确保使用FIDO2认证的安全密钥

Question

我们计划为具有敏感数据的IT系统引入FIDO2安全密钥和无密码登录，并希望确保只使用FIDO2认证的安全密钥。在注册过程中，我们如何识别这些密钥而拒绝未经认证的密钥？WebAuthn是否提供关于密钥的任何这样的信息？有可能吗？

我们的目标是防止使用未正确实现的安全密钥，例如不将私钥存储在安全硬件中或跳过用户验证的密钥。我们想要防止人们不小心或故意地破坏安全。

IT系统具有web用户界面。因此，与FIDO2键的通信将通过HTML / Javascript / WebAuthn进行。

我们知道，我们可以购买认证的安全密钥，集中提供，然后分发给用户。然而，这一过程既昂贵又缓慢。因此，我们希望用户能够携带或购买自己的FIDO2密钥并自己注册。

Answer 1

这是可能的:您将使用的WebAuthn库(可能--您仍然应该检查它)返回在注册过程中使用哪种类型的认证。"none"认证意味着您对所使用的FIDO2密钥没有任何保证，而其他类型的认证可以为您提供各种保证(使用FIDO1或FIDO2)。

例如，您可以限制对Attestation CA认证类型的访问，只使用FIDO2元数据服务。在这种情况下，只有在元数据中注册的FIDO2安全密钥才允许用户注册。

另外，一些库返回注册中涉及的身份验证器元数据，这意味着您实际上可以将授权的安全密钥白名单。

长话短说:这在技术上是可能的，应该由您的FIDO2 / WebAuthn库来处理。