Ory Kratos, die Open-Source-Alternative zu Auth0, unterstützt jetzt Passwordless und SMS

 (github.com/ory)
14 Punkte von xguru 2024-02-26 | 2 Kommentare | Auf WhatsApp teilen
  • Veröffentlichung von Ory Kratos v1.1: ein skalierbarer, sicherheitsgehärteter Open-Source-Identity-Server

Neue Funktionen und Verbesserungen

  • Telefonverifizierung & Zwei-Faktor-Authentifizierung (2FA) per SMS: Lässt sich leicht mit SMS-Gateways wie Twilio integrieren, um die Sicherheit zu erhöhen
  • Unterstützung für Übersetzung und Internationalisierung: Unterstützt verschiedene Sprachen und verbessert so die Zugänglichkeit für Nutzer weltweit
  • Native Login-Unterstützung für Google und Apple: Unterstützt auf mobilen Plattformen nativ „Mit Google anmelden“ und „Mit Apple anmelden“
  • Kontoverknüpfung: Fügt eine neue Funktion hinzu, die das Verknüpfen von Konten erleichtert, wenn man sich mit Social-Accounts anmeldet, die dieselbe E-Mail-Adresse verwenden
  • Passwordless-Login mit „Magic Code“: Anmeldung per einmaligem Code, der per E-Mail gesendet wird; kann als alternative Login-Methode genutzt werden, wenn das Passwort vergessen wurde oder Social Login nicht verfügbar ist
  • Sitzungen in JWT umwandeln: Wandelt Ory-Session-Cookies oder -Tokens in JSON Web Tokens (JWT) um und macht Session-Management sowie die Integration mit anderen Systemen flexibler
  • Verbesserte Zuverlässigkeit beim E-Mail-Versand: Verbessert die Zuverlässigkeit des E-Mail-Versands über verschiedene Anbieter
  • Verbesserungen an HTTP API und zugehörigen SDK-Methoden: Bessere Performance bei API-Aufrufen und benutzerfreundlichere Optimierungen
  • Einführung von Keyset-Paginierung: Führt Keyset-Paginierung ein, um die Performance bei Identitätslisten zu verbessern
  • Unterstützung mehrerer Origins für Passkeys und WebAuthn: Nützlich bei der Arbeit mit Subdomains
  • Verbesserter Logout-Flow: Leitet Nutzer bei API-Aufrufen zum konfigurierten return_to-Parameter weiter
  • Behebung eines Fehlers bei der Passwortbestätigung für Konfigurations-Updates: Behebt das Problem, dass bei Konfigurationsänderungen fälschlich eine Passwortbestätigung verlangt wurde
  • Login-Hinweise bei Registrierung mit bestehendem Konto: Gibt Nutzern, die sich mit einem bereits existierenden Konto registrieren wollen, Hinweise zur Anmeldung mit diesem bestehenden Konto
  • Hot-Reload-Unterstützung für CORS-Konfigurationen: Änderungen an CORS-Einstellungen können ohne Serverneustart übernommen werden
  • Verbesserte Integration mit Ory OAuth2 / Ory Hydra: Verbesserungen bei Logout, Login-Session-Management, Verifizierung und Recovery-Flows
  • Neue Passwordless-Login-Methode „Magic Code“ hinzugefügt: Anmeldung und Registrierung per einmaligem Code, der per E-Mail gesendet wird
  • Verbesserte Social-Login-Integration: Kann den verifizierten E-Mail-Status von Social-Login-Anbietern nutzen
  • Internationalisierung von Ory Elements und der standardmäßigen Ory Account Experience: Unterstützung für Internationalisierung per Übersetzung
  • Ory-Session-Cookies oder -Tokens in JWT umwandelbar: Fügt eine Funktion für Session-Management und die Integration mit anderen Systemen hinzu
  • Verbesserte Recovery-Funktion in nativen Apps: Nutzer können Recovery-Schritte abschließen, ohne in den Browser wechseln zu müssen
  • Neue Funktion für unscharfe Suche nach Nutzern über Identifikatoren durch Administratoren: Noch im Preview-Stadium
  • Import von HMAC-gehashten Passwörtern möglich: Neue Funktion zur Stärkung der Sicherheit
  • Unterstützung für die Aktualisierung von Metadaten für Identity-Administratoren per Webhook: Verbesserte Admin-Funktionen
  • Neue Funktion zum Widerrufen aller Sitzungen eines Nutzers bei Passwortänderung: Neue Funktion zur Stärkung der Sicherheit
  • Webhook-Unterstützung für Login, Registrierung und Login-Methoden: Webhook-Unterstützung für alle Login-Methoden einschließlich Passkeys, TOTP usw.
  • Korrekte Labels statt „ID“ im Login-Bildschirm anzeigen: Werden zum Beispiel aus Identifikator-Schemata wie „E-Mail“ oder „Benutzername“ übernommen
  • Bereitstellung von Login-Hinweisen: Bietet Nutzern nach fehlgeschlagenem Login Hilfestellung
  • Unterstützung für Telefonnummernverifizierung über SMS-Gateways wie Twilio: Neue Funktion zur Stärkung der Sicherheit
  • SMS-OTP als 2FA-Option hinzugefügt: Neue Funktion zur Erhöhung der Nutzersicherheit

Verwandte Beiträge

2 Kommentare

 
xguru 2024-02-26

Hacker-News-Kommentare

  • Die Behauptung, SMS-Verifizierung als 2FA (Zwei-Faktor-Authentifizierung) zu verwenden, sei nicht mehr sicher.

    • SMS werde inzwischen als Anti-Feature betrachtet. Kritisiert wird, dass damit das Problem nur verlagert werde.
    • Es gibt die Meinung, dass selbst E-Mail-Verifizierung besser sei als SMS, auch wenn das ebenfalls keine deutlich bessere Lösung ist.
    • Geldbörsen und Handys gehören zu den am häufigsten gestohlenen Gegenständen, und viele Menschen nutzen günstige Telefone oder Prepaid-SIMs.
    • Die eigene Identität an eine Telefonnummer zu binden, die eigentlich als temporär betrachtet werden sollte, birgt das Risiko, nach einigen Jahren keinen Zugriff mehr auf das Konto zu haben.
    • Es gibt viele Gründe, warum Menschen ihre Telefonnummer ändern: Wechsel des Anbieters, Nutzung einer anderen SIM auf Reisen, Verlust eines vom Arbeitgeber bereitgestellten Telefons bei Jobwechsel, Weigerung des Netzbetreibers, die bisherige Nummer zu übernehmen, oder dass die Nummer auf Spam-Listen landet.

  • Glückwünsche zur Ankündigung der neuen Funktionen sowie eine positive Bewertung der Behandlung von Telefonnummern als Bürger erster Klasse.

    • Ein Kommentar von jemandem, der beim Konkurrenten FusionAuth arbeitet.
    • Die Verknüpfung zwischen Social Accounts und bestehenden Konten auf Basis von E-Mail-Matching wird als neue Funktion vorgestellt.
    • Es gibt Dokumentation zu Szenarien, in denen ein Social Account mit einem bestehenden Konto verknüpft wird, sowie die Frage, ob auch der umgekehrte Fall möglich ist.
    • Es wird gefragt, wie der Fall behandelt wird, wenn sich ein Nutzer mit alice@example.com registriert hat und anschließend alice@gmail.com verknüpfen möchte.
    • Unklar ist, ob sich die Kontoverknüpfung pro Nutzer blockieren lässt oder ob sie systemweit aktiviert wird.
    • Die Funktion zur Kontoverknüpfung existiere bereits seit einigen Jahren, und Kunden hätten solche Grenzfälle schon früher angesprochen.

  • Positives Feedback von jemandem, der Kratos und Oathkeeper selbst gehostet in einer australischen Onboarding-App einsetzt und berichtet, dass es größtenteils gut funktioniert.

    • Es wird die Erfahrung geteilt, dass die Anpassung einer eigenen UI sehr mühsam war.
    • Ausgangspunkt war ein Beispielprojekt mit gemischtem Server-Code und CSS in JS, wodurch der Zugang zu HTML/CSS erschwert wurde.
    • Es wird nach dem Fortschritt dieses Projekts gefragt.

  • Ausdruck von Bedenken hinsichtlich der SMS-Unterstützung.

    • Es sei weithin anerkannt, dass SMS-Textnachrichten nicht für Authentifizierungszwecke verwendet werden sollten.
    • Mit Verweis auf den ursprünglichen Link zur Feature-Anfrage wird darauf hingewiesen, dass die Bedenken des Nutzers @zepatrik ignoriert worden seien.

  • Eine Frage, in der um Rat für eine gute Lösung für B2B-SaaS-Anwendungen gebeten wird.

    • Für den App-Login werde eine Lösung gesucht, die neben den üblichen Methoden wie Passwort und Social Login auch Regeln pro E-Mail-Domain anpassen kann.
    • Es wird die Erfahrung geteilt, dass Dienste wie Authentik und FusionAuth ausprobiert wurden, diese aber für eine organisationsbezogene Steuerung nicht geeignet gewesen seien.

  • Die Meinung, dass es sich weniger um eine Alternative zu Auth0 handle als vielmehr um eine der Komponenten, aus denen sich eine Alternative zu Auth0 zusammensetzt.

  • Kritik daran, dass Ory Kratos zum Betrieb 7 Docker-Container verwendet.

    • Im Vergleich zu Keycloak, das mit nur 2 Containern läuft, wirke es schwergewichtig.
    • Es wird gefragt, was diese „Größe“ rechtfertigt.

  • Bedenken hinsichtlich Registrierung, Login, Kontoverknüpfung und der Umwandlung von Session-Cookies in gültige JWTs über unverschlüsselte Magic Links, die per E-Mail und SMS versendet werden.

    • Es wird die Meinung geäußert, dass innerhalb eines Jahres eine CVE (Common Vulnerabilities and Exposures) auftauchen werde.

  • Geteilte Erfahrungen aus weniger als zwei Jahren Einsatz in einer Produktionsumgebung.

    • Es habe viele Verbesserungen gegeben, dennoch sei die Konfiguration weiterhin schwierig und jsonnet sehr komplex.
    • Zwar gebe es seltsame Entscheidungen, etwa dass ein Passwort geändert werden könne, ohne das aktuelle Passwort zu kennen, wenn der Login innerhalb weniger Minuten über einen Social Provider erfolgt sei, insgesamt sei es in diesem Bereich aber ein starker Wettbewerber.

  • Die Meinung, dass jemand Kratos gern in seinem Open-Source-Projekt eingesetzt hätte, aber nicht ausreichend untersucht habe, wie gut die Unterstützung für zusätzliche Speicheroptionen ist.

    • Es wird der Wunsch geäußert, Entwicklungsarbeit zu leisten, damit das Projekt verschiedene Dokumentenspeicher unterstützt und Kratos denselben Speicher abfragen kann.