Myntech FIDO2 Digital Identity

La soluzione di Digital Identity di Myntech è basata su FIDO,
un nuovo standard che consente di autenticarti in modo sicuro
senza l'utilizzo di password!

Myntech FIDO2 Digital Identity

Cos'è FIDO2 / WebAuthn?

Il web passwordless sta arrivando

FIDO2 / WebAuthn è ora uno standard di open authentication, supportato da tutti i browsers e la maggior parte delle aziende tech come Microsoft, Google etc. Lo scopo principale è consentirre all'utente di effettuare il login senza l'utilizzo di password, creando flussi passwordless o MFA forti per il signup/login. Lo standard non è limitato solo alle web applications ma supporta anche Active Directory e app native. La tecnologia è costruita sulle public/private keys, facendo svolgere il processo di authentication senza condividerre una chiave segreta tra l'utente e la piattaforma. Questo porta con sè molti benefici, come la possibilità di effettuare accessi sicuri alle applicazioni e limitando drasticamente la possibilità di attacchi phishing.

Concetti

Qui di seguito un'introduzione ai vari scenari presenti in questa demo

Fido2 vs WebAuthn

Fido2 è l'ombrello sotto il quale co-esistono due nuovi standards W3C: WebAuthn e CTAP2. WebAuthn è un'API JS che dà la possibilità al browser di dialogare con il sistema operativo sottostante per generare assertions, mentre CTAP2 è la API che consente al sistema operativo di dialogare con gli Authenticators (usb security keys, etc...)

Relying Party (RP)

La Relying Party - spesso abbreviata con l'acronimo RP - è il server con cui il browser comunica. In sostanza è il server che ospita la nostra soluzione FIDO.

User Verification

Un server FIDO2 (a.k.a la Relying Party, RP) può chiedere all'authenticator di verificare l'utente. Questo può essere fatto tramite codice PIN, dati biometrici o altri fattori che verificano in modo certo che un umanno sia presente di fronte al proprio device, non solamente un umano qualsiasi.

Resident Credentials (RK)

La resident credential è una credenziale che può essere invocata semplicemente con il RP ID. Quando non si utilizza una RK dovrai fornire una lista di credenziali (array di ID's) che vuoi venga utilizzata dall'authenticator. Con la RK non ne hai bisogno in quanto l'autenticazione identifica tutte le RK (solo le credenziali RK), e per ognuna di essa genera un'assertion durante la challenge e le restituisce tutte al client. Infine il client visualizza tutte le credenziali all'utente e l'utente ne seleziona una, restituendo così le credenziali selezionate alla relying party.