Hur WebAuthn fungerar i Shopify?
Alla FIDO-autentiseringsenheter använder kryptografi med publik nyckel. Under autentiseringen verifierar användaren sin identitet genom att visa sin Shopify-butiks privata nyckel. Shopify Store-administratören kan också använda bestyrkande för att säkerställa äktheten för den autentisering som används för att generera den privata nyckeln.
Autentiseringsenhetens privata nyckel är säkert lagrad på datorn och kan inte stjälas. Däremot skickas den publika nyckeln till Shopify-butiken. Om användaren vill kontrollera sin identitet med hjälp av challenge-response-protokollet måste han bevisa för servern att han har den privata nyckeln.
Ersätt lösenordet med WebAuthn
Lösenord är sårbara eftersom de är delade hemligheter. Tanken bakom FIDO2 och WebAuthn är att ersätta lösenord med kryptografi med publik nyckel. Om databasen som innehåller användaruppgifter äventyras, kommer angripare bara att ha tillgång till de offentliga nycklarna, som är värdelösa utan motsvarande privata nycklar. Den privata nyckeln förvaras säkert på datorn, medan servern övervakar den offentliga nyckeln och utmanar autentiseringsenheten.