Comment fonctionne WebAuthn dans Shopify ?
Tous les authentificateurs FIDO utilisent la cryptographie à clé publique. Lors de l'authentification, l'utilisateur vérifie son identité en affichant la clé privée de sa boutique Shopify. L'administrateur de Shopify Store peut également utiliser une attestation pour garantir l'authenticité de l'authentificateur utilisé pour générer la clé privée.
La clé privée de l'authentificateur est stockée en toute sécurité sur l'ordinateur et ne peut être volée. En revanche, la clé publique est envoyée à la boutique Shopify. Si l'utilisateur souhaite vérifier son identité grâce au protocole challenge-réponse, il doit prouver au serveur qu'il dispose de la clé privée.
Remplacement du mot de passe par WebAuthn
Les mots de passe sont vulnérables car ce sont des secrets partagés. L'idée derrière FIDO2 et WebAuthn est de remplacer les mots de passe par une cryptographie à clé publique. Si la base de données contenant les informations d’identification des utilisateurs est compromise, les attaquants n’auront accès qu’aux clés publiques, inutiles sans les clés privées correspondantes. La clé privée est conservée en sécurité sur l'ordinateur, tandis que le serveur surveille la clé publique et défie l'authentifiant.