Le parti di base (RP) possono determinare a quale provider di passkey viene creata una passkey esaminando l'AAGUID della credenziale della chiave pubblica associata.
Sfide con la gestione delle passkey
Uno dei vantaggi dell'utilizzo delle passkey è che consentono agli utenti di creare più passkey per un singolo account. Grazie a questa flessibilità e alla robustezza delle passkey, anche se l'utente non riesce ad accedere all'account perdendo una delle passkey, può comunque accedere al soggetto utilizzando passkey alternative.
La sfida per gli utenti che gestiscono più passkey su una parte soggetta a limitazioni è identificare la passkey giusta quando devono modificarne o eliminarne una specifica, tra le altre. Un buon esempio è quando un utente vuole rimuovere una passkey non utilizzata. Alle parti soggette a limitazioni si consiglia di allegare informazioni sulla passkey, come la data di creazione e la data dell'ultimo utilizzo nell'elenco delle passkey. In questo modo gli utenti possono trovare una passkey specifica.
Le parti soggette a limitazioni possono anche consentire agli utenti di assegnare un nome a una passkey non appena viene creata o in un secondo momento, ma molti utenti non lo fanno. Idealmente, le passkey vengono denominate automaticamente in base agli indicatori inviati dal client o alle informazioni incluse nella credenziale della chiave pubblica.
I browser forniscono una stringa dello user agent che le parti possono utilizzare per assegnare un nome alle passkey, ma piattaforme come Android, iOS o browser desktop con funzionalità di estensioni consentono di creare una passkey da parte di gestori delle password di terze parti e la stringa dello user agent non rappresenta necessariamente l'effettivo fornitore di passkey.
Con l'identificatore univoco globale (AAGUID) di Authenticator Attestation incluso nella credenziale della chiave pubblica restituita in una registrazione passkey, le parti soggette a limitazioni possono determinare il fornitore della passkey e utilizzarlo per consentire agli utenti di trovare facilmente la passkey giusta.
Determina il provider di passkey con AAGUID
AAGUID è un numero univoco che identifica il modello dell'autenticatore (non l'istanza specifica dell'autenticatore). L'AAGUID è disponibile nei dati dell'autenticatore di una credenziale di chiave pubblica.
Le parti soggette a limitazioni possono usare AAGUID per identificare il provider di passkey. Ad esempio, se un utente crea una passkey su un dispositivo Android usando Gestore delle password di Google, la parte soggetta a limitazioni riceverà un AAGUID di "ea9b8d66-4d01-1d21-3ce4-b6b48cb575d4"
. La parte soggetta a limitazioni può annotare la passkey nell'elenco delle passkey per indicare che è stata creata su Gestore delle password di Google.
Per mappare un AAGUID a un provider di passkey, le parti soggette a limitazioni possono utilizzare un repository AAGUID di una community. Cercando l'AAGUID nell'elenco, è possibile trovare il nome del provider di passkey e il testo dei dati SVG dell'icona.
Il recupero dell'AAGUID è una funzionalità fornita dalla maggior parte delle librerie WebAuthn. L'esempio seguente mostra il codice di registrazione lato server utilizzando SimpleWebAuthn:
// Import a list of AAGUIDs from a JSON file
import aaguids from './aaguids.json' with { type: 'json' };
...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
response: credential,
expectedChallenge,
expectedOrigin,
expectedRPID,
requireUserVerification: false,
});
...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || 'Unknown';
Conclusione
AAGUID è una stringa univoca che identifica il fornitore di passkey che ha creato una passkey. Le parti soggette a limitazioni possono usare AAGUID per consentire agli utenti di gestire più facilmente le proprie passkey. È possibile utilizzare un repository di AAGUID proveniente dalla community per mappare gli AAGUID ai provider di passkey.