Alternatif open source untuk Auth0, Ory Kratos, kini mendukung Passwordless dan SMS

 (github.com/ory)
14 poin oleh xguru 2024-02-26 | 2 komentar | Bagikan ke WhatsApp
  • Ory Kratos v1.1 dirilis: server identitas open source yang dapat diskalakan dan ditingkatkan keamanannya

Fitur baru dan peningkatan

  • Verifikasi ponsel & 2FA melalui SMS: Mudah terintegrasi dengan gateway SMS seperti Twilio untuk meningkatkan keamanan
  • Dukungan terjemahan dan internasionalisasi: Mendukung berbagai bahasa untuk meningkatkan aksesibilitas bagi pengguna di seluruh dunia
  • Dukungan login native dengan Google dan Apple: Mendukung "Masuk dengan Google" dan "Masuk dengan Apple" secara native di platform mobile
  • Penautan akun: Menambahkan fitur baru yang memudahkan penautan akun saat login dengan akun sosial yang berbagi email yang sama
  • Login "magic code" tanpa kata sandi: Metode login dengan mengirim kode sekali pakai lewat email, dapat digunakan sebagai alternatif saat lupa kata sandi atau tidak bisa menggunakan login sosial
  • Mengubah sesi menjadi JWT: Mengubah cookie atau token sesi Ory menjadi JSON Web Token (JWT) agar pengelolaan sesi dan integrasi dengan sistem lain lebih fleksibel
  • Peningkatan keandalan pengiriman email: Meningkatkan reliabilitas pengiriman email melalui berbagai penyedia
  • Peningkatan HTTP API dan metode SDK terkait: Meningkatkan performa pemanggilan API dan kemudahan penggunaan
  • Penerapan keyset pagination: Memperkenalkan keyset pagination untuk meningkatkan performa daftar identitas
  • Dukungan multi-origin untuk Passkeys dan WebAuthn: Berguna saat bekerja dengan subdomain
  • Peningkatan alur logout: Mengarahkan ulang pengguna ke parameter return_to yang ditetapkan saat pemanggilan API
  • Perbaikan error yang meminta konfirmasi kata sandi saat pembaruan pengaturan: Menyelesaikan masalah permintaan konfirmasi kata sandi yang keliru saat pengguna memperbarui pengaturan
  • Memberikan petunjuk login saat mendaftar dengan akun yang sudah ada: Memberikan petunjuk agar pengguna login dengan akun yang sudah ada jika mencoba mendaftar lagi
  • Dukungan hot reload untuk pengaturan CORS: Perubahan pengaturan CORS dapat diterapkan tanpa me-restart server
  • Peningkatan integrasi dengan Ory OAuth2 / Ory Hydra: Meningkatkan alur logout, pengelolaan sesi login, verifikasi, dan pemulihan
  • Menambahkan metode login baru tanpa kata sandi "magic code": Memungkinkan login dan pendaftaran dengan mengirim kode sekali pakai lewat email
  • Peningkatan integrasi login sosial: Dapat menggunakan status email terverifikasi dari penyedia login sosial
  • Internasionalisasi Ory Elements dan pengalaman default Ory Account: Mendukung internasionalisasi melalui terjemahan
  • Cookie atau token sesi Ory dapat diubah menjadi JWT: Menambahkan fitur untuk pengelolaan sesi dan integrasi dengan sistem lain
  • Peningkatan fitur pemulihan di aplikasi native: Ditingkatkan agar pengguna dapat menyelesaikan langkah pemulihan tanpa berpindah ke browser
  • Menambahkan fitur agar admin dapat melakukan fuzzy search pengguna berdasarkan identifier: Masih dalam tahap pratinjau
  • Dapat mengimpor kata sandi yang di-hash dengan HMAC: Menambahkan fitur untuk meningkatkan keamanan
  • Mendukung pembaruan metadata admin identitas melalui webhook: Meningkatkan fitur admin
  • Menambahkan fitur untuk membatalkan semua sesi pengguna saat kata sandi diubah: Menambahkan fitur untuk meningkatkan keamanan
  • Dukungan webhook untuk login, registrasi, dan metode login: Mendukung webhook untuk semua metode login termasuk Passkeys, TOTP, dan lainnya
  • Menampilkan label yang benar alih-alih "ID" di layar login: Misalnya diambil dari skema identifier seperti "email" atau "nama pengguna"
  • Menyediakan petunjuk login: Memberikan panduan bagi pengguna yang gagal login
  • Mendukung verifikasi nomor telepon melalui gateway SMS seperti Twilio: Menambahkan fitur untuk meningkatkan keamanan
  • Menambahkan SMS OTP sebagai opsi 2FA: Menambahkan fitur untuk meningkatkan keamanan pengguna

Bacaan terkait

2 komentar

 
xguru 2024-02-26

Komentar Hacker News

  • Ada pendapat bahwa menggunakan autentikasi SMS sebagai 2FA (autentikasi dua faktor) sudah tidak lagi aman.

    • SMS kini dianggap sebagai anti-fitur. Dikritik karena hanya memindahkan masalah.
    • Ada pendapat bahwa bahkan autentikasi email lebih baik daripada SMS, meski itu juga tidak jauh lebih baik.
    • Dompet dan ponsel adalah barang yang paling sering dicuri, dan banyak orang menggunakan ponsel murah atau SIM prabayar.
    • Mengikat identitas pada nomor telepon yang seharusnya dianggap sementara berisiko membuat seseorang tidak bisa mengakses akunnya beberapa tahun kemudian.
    • Ada berbagai alasan orang mengganti nomor telepon: berganti penyedia layanan, menggunakan SIM lain saat bepergian, kehilangan ponsel kantor setelah pindah kerja, operator menolak mengambil alih nomor lama, nomor masuk daftar spam, dan sebagainya.

  • Ucapan selamat atas pengumuman fitur baru, sekaligus penilaian positif terhadap perlakuan nomor telepon sebagai warga kelas satu.

    • Pendapat dari seseorang yang bekerja di pesaingnya, FusionAuth.
    • Koneksi antara akun sosial dan akun yang sudah ada berdasarkan pencocokan email diperkenalkan sebagai fitur baru.
    • Ada dokumentasi untuk skenario menghubungkan akun sosial ke akun yang sudah ada, dan muncul pertanyaan apakah kebalikannya juga memungkinkan.
    • Ada rasa ingin tahu tentang bagaimana menangani kasus saat pengguna mendaftar dengan alice@example.com lalu ingin menghubungkan alice@gmail.com.
    • Dipertanyakan apakah penghubungan akun bisa diblokir per pengguna, atau aktif untuk seluruh sistem.
    • Disebutkan bahwa mereka sudah memiliki fitur penghubungan akun sejak beberapa tahun lalu, dan pelanggan pernah mengangkat kasus batas seperti ini.

  • Umpan balik positif dari pengguna yang men-self-host Kratos dan Oathkeeper untuk aplikasi onboarding di Australia dan mengatakan sebagian besar berjalan baik.

    • Berbagi pengalaman bahwa proses menerapkan UI kustom sangat melelahkan.
    • Sulit mengakses HTML/CSS karena memulai dari proyek contoh yang mencampur kode server dan CSS di dalam JS.
    • Ada pertanyaan tentang perkembangan proyek ini.

  • Menyampaikan kekhawatiran terhadap dukungan SMS.

    • Sudah diakui secara luas bahwa pesan teks SMS seharusnya tidak digunakan untuk tujuan autentikasi.
    • Dengan menyertakan tautan asli ke permintaan fitur, ditunjukkan bahwa kekhawatiran pengguna @zepatrik diabaikan.

  • Pertanyaan yang meminta saran tentang solusi yang baik untuk aplikasi B2B SaaS.

    • Membutuhkan login aplikasi, dan selain metode umum seperti kata sandi dan sosial, sedang mencari cara untuk menyesuaikan aturan berdasarkan domain email.
    • Berbagi pengalaman telah mencoba layanan seperti Authentik dan FusionAuth, tetapi merasa kurang cocok untuk kontrol per organisasi.

  • Ada pendapat bahwa ini bukan alternatif untuk Auth0, melainkan salah satu komponen yang membentuk alternatif untuk Auth0.

  • Kritik terhadap penggunaan 7 kontainer Docker oleh Ory Kratos untuk berjalan.

    • Terlihat berat jika dibandingkan dengan Keycloak yang berjalan hanya dengan 2 kontainer.
    • Ada pertanyaan tentang apa yang membenarkan "ukuran" seperti ini.

  • Kekhawatiran tentang pendaftaran, login, penghubungan akun, dan konversi session cookie menjadi JWT yang valid melalui magic link tanpa enkripsi yang dikirim lewat email dan SMS.

    • Ada pendapat bahwa CVE (Common Vulnerabilities and Exposures) tampaknya akan muncul dalam waktu satu tahun.

  • Berbagi pengalaman telah menggunakannya di lingkungan produksi selama kurang dari 2 tahun.

    • Ada banyak perbaikan, tetapi pengaturannya masih sulit dan jsonnet sangat kompleks.
    • Ada keputusan yang terasa aneh, seperti memungkinkan perubahan kata sandi meski tidak mengetahui kata sandi saat ini jika datang dari penyedia sosial dalam beberapa menit setelah login, tetapi secara keseluruhan tetap merupakan pesaing kuat di bidang ini.

  • Ada pendapat dari seseorang yang ingin menggunakan Kratos di proyek open source miliknya, tetapi merasa riset tentang seberapa baik dukungannya untuk menambahkan berbagai opsi penyimpanan belum cukup.

    • Proyek tersebut mendukung berbagai document store, dan ada keinginan untuk melakukan pekerjaan pengembangan agar Kratos dapat mengkueri penyimpanan yang sama.