那些遇到过的问题

跨多个设备管理 webauthn 凭据

San*_*osh 8 webauthn

我正在尝试将基于 webauthn(公钥)的身份验证集成到我们的网站中。当最终用户切换设备时,我遇到了问题。

如果我们不知道如何决定是显示基于 webauthn 的身份验证还是现在显示当前设备,我们如何在后端维护每个设备注册的凭据?

这些是我能想到的唯一解决方案:

  1. 使用 localStorage、cookie 等来存储设备标识符,但所有这些都可以由最终用户清除
  2. 如果密钥在一台设备上注册,我们会在每台设备上向他们显示网络身份验证,如果找不到密钥,我们会要求他们在此设备上注册

Flx*_*dnz 5

您强调了 WebAuthn 当前存在的关键问题之一,特别是对于 Windows Hello、Touch ID 等平台身份验证器。

您建议的解决方案基本上是您所能做的,但请注意,两者都远非完美。尤其是本地存储可能是一个真正的兔子洞。

您可能想查看 FIDO 联盟关于“多设备 FIDO 凭证”的最新白皮书,您将了解行业正在采取哪些措施来改善这种情况:https://fidoalliance.org/white-paper-multi-设备-fido-凭证/

  • @FixMgdnz 我刚刚阅读了您链接到的有关多设备 FIDO 凭证的论文。一些用例: 1. 用户拥有多台设备,并在其中一台设备上注册特定应用程序,但还需要使用其他设备。2. 用户丢失设备 3. 用户从 Android 切换到 iOS,或反之亦然 根据该论文,硬件设备供应商将提供跨设备同步用户密钥的方法。但如果从 Android 迁移到 iOS,他们会相互协作吗?另外,将安全性集中到几家大型私营公司真的是一件好事吗? (3认同)

归档时间:

查看次数:

3134 次

最近记录:

3 年,6 月 前
相关归档
集成测试 WebAuthN 作为 2FA 选项 9
多个 Android 应用程序(同一设备)可以共享相同的密钥对以使用 FIDO 2 协议进行无密码身份验证吗? 9
无法从 webauthn 获取凭据(Chrome + Android) 8
Firebase Fido2身份验证支持 6
如何在Javascript中判断设备是否可以使用Webauthn指纹登录? 5
如何为 Android 和 IOS 实现 FIDO2 (WebAuthn) 5
我可以使用手机作为带有 Windows 10 登录选项的 webauthn 安全密钥吗 5
无法将 AppId 扩展与 WebAuthn 用于先前注册的 U2F 密钥 5
删除使用 Web Authentication API 创建的凭据 1
Chrome 浏览器中未检测到 BLE 0
难疑归档
使用Git将最近的提交移动到新分支 4647
如何使用Curl从终端/命令行发布JSON数据到测试Spring REST? 2606
深度克隆对象 2135
什么是三法则? 2067
显示两个修订版之间已更改的文件 2041
如何使用对象作为成员循环一个普通的JavaScript对象? 1521
你如何存放未跟踪的文件? 1287
如何在悬停而不是单击时使Twitter Bootstrap菜单下拉列表 1146
将ArrayList <String>转换为String []数组 1102
获取Oracle中所有表的列表? 1073