Shopify で WebAuthn はどのように機能しますか?
すべての FIDO 認証システムは公開キー暗号化を使用します。 認証中、ユーザーは Shopify ストアの秘密キーを表示することで自分の身元を確認します。 Shopify ストア管理者は、証明書を使用して、秘密キーの生成に使用される認証システムの信頼性を確認することもできます。
オーセンティケーターの秘密キーはコンピューターに安全に保管され、盗まれることはありません。 対照的に、公開キーは Shopify ストアに送信されます。 ユーザーがチャレンジ/レスポンス プロトコルを使用して自分の身元を確認したい場合は、秘密キーを持っていることをサーバーに証明する必要があります。
パスワードを WebAuthn に置き換える
パスワードは共有秘密であるため脆弱です。 FIDO2 と WebAuthn の背後にある考え方は、パスワードを公開キー暗号化に置き換えることです。 ユーザーの資格情報を含むデータベースが侵害された場合、攻撃者は公開キーにのみアクセスできますが、対応する秘密キーがなければ役に立ちません。 秘密キーはコンピュータ上で安全に保管されますが、サーバーは公開キーを監視して認証者に挑戦します。