Chrome 是否忽略 WebAuthentication“userVerification”设置?

问题描述 投票:0回答:1

我目前正在研究基于 Web 身份验证的身份验证流程。我有一个 yubikey 5 设备来测试它。

对于认证仪式,我使用以下设置:

  • allowCredentials: [](一个空数组,因为我想使用可发现的凭据)
  • userVerification:不鼓励(为了最大限度地减少对用户交互流程的干扰)

我发现,当使用具有这些设置的 Chrome 时,始终会向用户请求设备 PIN 码。这种行为在 Firefox 中有所不同。在这种情况下, 不会向用户请求 PIN。

这可以在此演示站点中轻松重现:

https://webauthn.io/

有人知道为什么两种浏览器之间的行为不同吗?这可能是 Chrome 中的一个错误吗?

提前谢谢您。

注意:已测试版本:

    Chrome 123.0.6312.86(官方版本)(64 位)
    • 火狐 124.0(64 位)
javascript google-chrome firefox webauthn yubikey
1个回答
0
投票
当在 Chrome 中的安全密钥上创建 UV=required 或 Preferred 的密钥时,它们是使用 credProtect 级别 3 创建的,这意味着使用凭据时需要用户验证。

在这种情况下,我假设您使用 UV=discouraged 创建了密钥?

由于您没有使用白名单并且安全密钥已配置 UV,因此可能会强制用户进行验证,因为密钥是主要登录凭据(例如,它们是多因素的),您不希望用户选择一把安全钥匙,可以完全访问某人的帐户。

由于您更多地在第二因素/逐步式流程中使用此功能,因此您可以使用允许列表进行测试,看看是否仍然需要 UV?

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.