L’alternative open source à Auth0, Ory Kratos, prend désormais en charge le passwordless et les SMS

 (github.com/ory)
14 points par xguru 2024-02-26 | 2 commentaires | Partager sur WhatsApp
  • Sortie d’Ory Kratos v1.1 : un serveur d’identité open source extensible et renforcé sur le plan de la sécurité

Nouvelles fonctionnalités et améliorations

  • Vérification par téléphone et authentification à deux facteurs (2FA) par SMS : intégration facile avec des passerelles SMS comme Twilio pour renforcer la sécurité
  • Prise en charge de la traduction et de l’internationalisation : prise en charge de plusieurs langues pour améliorer l’accessibilité auprès des utilisateurs du monde entier
  • Prise en charge native de la connexion avec Google et Apple : prise en charge native de « Se connecter avec Google » et « Se connecter avec Apple » sur les plateformes mobiles
  • Liaison de comptes : ajout d’une nouvelle fonctionnalité qui facilite la liaison de comptes lors de la connexion avec des comptes sociaux partageant la même adresse e-mail
  • Connexion sans mot de passe par « magic code » : méthode consistant à envoyer un code à usage unique par e-mail pour se connecter, utilisable comme méthode alternative lorsqu’un mot de passe a été oublié ou qu’une connexion sociale n’est pas disponible
  • Conversion des sessions en JWT : conversion des cookies ou tokens de session Ory en JSON Web Tokens (JWT) pour rendre la gestion des sessions et l’intégration avec d’autres systèmes plus flexibles
  • Amélioration de la fiabilité de l’envoi des e-mails : meilleure fiabilité de l’envoi d’e-mails via différents fournisseurs
  • Amélioration de l’API HTTP et des méthodes SDK associées : amélioration des performances des appels API et de l’ergonomie
  • Introduction de la pagination par keyset : ajout de la pagination par keyset pour améliorer les performances des listes d’identités
  • Prise en charge multi-origine pour Passkeys et WebAuthn : utile lors du travail avec des sous-domaines
  • Amélioration du flux de déconnexion : redirige les utilisateurs vers le paramètre return_to défini lors des appels API
  • Correction d’une erreur imposant à tort une confirmation du mot de passe lors de la mise à jour des paramètres : résolution du problème qui demandait à tort une confirmation du mot de passe lorsque l’utilisateur mettait à jour ses paramètres
  • Indice de connexion lors d’une inscription avec un compte existant : fournit des indications aux utilisateurs qui essaient de s’inscrire avec un compte déjà existant afin de les aider à se connecter à ce compte
  • Prise en charge du hot reload de la configuration CORS : application des changements de configuration CORS sans redémarrer le serveur
  • Amélioration de l’intégration avec Ory OAuth2 / Ory Hydra : amélioration de la déconnexion, de la gestion des sessions de connexion, de la vérification et des flux de récupération
  • Ajout d’une nouvelle méthode de connexion sans mot de passe, « magic code » : permet la connexion et l’inscription en envoyant un code à usage unique par e-mail
  • Amélioration de l’intégration de la connexion sociale : permet d’utiliser l’état de vérification de l’e-mail fourni par les fournisseurs de connexion sociale
  • Internationalisation d’Ory Elements et de l’expérience de compte Ory par défaut : prise en charge de l’internationalisation via la traduction
  • Conversion possible des cookies ou tokens de session Ory en JWT : ajout d’une fonctionnalité pour la gestion des sessions et l’intégration avec d’autres systèmes
  • Amélioration de la récupération dans les applications natives : permet aux utilisateurs de terminer les étapes de récupération sans passer par un navigateur
  • Ajout d’une fonctionnalité permettant aux administrateurs d’effectuer une recherche floue d’utilisateurs par identifiant : encore au stade preview
  • Import possible de mots de passe hachés HMAC : ajout d’une fonctionnalité pour renforcer la sécurité
  • Prise en charge de la mise à jour des métadonnées administrateur d’identité via des webhooks : amélioration des fonctionnalités d’administration
  • Ajout d’une fonctionnalité permettant d’invalider toutes les sessions d’un utilisateur lors du changement de mot de passe : ajout d’une fonctionnalité pour renforcer la sécurité
  • Prise en charge des webhooks pour la connexion, l’inscription et les méthodes de connexion : prise en charge des webhooks pour toutes les méthodes de connexion, y compris Passkeys et TOTP
  • Affichage du bon libellé sur l’écran de connexion au lieu de « ID » : extrait du schéma d’identifiant, par exemple « e-mail » ou « nom d’utilisateur »
  • Fourniture d’indices de connexion : guide les utilisateurs ayant échoué à se connecter
  • Prise en charge de la vérification du numéro de téléphone via des passerelles SMS comme Twilio : ajout d’une fonctionnalité pour renforcer la sécurité
  • Ajout de l’OTP par SMS comme option d’authentification à deux facteurs : ajout d’une fonctionnalité pour renforcer la sécurité des utilisateurs

À lire aussi

2 commentaires

 
xguru 2024-02-26

Avis sur Hacker News

  • Affirmation selon laquelle utiliser l’authentification par SMS comme 2FA (double authentification) n’est plus sûr

    • Le SMS est désormais considéré comme une anti-fonctionnalité. Certains critiquent le fait que cela ne fait que déplacer le problème.
    • Certains estiment même que l’authentification par e-mail vaut mieux que le SMS, sans que ce soit pour autant une amélioration majeure.
    • Le portefeuille et le téléphone sont parmi les objets les plus souvent volés, et beaucoup de gens utilisent des téléphones bon marché ou des cartes SIM prépayées.
    • Lier son identité à un numéro de téléphone, qui devrait être considéré comme temporaire, comporte le risque de perdre l’accès à son compte quelques années plus tard.
    • Il existe de nombreuses raisons pour lesquelles les gens changent de numéro de téléphone : changement d’opérateur, utilisation d’une autre SIM en voyage, perte d’un téléphone fourni par l’entreprise lors d’un changement d’emploi, refus d’un opérateur de reprendre l’ancien numéro, numéro ajouté à des listes de spam, etc.

  • Félicitations pour l’annonce de cette nouvelle fonctionnalité, avec une appréciation positive du fait de traiter le numéro de téléphone comme un citoyen de première classe.

    • Avis provenant d’une personne travaillant chez le concurrent FusionAuth.
    • La liaison entre comptes sociaux et comptes existants sur la base d’une correspondance d’e-mail est présentée comme une nouvelle fonctionnalité.
    • Une documentation existe pour le scénario consistant à relier un compte social à un compte existant, et une question est posée sur la possibilité de faire l’inverse.
    • Interrogation sur la façon de gérer le cas où un utilisateur s’est inscrit avec alice@example.com puis souhaite connecter alice@gmail.com.
    • Question sur la possibilité de bloquer la liaison de comptes par utilisateur, ou si elle s’active à l’échelle de tout le système.
    • La fonctionnalité de liaison de comptes existe depuis plusieurs années et des clients ont déjà soulevé ce type de cas limites.

  • Retour positif d’une personne qui auto-héberge Kratos et Oathkeeper pour une application d’onboarding en Australie, en indiquant que cela fonctionne globalement bien.

    • Partage d’expérience : l’application d’une UI personnalisée a été très pénible.
    • Il était difficile d’accéder au HTML/CSS à partir d’un projet d’exemple mêlant code serveur et CSS dans du JS.
    • Une question est posée sur l’avancement de ce projet.

  • Expression d’inquiétudes concernant la prise en charge du SMS.

    • Il est largement admis que les SMS ne devraient pas être utilisés à des fins d’authentification.
    • Avec le lien d’origine de la demande de fonctionnalité, quelqu’un souligne que les inquiétudes de l’utilisateur @zepatrik ont été ignorées.

  • Question demandant des conseils sur une bonne solution pour une application B2B SaaS.

    • Un login applicatif est nécessaire, et la personne cherche un moyen de personnaliser les règles par domaine d’e-mail, en plus des méthodes habituelles comme le mot de passe ou le social login.
    • Retour d’expérience indiquant que des services comme Authentik et FusionAuth ont été essayés, mais ne convenaient pas au contrôle par organisation.

  • Avis selon lequel il ne s’agit pas tant d’une alternative à Auth0 que de l’un des composants permettant de construire une alternative à Auth0.

  • Critique du fait qu’Ory Kratos utilise 7 conteneurs Docker pour fonctionner.

    • Comparé à Keycloak, qui fonctionne avec seulement 2 conteneurs, cela semble lourd.
    • Question sur ce qui justifie un tel « poids ».

  • Inquiétudes concernant l’inscription, la connexion, la liaison de comptes et la conversion de cookies de session en JWT valides via des magic links non chiffrés envoyés par e-mail et SMS.

    • Avis selon lequel un CVE (Common Vulnerabilities and Exposures) surviendra probablement dans l’année.

  • Partage d’expérience après une utilisation en production pendant moins de deux ans.

    • Beaucoup d’améliorations ont été apportées, mais la configuration reste difficile et jsonnet est jugé très complexe.
    • Il existe des décisions étranges, comme la possibilité de changer de mot de passe sans connaître le mot de passe actuel si l’on vient d’un fournisseur social dans les minutes qui suivent la connexion, mais dans l’ensemble c’est un concurrent solide dans ce domaine.

  • Avis d’une personne qui voulait utiliser Kratos dans son propre projet open source, mais qui n’a pas trouvé suffisamment d’informations sur la qualité de la prise en charge de l’ajout de diverses options de stockage.

    • Le projet prend en charge divers stockages documentaires, et cette personne exprime le souhait de faire le travail de développement nécessaire pour que Kratos puisse interroger le même stockage.