¿Cómo funciona WebAuthn en Shopify?
Todos los autenticadores FIDO utilizan criptografía de clave pública. Durante la autenticación, el usuario verifica su identidad mostrando la clave privada de su tienda Shopify. El administrador de la Tienda Shopify también puede utilizar la atestación para garantizar la autenticidad del autenticador utilizado para generar la clave privada.
La clave privada del autenticador se almacena de forma segura en la computadora y no puede ser robada. Por el contrario, la clave pública se envía a la tienda Shopify. Si el usuario quiere comprobar su identidad mediante el protocolo de desafío-respuesta, deberá demostrar al servidor que tiene la clave privada.
Reemplazo de la contraseña con WebAuthn
Las contraseñas son vulnerables porque son secretos compartidos. La idea detrás de FIDO2 y WebAuthn es reemplazar las contraseñas con criptografía de clave pública. Si la base de datos que contiene las credenciales del usuario se ve comprometida, los atacantes sólo tendrán acceso a las claves públicas, que son inútiles sin las correspondientes claves privadas. La clave privada se mantiene segura en la computadora, mientras que el servidor monitorea la clave pública y cuestiona al autenticador.