我目前正在研究基于 Web 身份验证的身份验证流程。我有一个 yubikey 5 设备来测试它。
对于认证仪式,我使用以下设置:
我发现,当使用具有这些设置的 Chrome 时,始终会向用户请求设备 PIN 码。这种行为在 Firefox 中有所不同。在这种情况下, 不会向用户请求 PIN。
这可以在此演示站点中轻松重现:有人知道为什么两种浏览器之间的行为不同吗?这可能是 Chrome 中的一个错误吗?提前谢谢您。
注意:已测试版本:
在这种情况下,我假设您使用 UV=discouraged 创建了密钥?
由于您没有使用白名单并且安全密钥已配置 UV,因此可能会强制用户进行验证,因为密钥是主要登录凭据(例如,它们是多因素的),您不希望用户选择一把安全钥匙,可以完全访问某人的帐户。
由于您更多地在第二因素/逐步式流程中使用此功能,因此您可以使用允许列表进行测试,看看是否仍然需要 UV?