La alternativa open source a Auth0, Ory Kratos, ahora admite Passwordless y SMS

 (github.com/ory)
14 puntos por xguru 2024-02-26 | 2 comentarios | Compartir por WhatsApp
  • Lanzamiento de Ory Kratos v1.1: un servidor de identidad open source, escalable y con seguridad reforzada

Nuevas funciones y mejoras

  • Verificación por teléfono y autenticación de dos factores (2FA) por SMS: integración sencilla con gateways de SMS como Twilio para reforzar la seguridad
  • Soporte de traducción e internacionalización: admite varios idiomas para mejorar la accesibilidad de usuarios de todo el mundo
  • Soporte nativo de inicio de sesión con Google y Apple: soporte nativo en plataformas móviles para "Iniciar sesión con Google" y "Iniciar sesión con Apple"
  • Vinculación de cuentas: se agregó una nueva función para facilitar la vinculación de cuentas al iniciar sesión con cuentas sociales que comparten el mismo correo electrónico
  • Inicio de sesión sin contraseña con "código mágico": envía un código de un solo uso por correo para iniciar sesión, útil como método alternativo cuando se olvidó la contraseña o no se puede usar el inicio de sesión social
  • Convertir sesiones a JWT: convierte las cookies o tokens de sesión de Ory en JSON Web Tokens (JWT) para dar más flexibilidad en la gestión de sesiones y la integración con otros sistemas
  • Mayor confiabilidad en el envío de correos electrónicos: mejora la confiabilidad del envío de emails a través de varios proveedores
  • Mejoras en la API HTTP y métodos de SDK relacionados: mejor rendimiento en llamadas a la API y mejoras de usabilidad
  • Incorporación de paginación keyset: se introduce paginación keyset para mejorar el rendimiento de los listados de identidades
  • Soporte de múltiples orígenes para Passkeys y WebAuthn: útil al trabajar con subdominios
  • Mejoras en el flujo de cierre de sesión: redirige al usuario al parámetro return_to configurado al hacer llamadas a la API
  • Corrección del error que exigía confirmar la contraseña al actualizar la configuración: se resolvió el problema de solicitud incorrecta de confirmación de contraseña al actualizar la configuración
  • Sugerencias de inicio de sesión al registrarse con una cuenta existente: ofrece pistas para ayudar a usuarios que intentan registrarse con una cuenta ya existente a iniciar sesión con esa cuenta
  • Soporte de hot reload para la configuración de CORS: permite aplicar cambios en la configuración de CORS sin reiniciar el servidor
  • Mejor integración con Ory OAuth2 / Ory Hydra: mejoras en cierre de sesión, gestión de sesiones de inicio de sesión, verificación y flujos de recuperación
  • Nuevo método de inicio de sesión sin contraseña "código mágico": permite iniciar sesión y registrarse enviando un código de un solo uso por correo electrónico
  • Mejoras en la integración de inicio de sesión social: se puede usar el estado de correo electrónico verificado desde proveedores de inicio de sesión social
  • Internacionalización de Ory Elements y la experiencia base de cuentas de Ory: soporte de internacionalización mediante traducciones
  • Conversión de cookies o tokens de sesión de Ory a JWT: se agregó una función para la gestión de sesiones y la integración con otros sistemas
  • Mejoras en la recuperación dentro de apps nativas: permite que el usuario complete los pasos de recuperación sin cambiar al navegador
  • Nueva capacidad para que administradores hagan búsquedas difusas de usuarios por identificador: aún en fase de vista previa
  • Importación de contraseñas con hash HMAC: se agregó una función para reforzar la seguridad
  • Soporte para actualizar metadatos administrativos de identidad mediante webhooks: mejoras en funciones administrativas
  • Nueva función para invalidar todas las sesiones de un usuario al cambiar la contraseña: función añadida para reforzar la seguridad
  • Soporte de webhooks para inicio de sesión, registro y métodos de inicio de sesión: soporte para webhooks en todos los métodos de inicio de sesión, incluidos Passkeys y TOTP
  • Mostrar la etiqueta correcta en lugar de "ID" en la pantalla de inicio de sesión: por ejemplo, se obtiene del esquema de identificador una etiqueta como "correo electrónico" o "nombre de usuario"
  • Sugerencias de inicio de sesión: ofrece orientación a usuarios que fallan al iniciar sesión
  • Soporte para verificación de número telefónico mediante gateways de SMS como Twilio: se agregó una función para reforzar la seguridad
  • Se agrega SMS OTP como opción de autenticación de dos factores: nueva función para reforzar la seguridad de los usuarios

Lecturas relacionadas

2 comentarios

 
xguru 2024-02-26

Opiniones en Hacker News

  • Se afirma que usar autenticación por SMS como 2FA (autenticación de dos factores) ya no es seguro.

    • El SMS ahora se considera una anti-feature. Se critica que solo traslada el problema en vez de resolverlo.
    • Hay quienes opinan que incluso la autenticación por email es mejor que el SMS, aunque tampoco es mucho mejor.
    • La cartera y el teléfono son de los objetos que más se roban, y mucha gente usa teléfonos baratos o SIM prepago.
    • Atar tu identidad a un número de teléfono, que debería considerarse algo temporal, implica el riesgo de perder acceso a tu cuenta unos años después.
    • Hay varias razones por las que la gente cambia de número: cambiar de proveedor, usar otra SIM durante un viaje, perder un teléfono proporcionado por la empresa al cambiar de trabajo, que el operador se niegue a transferir el número anterior, que el número termine en listas de spam, etc.

  • Felicitaciones por el anuncio de la nueva funcionalidad, junto con una valoración positiva de tratar los números telefónicos como ciudadanos de primera clase.

    • Comentario de alguien que trabaja en la competencia, FusionAuth.
    • Se presenta como nueva funcionalidad la conexión entre cuentas sociales y cuentas existentes basada en coincidencia de email.
    • Hay documentación sobre el escenario de vincular una cuenta social a una cuenta existente, y se pregunta si el caso inverso también es posible.
    • Hay curiosidad sobre cómo se maneja el caso en que un usuario se registró con alice@example.com y luego quiere vincular alice@gmail.com.
    • Se pregunta si el enlace de cuentas puede bloquearse por usuario o si se activa para todo el sistema.
    • Mencionan que tienen funcionalidad de enlace de cuentas desde hace años y que sus clientes ya habían planteado este tipo de casos límite.

  • Comentarios positivos de alguien que usa Kratos y Oathkeeper autoalojados en una app de onboarding en Australia, y dice que en su mayoría funcionan bien.

    • Comparte que fue muy difícil aplicar una UI personalizada.
    • Empezaron con un proyecto de ejemplo que mezclaba código de servidor y CSS dentro de JS, lo que dificultaba acceder al HTML/CSS.
    • Se pregunta cómo va el avance de este proyecto.

  • Expresan preocupación por el soporte de SMS.

    • Está ampliamente aceptado que los mensajes SMS no deberían usarse con fines de autenticación.
    • Junto con el enlace original de la solicitud de funcionalidad, se señala que se ignoró la preocupación del usuario @zepatrik.

  • Pregunta pidiendo consejo sobre una buena solución para aplicaciones B2B SaaS.

    • Necesitan login para la app y buscan una forma de personalizar reglas por dominio de email, además de los métodos habituales como contraseña o social login.
    • Comparten que probaron servicios como Authentik y FusionAuth, pero que no les sirvieron bien para control por organización.

  • Opinión de que es más bien uno de los componentes que conforman una alternativa a Auth0, en lugar de ser por sí solo una alternativa a Auth0.

  • Crítica a que Ory Kratos usa 7 contenedores Docker para ejecutarse.

    • Frente a Keycloak, que funciona con solo 2 contenedores, parece pesado.
    • Se pregunta qué justifica ese “volumen”.

  • Preocupación por el registro, login, enlace de cuentas y la conversión de cookies de sesión en JWT válidos mediante magic links sin cifrar enviados por email y SMS.

    • Opinan que probablemente aparecerá un CVE (Common Vulnerabilities and Exposures) dentro de un año.

  • Comparten experiencia de uso en producción durante menos de 2 años.

    • Dicen que ha mejorado mucho, pero que sigue siendo difícil de configurar y que jsonnet es muy complejo.
    • Aunque hay decisiones extrañas, como permitir cambiar la contraseña sin conocer la actual si llegaste desde un proveedor social pocos minutos después del login, en general sigue siendo un competidor fuerte en este espacio.

  • Comentario de alguien que quiso usar Kratos en su proyecto open source, pero sintió que no había investigado lo suficiente qué tan bien soporta agregar distintas opciones de almacenamiento.

    • Su proyecto soporta varios almacenes de documentos y expresa el deseo de hacer trabajo de desarrollo para que Kratos pueda consultar ese mismo almacenamiento.