使用WebAuthN可以拒绝某些类型的身份验证方法FIDO2)

时间:2019-11-26 05:32:35

标签: security authentication webauthn fido password-less

使用WebAuthN(https://w3c.github.io/webauthn/)进行身份验证时,是否可以隐藏某些身份验证选项?

例如,在webauthn.io上进行测试时,我的android设备显示了可用的身份验证类型,例如硬件密钥,蓝牙和指纹。我可以通过某种方式对其进行配置,使其不接受硬件密钥和蓝牙吗。

此外,当选择并使用我的指纹进行登录时,如果我使用错误的手指来强制其失败,则默认情况下是随后询问我的解锁模式,如果我输入了解锁模式,我仍然会成功。在我看来,解锁模式是不安全的,因为肮脏的屏幕会使屏幕上的图案带有污迹。我可以停止这种行为吗?如果指纹失败,则可以代替吗?

1 个答案:

答案 0 :(得分:0)

不是专家,但这是我最近在身份提供程序中实现WebAuthn / FIDO2支持时发现的:

  1. authenticatorSelection.authenticatorAttachment-为navigator.credentials.create()创建请求时,您可以指定是使用platform(即内置生物识别/ PIN)还是cross-platform(例如, g,外部USB / BT / NFC设备)。请注意,这只是为用户代理提供了有关您要做什么的提示。
  2. authenticatorSelection.userVerification-将其设置为required,除了纯粹的在场验证之外,用户还需要其他因素-即PIN或生物特征验证
  3. Attestation-符合FIDO2的设备可以提供证明信息,可以通过元数据服务进行验证。这将显示设备的功能,您可以在此基础上制定策略。例如。您可以坚持认为它必须使用防篡改硬件来保护私钥。
  4. 身份验证结果-可以提供有关如何验证用户的信息,因此您可以围绕该策略建立策略。

建议您自己不要专门针对黑名单/白名单设备,但MDS确实支持撤销证书,并且应受到依赖方的尊重。

相关问题
最新问题