使用 WebAuthN (https://w3c.github.io/webauthn/) 进行身份验证时,是否可以隐藏某些身份验证选项?
例如,在 webauthn.io 上进行测试时,我的 Android 设备会显示可用的身份验证类型,例如硬件密钥、蓝牙和指纹。我是否可以以某种方式将其配置为不接受硬件密钥和蓝牙。
另外,当我选择并使用我的指纹登录时,如果我用错误的手指强制它失败,它默认会询问我的解锁图案,如果我输入我的解锁图案,我仍然会成功。在我看来,解锁图案并不安全,因为脏屏幕会在屏幕上留下带有污迹的图案。父母也把别针给孩子。如果指纹失败,我可以停止这种行为吗?
【问题讨论】:
标签: security authentication webauthn fido password-less
不是专家,但这是我最近在我们的身份提供者中实现 WebAuthn/FIDO2 支持时发现的:
authenticatorSelection.authenticatorAttachment - 当您创建navigator.credentials.create() 的请求时,您可以指定它应该使用platform(即内置生物识别/PIN)还是cross-platform(例如,外部USB/BT/NFC 设备) .请注意,这只是给用户代理一个关于你在追求什么的提示。authenticatorSelection.userVerification - 将其设置为 required,除了验证存在之外,它还需要用户额外的因素 - 即 PIN 或生物识别挑战建议不要专门将设备列入黑/白名单,但 MDS 确实支持撤销认证,依赖方应尊重这一点。
【讨论】:
navigator.credentials.create 搜索了结果,但看不到任何我可以使用的东西,不幸的是,navigator.credentials.get 的结果相同
amr 在我的 IDP 发出的结果令牌中声明值。