Setup WebAuthn / passkey: login fără parolă cu Touch ID, Face ID sau YubiKey

Ce este o passkey

Passkey e o cheie criptografică pereche public/privat stocată în secure enclave-ul device-ului tău (chip dedicat pe Mac/iPhone/Android sau memorie protejată pe USB key). Cheia privată NU părăsește device-ul niciodată — Megaforms primește doar cheia publică la înregistrare. La login, browser-ul îți cere să confirmi cu Touch ID/Face ID/PIN hardware, semnează un challenge cu cheia privată, trimite semnătura. Server-ul o verifică cu cheia publică. Rezultat: zero parole de furat prin phishing, zero baze de date de parole sparte (Equifax, LinkedIn), zero reutilizare parolă pe 100 site-uri.

De ce passkey în plus față de TOTP

TOTP încă necesită parola + codul de 6 cifre — două lucruri de introdus și parola tot e furabilă prin phishing (atacant face site fake, tu introduci parola + codul TOTP, atacant îl folosește imediat). Passkey e legată criptografic de domeniul Megaforms — pe un site fake, browser-ul refuză să semneze. Plus: zero typing pentru utilizator. Recomandăm passkey ca metodă principală, TOTP ca backup.

Compatibilitate device-uri

Funcționează pe: macOS 13+ cu Touch ID sau Apple Silicon (passkey în iCloud Keychain, sync pe toate device-urile tale Apple); iOS 16+ cu Face ID/Touch ID; Android 9+ cu Google Password Manager; Windows 11 cu Windows Hello (PIN/fingerprint/face); orice browser cu USB key FIDO2 (YubiKey 5/5C, SoloKey, Token2, Feitian). Browser-e suportate: Chrome 108+, Safari 16+, Firefox 122+, Edge 108+.

Pasul 1: înregistrare passkey

Settings → Securitate → secțiunea „Passkey & chei hardware” → buton „Adaugă passkey”. Browser-ul afișează dialogul nativ („Use Touch ID to create a passkey for forms.megapromoting.com?”). Confirmă cu amprenta/face/PIN. În 1-2 secunde apare în lista de passkey-uri cu nume default „MacBook Pro · Touch ID” (modifică-l la „Mac muncă” sau cum vrei). Poți înregistra mai multe passkey-uri pentru același cont — recomandăm minim 2 (Mac + iPhone, sau Mac + YubiKey backup în seif).

Pasul 2: login cu passkey

Pe ecran de login, sub câmpul email, vezi buton „Login cu passkey”. Click → browser-ul afișează lista passkey-urilor înregistrate pentru forms.megapromoting.com → alege una → confirmă cu Touch ID → autentificat. Pe iPhone, dacă logarea o faci pe Mac dar passkey e doar pe telefon, apare QR code pe Mac → scan cu camera telefonului → Face ID pe telefon → Mac primește autentificare prin Bluetooth. Acest „hybrid transport” funcționează cross-platform (Mac ↔ Android, Windows ↔ iPhone).

Pierderea device-ului

Dacă pierzi MacBook-ul cu passkey: ai backup pe iPhone (passkey sync prin iCloud Keychain dacă ai activat) → login normal. Dacă nu ai backup și nu ai TOTP, scrie la support@megapromoting.md cu challenge de identitate. Recomandare puternică: înregistrează minim 2 passkey-uri pe device-uri diferite + păstrează TOTP activ ca al treilea fallback.

Hardware keys (YubiKey, SoloKey)

Pentru cei care nu vor passkey pe telefon/laptop (echipe enterprise, jurnaliști, devs cu acces producție): cumpără YubiKey 5C NFC (~$55) sau SoloKey USB-C ($45). Înregistrare identică: Settings → „Adaugă passkey” → la dialog alege „USB security key” în loc de Touch ID → introduci YubiKey în USB → atingi butonul auriu de pe ea → înregistrată. Login: introduci YubiKey, atingi, autentificat — zero biometrice, zero PIN dacă YubiKey e configurat fără PIN. Avantaj: o passkey hardware nu poate fi clonată din cloud (cum se întâmplă cu iCloud Keychain dacă cineva îți compromite Apple ID).

Implementare tehnică pe partea Megaforms

Folosim Web Authentication API (spec W3C) cu attestation packed și algoritmi ECDSA P-256 (alg -7) + RSA RS256 (alg -257) pentru compatibilitate maximă. Backend-ul stochează doar credentialId (random 64 bytes) + publicKey (COSE format) + counter (anti-clone). NICIODATĂ nu vedem parola sau cheia privată. Codul nostru WebAuthn e hand-rolled cu validare CBOR completă (nu librărie terță) pentru audit-abilitate — public pe github.com/megapromoting/forms-webauthn dacă vrei review.