Fornecedores de Passkeys: Tipos, AAGUID e Adoção

Looking for a developer-focused passkey reference? Download our Passkeys Cheat Sheet (incl. WebAuthn ceremonies, objects & Conditional UI). Trusted by dev teams at Ally, Stanford CS & more.

Get Cheat Sheet

Quando usamos passkeys ou trabalhamos na implementação delas, um componente se torna muito importante: o passkey provider (provedor de passkeys). No entanto, embora seja uma parte crucial do ecossistema de passkeys, muitas pessoas têm apenas uma compreensão superficial sobre os provedores ou não sabem a diferença entre um first-party passkey provider (provedor nativo), um third-party passkey provider (provedor de terceiros) e um passkey authentication provider (provedor de autenticação).

Get a free passkey assessment in 15 minutes.

Book free consultation

Este post visa esclarecer exatamente isso. Seja você um desenvolvedor de software, um gerente de produto ou simplesmente alguém curioso sobre as novidades em segurança web, entender o papel e os tipos de provedores de passkeys é essencial. Ao desmistificar este tópico, queremos capacitar as pessoas com o conhecimento necessário para entender as passkeys com confiança.

Um provedor de passkeys desempenha um papel fundamental no ecossistema de autenticação baseada em passkeys, agindo como a ponte entre os dispositivos dos usuários e o acesso seguro e contínuo aos relying parties (serviços online). Mas o que é exatamente um provedor de passkeys, especialmente considerando que não existe uma definição oficial e você encontrará diferentes interpretações online?

A definição a seguir reflete nosso entendimento e não deve ser considerada a única definição precisa.

Um provedor de passkeys é essencialmente qualquer entidade que permite a criação, gerenciamento e uso de passkeys. Através de nossa pesquisa, identificamos duas categorias principais nas quais os provedores podem ser classificados: provedores first-party / third-party e provedores de autenticação com passkeys.

Become part of our Passkeys Community for updates & support.

Join

Esta categoria inclui entidades capazes de gerar uma passkey no lado do cliente (no dispositivo do usuário). Quando uma passkey é criada através dessas plataformas, ela é gerenciada e armazenada com segurança, muitas vezes na nuvem do fabricante do sistema operacional (por exemplo, iCloud Keychain, Google Password Manager) ou em um gerenciador de senhas de terceiros (por exemplo, KeePassXC, 1Password, Dashlane, veja mais abaixo).

Os sistemas operacionais que permitem a criação de passkeys e o gerenciamento nativamente são considerados first-party passkey providers (provedores nativos). Em contraste, gerenciadores de senhas de terceiros que se integram à plataforma através de APIs são referidos como third-party passkey providers (provedores de terceiros).

Um provedor de passkeys, seja first-party ou third-party, possui os mesmos Authenticator Attestation Globally Unique Identifiers (AAGUIDs), que ajudam a melhorar a experiência do usuário (por exemplo, nas configurações da conta para distinguir passkeys mais facilmente). Às vezes, eles podem ter múltiplos AAGUIDs, todos pertencentes ao mesmo provedor.

Provedores de passkeys em um dispositivo iOS 17.4

Provedores de passkeys em um dispositivo Android 14

Credential Manager API do Android

A segunda categoria engloba provedores de autenticação que os desenvolvedores podem integrar em suas aplicações para lidar com todos os aspectos do gerenciamento de passkeys. Ou seja, são provedores que trabalham mais no lado do servidor (ao contrário do lado do cliente mencionado acima). Essa definição também incluiria soluções como a Corbado, que oferece soluções de autenticação centradas em passkeys para sites e aplicativos. Consequentemente, esses provedores devem ser descritos com mais precisão como passkey authentication providers, diferenciando-os dos provedores first-party e third-party mencionados acima.

Nas próximas seções deste post, usaremos o termo "provedores de passkeys" para nos referirmos aos provedores first-party e third-party, de acordo com nossa definição.

À medida que os usuários começam a adotar passkeys para vários relying parties, gerenciá-las de forma eficaz surge como um desafio significativo. Isso também é verdade para usuários que utilizam múltiplas passkeys para uma única conta, pois diferenciar essas passkeys para fins de edição ou exclusão pode ser complexo para um relying party. Apesar da conveniência e segurança que as passkeys oferecem, há um problema potencial se um usuário perder uma de suas passkeys. Felizmente, eles ainda podem acessar sua conta no relying party usando passkeys alternativas. Para ajudar os usuários a identificar passkeys específicas, alguns recursos sugerem adicionar metadados, como datas de criação e último uso, nas configurações da conta. Além disso, recomenda-se utilizar user agents ou client hints para nomear e categorizar passkeys automaticamente no momento da criação. No entanto, apps nativos Android ou iOS, bem como provedores de terceiros, podem não utilizar user agents, ou não adicionam informações indicando que uma passkey foi gerada por um provedor terceiro. Essa limitação destaca a necessidade de métodos melhores para ajudar os usuários a gerenciar suas passkeys eficientemente, independentemente da plataforma ou provedor.

Retirado da especificação WebAuthn do W3C

Para facilitar esse gerenciamento, os desenvolvedores podem usar o Authenticator Attestation Globally Unique Identifier (AAGUID). O AAGUID é um identificador único atribuído ao modelo do autenticador, não à sua instância específica. Ele é incorporado nos dados do autenticador da credencial de chave pública, oferecendo uma maneira para os relying parties identificarem o provedor da passkey. Essa capacidade é crucial para ajudar usuários e relying parties a navegar no cenário das passkeys, garantindo que cada passkey possa ser associada com precisão à sua fonte de criação.

Por exemplo, se uma passkey é criada usando o Google Password Manager em um dispositivo Android, o relying party pode receber um AAGUID específico para o Google Password Manager. Ao referenciar esse AAGUID, o relying party pode então marcar a passkey de acordo, simplificando o gerenciamento e identificação para o usuário. Além disso, os relying parties podem evitar a criação de múltiplas passkeys para o mesmo provedor usando a opção de servidor WebAuthn excludeCredentials. Isso melhora ainda mais a UX das passkeys, pois cada provedor terá apenas uma passkey, evitando confusão para o usuário.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

Para determinar o provedor de passkeys usando um AAGUID, os relying parties podem consultar um repositório de AAGUIDs mantido pela comunidade. Este repositório fornece os mapeamentos necessários para identificar o provedor pelo nome e, potencialmente, pelo ícone, ajudando a fornecer uma interface de usuário mais intuitiva para o gerenciamento de passkeys. No entanto, é importante notar que alguns provedores podem usar um AAGUID genérico ("00000000-0000-0000-0000-0000000000000") intencionalmente, representando um provedor desconhecido ou genérico.

Recuperar o AAGUID é direto com a maioria das bibliotecas WebAuthn. Por exemplo, ao usar SimpleWebAuthn no lado do servidor, os desenvolvedores podem extrair o AAGUID das informações de registro para combiná-lo com um provedor conhecido, melhorando a capacidade do usuário de gerenciar suas passkeys com maior facilidade (retirado do artigo do Google "Determine the passkey provider with AAGUID").

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

Embora os AAGUIDs ofereçam uma ferramenta poderosa para o gerenciamento de passkeys, eles devem ser usados com cautela. A integridade de um AAGUID depende do processo de attestation (atestado), que valida a autenticidade do provedor de passkeys. Sem uma assinatura de attestation válida, os AAGUIDs poderiam ser potencialmente manipulados. Vale notar que, em março de 2024, passkeys em algumas plataformas não suportam attestation, destacando a necessidade de consideração cuidadosa em seu uso.

A seguir, você encontra uma lista não exaustiva de provedores de passkeys first-party e third-party para aplicativos Android, aplicativos iOS e web apps usando versões muito comuns de sistemas operacionais e navegadores:

Abaixo, você encontra alguns popups de third-party passkey providers para criar / salvar uma passkey:

Veja a análise completa do 1Password aqui.

Veja a análise completa do Dashlane aqui.

Veja a análise completa do KeePassXC aqui.

Central para a implementação e gerenciamento de passkeys é o papel dos provedores de passkeys, entidades que não apenas facilitam a criação e o gerenciamento de passkeys, mas também garantem sua integração perfeita em várias plataformas e dispositivos.

O objetivo deste post foi entender o que é um provedor de passkeys, incluindo a distinção entre provedores first-party e third-party, bem como o papel crítico do Authenticator Attestation Globally Unique Identifier (AAGUID). O uso de AAGUIDs, conforme discutido, oferece uma solução promissora, permitindo uma identificação e gerenciamento de passkeys mais diretos.

Além disso, analisamos quais provedores first-party e third-party existem atualmente para Android, iOS e Windows, ajudando os usuários a encontrar também um provedor de passkeys de terceiros adequado ou seu dispositivo de escolha.

Para desenvolvedores e gerentes de produto, os insights sobre provedores de passkeys e seu gerenciamento não apenas orientam a implementação técnica da autenticação com passkeys, mas também se alinham com o objetivo mais amplo de aprimorar a experiência do usuário e a segurança.