gpt4 book ai didi

security - 使用 WebAuthN 是否可以拒绝某些类型的身份验证方法 FIDO2)

转载 作者:行者123 更新时间:2023-12-04 10:58:01 26 4
gpt4 key购买 nike

使用 WebAuthN ( https://w3c.github.io/webauthn/ ) 进行身份验证时,是否可以隐藏某些身份验证选项?

例如,在 webauthn.io 上进行测试时,我的 android 设备显示可用的身份验证类型,如硬件 key 、蓝牙和指纹。我是否可以以某种方式将其配置为不接受硬件 key 和蓝牙。

另外,在选择和使用我的指纹登录时,如果我用错误的手指强制它失败,它默认为然后询问我的解锁图案,如果我输入我的解锁图案,我仍然会成功。在我看来,解锁图案并不安全,因为脏屏幕会在屏幕上留下带有污迹的图案。 parent 也把别针送给 children 。如果指纹失败错误,我可以停止这种行为吗?

最佳答案

不是专家,但这是我最近在我们的身份提供者中实现 WebAuthn/FIDO2 支持时发现的:

  • authenticatorSelection.authenticatorAttachment - 当您为 navigator.credentials.create() 创建请求时您可以指定是否应该使用 platform (即内置生物识别/PIN)或cross-platform (例如,外部 USB/BT/NFC 设备)。请注意,这只是为用户代理提供了有关您所追求的内容的提示。
  • authenticatorSelection.userVerification - 将此设置为 required并且除了验证存在性之外,它还需要用户提供额外的因素 - 即 PIN 或生物识别挑战
  • 证明 - 符合 FIDO2 的设备可以提供可通过元数据服务进行验证的证明信息。这将公开设备的功能,您可以以此为基础制定策略。例如。您可以坚持要求它必须使用防篡改硬件来保护私钥。
  • 身份验证结果 - 可以提供有关如何验证用户的信息,以便您可以围绕它构建策略。此扩展的规范在这里:https://www.w3.org/TR/webauthn/#sctn-uvm-extension

  • 建议不是自己专门将设备列入黑/白名单,但 MDS 确实支持撤销认证,依赖方应该尊重这一点。

    关于security - 使用 WebAuthN 是否可以拒绝某些类型的身份验证方法 FIDO2),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59044352/

    26 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com