Implementing passwordless identity and access management system for a web application
Pietilä, Joonas (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024060320443
https://urn.fi/URN:NBN:fi:amk-2024060320443
Tiivistelmä
Autentikointi ja auktorisointi ovat keskeisiä käyttäjänhallinnan mekanismeja monille internetin välityksellä tarjottaville palveluille. Käyttäjien autentikointi on perinteisesti perustunut salasanojen käyttämiseen, johon on liittynyt paljon potentiaalisia ongelmia. Salasanat voivat olla liian lyhyitä tai helposti arvattavia, niitä kierrätetään useissa eri palveluissa, ne voivat vuotaa tietokantamurtojen ja vaarantuneiden yhteyksien kautta tai ne voidaan suoraan antaa käyttäjän toimesta hyökkääjille useissa erilaisissa sosiaalisen manipuloinnin varaan rakentuvissa hyökkäyksissä.
Kryptografiaan perustuvat salasanattomat autentikointijärjestelmät ovat huomattavasti turvallisempi vaihtoehto salasanoille. Tämän opinnäytetyön tavoitteena oli perehtyä yhteen salasanattoman pääsynhallinnan standardiin ja toteuttaa sen avulla täysin salasanaton pääsynhallintajärjestelmä www-sovellukseen. Pitkälti tekniseen dokumentaatioon perehtymisen pohjalta suunniteltiin ja toteutettiin yksi tällainen järjestelmä.
Tässä opinnäytetyössä käydään läpi sekä salasanattoman autentikaation taustalla olevan standardin teoria että tuloksena syntyneen salasanattoman pääsynhallintajärjestelmän käytännön toteutus. Lopputuloksena voidaan nähdä, kuinka oikeilla teknologiavalinnoilla voidaan toteuttaa täysin salasanaton pääsynhallintajärjestelmä perinteisen salasanoihin perustuvan järjestelmän sijaan. Authentication and authorization are key mechanisms of user management for many internet services. User authentication has customarily been based on using passwords, which has a lot of inherent problems. Passwords can be too short and simple to guess, reused across multiple services, leaked through compromised databases or internet connections, or given to attackers through a multitude of different attacks including social engineering.
Cryptography based passwordless authentication systems offer a different and much more secure alternative to using passwords. The goal of this thesis was to examine one such standard and build a web application with a completely passwordless identity and access management implementation. One such implementation was designed and built, using mainly technical documentation to research passwordless authentication standards and available technologies to include all the different services needed for a deployable web application.
Both the underlying theory behind the passwordless authentication standard and the practical implementation of the built system are discussed in this thesis. As a result, we can see one possible implementation of a solid and secure passwordless access management system integrated to a regular web application tech stack. Using proper technologies to build the needed services and the integrations between them this can be achieved just the same as the traditional password-based system would be.
Kryptografiaan perustuvat salasanattomat autentikointijärjestelmät ovat huomattavasti turvallisempi vaihtoehto salasanoille. Tämän opinnäytetyön tavoitteena oli perehtyä yhteen salasanattoman pääsynhallinnan standardiin ja toteuttaa sen avulla täysin salasanaton pääsynhallintajärjestelmä www-sovellukseen. Pitkälti tekniseen dokumentaatioon perehtymisen pohjalta suunniteltiin ja toteutettiin yksi tällainen järjestelmä.
Tässä opinnäytetyössä käydään läpi sekä salasanattoman autentikaation taustalla olevan standardin teoria että tuloksena syntyneen salasanattoman pääsynhallintajärjestelmän käytännön toteutus. Lopputuloksena voidaan nähdä, kuinka oikeilla teknologiavalinnoilla voidaan toteuttaa täysin salasanaton pääsynhallintajärjestelmä perinteisen salasanoihin perustuvan järjestelmän sijaan.
Cryptography based passwordless authentication systems offer a different and much more secure alternative to using passwords. The goal of this thesis was to examine one such standard and build a web application with a completely passwordless identity and access management implementation. One such implementation was designed and built, using mainly technical documentation to research passwordless authentication standards and available technologies to include all the different services needed for a deployable web application.
Both the underlying theory behind the passwordless authentication standard and the practical implementation of the built system are discussed in this thesis. As a result, we can see one possible implementation of a solid and secure passwordless access management system integrated to a regular web application tech stack. Using proper technologies to build the needed services and the integrations between them this can be achieved just the same as the traditional password-based system would be.