Alternativa open source ao Auth0, Ory Kratos agora oferece suporte a Passwordless e SMS

 (github.com/ory)
14 pontos por xguru 2024-02-26 | 2 comentários | Compartilhar no WhatsApp
  • Lançamento do Ory Kratos v1.1: servidor de identidade open source escalável e com segurança reforçada

Novos recursos e melhorias

  • Verificação por celular e autenticação em duas etapas (2FA) via SMS: integração fácil com gateways de SMS como o Twilio para reforçar a segurança
  • Suporte a tradução e internacionalização: suporte a vários idiomas para aumentar a acessibilidade para usuários do mundo todo
  • Suporte nativo a login com Google e Apple: suporte nativo a "Entrar com Google" e "Entrar com Apple" em plataformas móveis
  • Vinculação de contas: adição de um novo recurso que facilita a vinculação de contas ao entrar com contas sociais que compartilham o mesmo e-mail
  • Login sem senha com "magic code": envia um código de uso único por e-mail para login, podendo ser usado como método alternativo quando a senha foi esquecida ou o login social não está disponível
  • Conversão de sessões em JWT: converte cookies ou tokens de sessão do Ory em JSON Web Tokens (JWT), tornando o gerenciamento de sessão e a integração com outros sistemas mais flexíveis
  • Maior confiabilidade no envio de e-mails: melhora a confiabilidade do envio de e-mails por meio de vários provedores
  • Melhorias na HTTP API e nos métodos de SDK relacionados: melhor desempenho nas chamadas de API e melhorias de usabilidade
  • Introdução de keyset pagination: adoção de keyset pagination para melhorar o desempenho da listagem de identidades
  • Suporte a múltiplas origens para Passkeys e WebAuthn: útil ao trabalhar com subdomínios
  • Melhorias no fluxo de logout: redireciona o usuário para o parâmetro return_to configurado ao chamar a API
  • Correção de erro na exigência de confirmação de senha ao atualizar configurações: resolve o problema de exigir incorretamente a confirmação de senha quando o usuário atualiza as configurações
  • Dicas de login ao cadastrar com uma conta existente: fornece orientações para usuários que tentam se cadastrar com uma conta que já existe, ajudando-os a entrar com a conta existente
  • Suporte a hot reload nas configurações de CORS: aplica mudanças nas configurações de CORS sem reiniciar o servidor
  • Melhor integração com Ory OAuth2 / Ory Hydra: melhorias em logout, gerenciamento de sessões de login, verificação e fluxos de recuperação
  • Adição do novo método de login sem senha "magic code": permite login e cadastro enviando um código de uso único por e-mail
  • Melhorias na integração de login social: permite usar o status de e-mail verificado dos provedores de login social
  • Internacionalização do Ory Elements e da experiência padrão de conta do Ory: suporte à internacionalização por meio de traduções
  • Conversão de cookies ou tokens de sessão do Ory em JWT: adiciona um recurso para gerenciamento de sessão e integração com outros sistemas
  • Melhorias na recuperação em apps nativos: permite que o usuário conclua as etapas de recuperação sem alternar para o navegador
  • Adição de recurso para admins fazerem busca fuzzy de usuários por identificador: ainda em fase de prévia
  • Importação de senhas com hash HMAC: recurso adicional para reforçar a segurança
  • Suporte à atualização de metadados administrativos de identidade via webhook: melhorias em recursos administrativos
  • Adição de recurso para invalidar todas as sessões do usuário ao trocar a senha: recurso adicional para reforçar a segurança
  • Suporte a webhooks para login, registro e métodos de login: suporte a webhooks para todos os métodos de login, incluindo Passkeys, TOTP etc.
  • Exibição do rótulo correto em vez de "ID" na tela de login: extraído do esquema de identificador, como "e-mail" ou "nome de usuário"
  • Fornecimento de dicas de login: oferece orientação a usuários que falharam ao entrar
  • Suporte à verificação de número de telefone via gateways de SMS como o Twilio: recurso adicional para reforçar a segurança
  • Adição de OTP por SMS como opção de autenticação em duas etapas: recurso adicional para reforçar a segurança do usuário

Leituras relacionadas

2 comentários

 
xguru 2024-02-26

Comentários no Hacker News

  • Afirma-se que usar autenticação por SMS como 2FA (autenticação de dois fatores) já não é mais seguro.

    • O SMS agora é visto como um anti-recurso. A crítica é que ele apenas desloca o problema.
    • Há quem diga que até a autenticação por e-mail é melhor que SMS, embora também não seja uma grande melhoria.
    • Carteiras e celulares estão entre os itens mais comumente roubados, e muitas pessoas usam celulares baratos ou SIMs pré-pagos.
    • Vincular sua identidade a um número de telefone, que deveria ser considerado temporário, traz o risco de você não conseguir acessar sua conta alguns anos depois.
    • Há vários motivos pelos quais as pessoas mudam de número de telefone: trocar de operadora, usar outro SIM durante viagens, perder o telefone fornecido pela empresa ao mudar de emprego, a operadora se recusar a reativar um número antigo, ou o número entrar em listas de spam, entre outros.

  • Parabéns pelo anúncio dos novos recursos, junto com uma avaliação positiva de tratar números de telefone como cidadãos de primeira classe.

    • Opinião de alguém que trabalha na concorrente FusionAuth.
    • A vinculação entre contas sociais e contas existentes com base em correspondência de e-mail é apresentada como um novo recurso.
    • Há documentação sobre o cenário de vincular uma conta social a uma conta existente, e surge a pergunta se o caso inverso também é possível.
    • Há curiosidade sobre como lidar com o caso em que um usuário se cadastra com alice@example.com e depois quer vincular alice@gmail.com.
    • Fica a dúvida se é possível bloquear a vinculação de contas por usuário, ou se ela é ativada no sistema inteiro.
    • Eles já tinham funcionalidade de vinculação de contas há alguns anos, e clientes já levantaram casos de borda como esses.

  • Feedback positivo de alguém que faz self-hosting do Kratos e do Oathkeeper em um app de onboarding na Austrália, dizendo que no geral funciona bem.

    • Compartilha a experiência de que aplicar uma UI customizada foi muito difícil.
    • Começaram por um projeto de exemplo com mistura de código de servidor e CSS dentro de JS, o que tornou difícil acessar HTML/CSS.
    • Há uma pergunta sobre o andamento desse projeto.

  • Manifestação de preocupação com o suporte a SMS.

    • É amplamente aceito que mensagens SMS não deveriam ser usadas para fins de autenticação.
    • Aponta-se, junto com o link original do pedido de funcionalidade, que a preocupação do usuário @zepatrik foi ignorada.

  • Pergunta pedindo conselhos sobre uma boa solução para aplicações B2B SaaS.

    • Precisa de login para o app e está buscando uma forma de customizar regras por domínio de e-mail, além dos métodos usuais como senha e social.
    • Compartilha que tentou serviços como Authentik e FusionAuth, mas eles não pareceram adequados para controle por organização.

  • Opinião de que isso é menos uma alternativa ao Auth0 e mais um dos componentes que compõem uma alternativa ao Auth0.

  • Crítica ao fato de o Ory Kratos usar 7 containers Docker para funcionar.

    • Em comparação com o Keycloak, que roda com apenas 2 containers, parece pesado.
    • Pergunta-se o que justificaria esse “volume”.

  • Preocupação com cadastro, login, vinculação de contas e conversão de cookies de sessão em JWTs válidos por meio de magic links não criptografados enviados por e-mail e SMS.

    • Opinião de que deve surgir um CVE (Common Vulnerabilities and Exposures) em menos de um ano.

  • Relato de experiência de uso em produção por menos de 2 anos.

    • Houve muitas melhorias, mas ainda é difícil de configurar, e o jsonnet é muito complexo.
    • Há decisões estranhas, como permitir trocar a senha mesmo sem saber a senha atual se o login via provedor social ocorreu poucos minutos antes, mas no geral continua sendo um concorrente forte nessa área.

  • Opinião de alguém que queria usar o Kratos em seu projeto open source, mas não pesquisou o suficiente sobre quão bom é o suporte para adicionar várias opções de storage.

    • O projeto dá suporte a vários document stores, e a pessoa expressa o desejo de fazer trabalho de desenvolvimento para que o Kratos também possa consultar esse mesmo storage.