Ce document décrit ce qu'est userVerification
dans WebAuthn et les comportements du navigateur qui se produisent lorsque userVerification
est spécifié lors de la création ou de l'authentification de la clé d'accès.
Qu'est-ce que la "validation de l'utilisateur" ? dans WebAuthn ?
Les clés d'accès reposent sur la cryptographie à clé publique. Lorsque vous créez une clé d'accès, une paire de clés publique-privée est générée, la clé privée est stockée par le fournisseur de clé d'accès et la clé publique est renvoyée au serveur du tiers de confiance pour la stocker. Le serveur peut authentifier un utilisateur en vérifiant une signature signée par la même clé d'accès à l'aide de la clé publique associée. L’« utilisateur présent » (UP) sur un identifiant de clé publique prouve qu'une personne a interagi avec l'appareil lors de l'authentification.
La vérification de l'utilisateur est une couche de sécurité facultative qui vise à vérifier que la bonne personne, et pas seulement une personne, était présente lors de l'authentification, comme le montre la présence de l'utilisateur. Sur les smartphones, cela se fait généralement à l'aide du mécanisme de verrouillage de l'écran, qu'il s'agisse d'une empreinte biométrique, d'un code ou d'un mot de passe. Si la validation de l'utilisateur a été effectuée est indiqué dans l'UV indicateur renvoyé dans les données de l'authentificateur lors de l'enregistrement et de l'authentification de la clé d'accès
<ph type="x-smartling-placeholder"> <ph type="x-smartling-placeholder">Validation des mises à jour UP et UV sur le serveur
Les indicateurs booléens de présence de l'utilisateur (UP) et UV (vérifié par l'utilisateur) sont signalés au serveur dans le champ de données de l'authentificateur. Lors de l'authentification, le contenu du champ de données de l'authentificateur peut être validé en vérifiant la signature à l'aide de la clé publique stockée. Tant que la signature est valide, le serveur peut considérer les indicateurs comme authentiques.
<ph type="x-smartling-placeholder">Lors de l'enregistrement et de l'authentification de la clé d'accès, le serveur doit vérifier que l'indicateur UP est true
et s'il est true
ou false
, selon les exigences.
Spécifier le paramètre userVerification
Conformément à la spécification WebAuthn, la RP peut demander une validation de l'utilisateur avec un paramètre userVerification
lors de la création et de l'assertion des identifiants. Il accepte 'preferred'
, 'required'
ou 'discouraged'
, ce qui signifie respectivement:
'preferred'
(par défaut): il est préférable d'utiliser une méthode de validation de l'utilisateur sur l'appareil, mais celle-ci peut être ignorée si elle n'est pas disponible. L'identifiant de réponse contient une valeur d'indicateur UV detrue
si la vérification de l'utilisateur a été effectuée et defalse
si aucune vérification UV n'a été effectuée.'required'
: vous devez appeler une méthode de validation de l'utilisateur disponible sur l'appareil. Si aucun n'est disponible, la requête échoue localement. Cela signifie que l'identifiant de réponse est toujours renvoyé avec l'indicateur UV défini surtrue
.'discouraged'
: nous vous déconseillons d'utiliser une méthode de validation des utilisateurs. Cependant, selon l'appareil, la validation de l'utilisateur peut être effectuée quand même, et l'indicateur UV peut contenirtrue
oufalse
.
Exemple de code pour la création de clés d'accès:
const publicKeyCredentialCreationOptions = {
// ...
authenticatorSelection: {
authenticatorAttachment: 'platform',
residentKey: 'required',
requireResidentKey: true,
userVerification: 'preferred'
}
};
const credential = await navigator.credentials.create({
publicKey: publicKeyCredentialCreationOptions
});
Exemple de code pour l'authentification par clé d'accès:
const publicKeyCredentialRequestOptions = {
challenge: /* Omitted challenge data... */,
rpId: 'example.com',
userVerification: 'preferred'
};
const credential = await navigator.credentials.get({
publicKey: publicKeyCredentialRequestOptions
});
Quelle option devriez-vous choisir pour userVerification
?
La valeur userVerification
à utiliser dépend des exigences de votre application ainsi que de vos besoins en termes d'expérience utilisateur.
Dans quel contexte utiliser userVerification='preferred'
?
Utilisez userVerification='preferred'
si vous privilégiez l'expérience utilisateur à la protection.
Dans certains environnements, la vérification de l'utilisateur est plus complexe que la protection. Par exemple, sur macOS où Touch ID n'est pas disponible (parce que l'appareil n'est pas compatible, qu'il est désactivé ou que l'appareil est en mode clapet), l'utilisateur est invité à saisir son mot de passe système. Cela crée des frictions, et l'utilisateur peut abandonner complètement l'authentification. S'il est plus important pour vous d'éliminer les frictions, utilisez userVerification='preferred'
.
Avec userVerification='preferred'
, l'indicateur UV est true
si la validation de l'utilisateur a bien été effectuée et false
si la validation de l'utilisateur est ignorée. Par exemple, sous macOS, où Touch ID n'est pas disponible, il demande à l'utilisateur de cliquer sur un bouton pour ignorer la validation de l'utilisateur. Les identifiants de la clé publique incluent un indicateur UV false
.
L'indicateur UV peut alors être un signal dans votre analyse des risques. Si la tentative de connexion semble risquée en raison d'autres facteurs, vous pouvez présenter d'autres questions d'authentification à l'utilisateur si la validation de l'utilisateur n'a pas été effectuée.
<ph type="x-smartling-placeholder">Dans quel contexte utiliser userVerification='required'
?
Utilisez userVerification='required'
si vous pensez que les valeurs UP et UV sont absolument nécessaires.
Un inconvénient de cette option est que l'utilisateur peut rencontrer des difficultés lors de la connexion. Par exemple, sur macOS où Touch ID n'est pas disponible, l'utilisateur est invité à saisir son mot de passe système.
userVerification='required'
vous permet de vous assurer que la validation de l'utilisateur est effectuée sur l'appareil. Assurez-vous que le serveur vérifie que l'indicateur UV est true
.
Conclusion
Grâce à la validation des utilisateurs, les tiers qui s'appuient sur les clés d'accès peuvent évaluer la probabilité que le propriétaire de l'appareil se connecte. Ils décident d'exiger la validation de l'utilisateur ou de la rendre facultative en fonction de l'impact du mécanisme de connexion de remplacement sur le parcours utilisateur. Assurez-vous que le serveur vérifie les indicateurs UP et UV pour l'authentification des utilisateurs par clé d'accès.