti per i quali usi questo tipo di accesso. Al di là di come lo pubblicizzano di fatto il proprietario dell'app ha il controllo completo sui tuoi accessi. Io sinceramente non ho molta fiducia in queste società tipo Google, Microsoft visto i trascorsi e preferisco avere la mia autonomia. Poi se vogliamo guardare queste società non sono certo filantrope e il loro guadagno è l'acquisizioni dati e un ulteriore controllo, se questo metodo dovesse prendere piede anche i siti coinvolti che saranno vincolati. Poi con le ultime news tra il recall di Microsoft che anche se l'hanno ritirato mette in evidenza la politica societaria e il l'ascolto delle chiamate di Google ci manca pure che controllano e poi anche decidano a quali siti si accede. Non mi piace per niente la piega che sta prendendo il digitale e questo sarà sempre più evidente con il passare del tempo.

E se ti rubano il PC con dentro il password manager?

@@rev3rsesecurity ok ma potrei loggarmi in altro modo?

Vero, Passkey dovrà sistemare il discorso Sync tra device e sicuramente dovremo imparare a fare design di un nuovo flusso di recupero credenziali. Ma le dinamiche sono sempre le stesse IMO

Sarebbe un bel problema, sì. La comodità di utilizzo fa sì che diventi sempre più un asset critico e indispensabile (calcolando che ha cambiato anche i pagamenti, con le carte di credito nel wallet o app come satispay, non ho più un portafoglio)