O que é uma Relying Party no WebAuthn?

• Uma Relying Party (ou Parte Confiadora), no contexto do WebAuthn ou de passkeys, é a entidade que procura autenticar um utilizador. Normalmente, refere-se a um servidor web ou serviço que depende de um autenticador para verificar a identidade do utilizador. Este processo de autenticação garante um acesso seguro ao utilizador, ao mesmo tempo que proporciona uma experiência de utilizador fluida.
• O termo "Relying Party" deriva da sua dependência de autenticadores externos (como chaves de segurança de hardware, portáteis ou smartphones) para autenticar um utilizador. O processo de autenticação envolve o uso de um identificador único conhecido como ID da relying party (rpId) que ajuda a diferenciar entre várias relying parties.

---

A Relying Party é fundamental no ecossistema WebAuthn / passkey. Vejamos mais a fundo:

• O Objetivo da Relying Party: O seu papel principal é iniciar o fluxo de autenticação, desafiando o utilizador a provar a sua identidade. Este mecanismo de desafio-resposta garante que entidades não autorizadas não obtenham acesso.
• Interação com Autenticadores: A Relying Party trabalha em conjunto com os autenticadores. Assim que o utilizador apresenta as suas credenciais, o autenticador verifica-as e envia de volta uma resposta assinada. A Relying Party valida então esta resposta para concluir o processo de autenticação.
• Importância do ID da Relying Party (rpId): O rpId é crucial, pois fornece um âmbito para as credenciais. Ao garantir que o rpId corresponde ao domínio ou origem esperados, a Relying Party aumenta a segurança, prevenindo potenciais ataques, como os ataques man-in-the-middle.

Leia mais sobre o rpId e outros aspetos da Relying Party no respetivo artigo do blogue.

• Segurança Aumentada: Com a dependência de autenticadores externos e a vinculação de âmbito do rpId, o modelo de Relying Party do WebAuthn proporciona uma camada adicional de segurança.
• Experiência do Utilizador Melhorada: Os utilizadores não precisam de memorizar palavras-passe, o que reduz as violações relacionadas com palavras-passe e oferece um processo de início de sessão mais fluido.
• Versatilidade: O modelo suporta uma vasta gama de autenticadores, dando aos utilizadores a flexibilidade de escolherem o seu método preferido.

---

O rpId é um identificador único para a Relying Party, garantindo que as credenciais estão no âmbito da entidade correta. É fundamental para a segurança, assegurando que o processo de autenticação está vinculado ao domínio ou origem esperados. Assim, previnem-se ataques de phishing.

A Relying Party inicia a autenticação desafiando o utilizador, enquanto o Autenticador é o dispositivo ou método que verifica as credenciais do utilizador e responde ao desafio.

O modelo de Relying Party do WebAuthn utiliza autenticadores externos e o mecanismo de rpId, tornando mais difícil para os atacantes se fazerem passar por utilizadores ou intercetarem o processo de autenticação.