Wie funktioniert WebAuthn in Shopify?
Alle FIDO-Authentifikatoren verwenden Public-Key-Kryptografie. Bei der Authentifizierung verifiziert der Benutzer seine Identität, indem er den privaten Schlüssel seines Shopify-Shops anzeigt. Der Shopify Store-Administrator kann die Bescheinigung auch verwenden, um die Authentizität des Authentifikators sicherzustellen, der zum Generieren des privaten Schlüssels verwendet wurde.
Der private Schlüssel des Authentifikators wird sicher auf dem Computer gespeichert und kann nicht gestohlen werden. Im Gegensatz dazu wird der öffentliche Schlüssel an den Shopify-Shop gesendet. Möchte der Nutzer seine Identität mithilfe des Challenge-Response-Protokolls überprüfen, muss er dem Server nachweisen, dass er über den privaten Schlüssel verfügt.
Ersetzen des Passworts durch WebAuthn
Passwörter sind angreifbar, da es sich um gemeinsame Geheimnisse handelt. Die Idee hinter FIDO2 und WebAuthn besteht darin, Passwörter durch Kryptografie mit öffentlichen Schlüsseln zu ersetzen. Wenn die Datenbank mit den Benutzeranmeldeinformationen kompromittiert wird, haben Angreifer nur Zugriff auf die öffentlichen Schlüssel, die ohne die entsprechenden privaten Schlüssel nutzlos sind. Der private Schlüssel wird sicher auf dem Computer aufbewahrt, während der Server den öffentlichen Schlüssel überwacht und den Authentifikator herausfordert.