Was ist authenticatorSelection in WebAuthn?

In WebAuthn ist authenticatorSelection ein wichtiger Teil des PublicKeyCredentialCreationOptions-Objekts. Diese Funktion ermöglicht es Relying Parties (RPs), Kriterien für die Auswahl der passenden Authenticatoren während des create()-Vorgangs festzulegen. Die Funktion ist aus folgenden Gründen wichtig:

• Definition der Authenticator-Anforderungen: Legt fest, welche Arten von Authenticatoren am Registrierungsprozess teilnehmen können.
• Authenticator-Anbindung: Bestimmt, ob der Authenticator ein Plattform-Authenticator (z. B. Face ID, Touch ID, Windows Hello) oder ein plattformübergreifender (Roaming) Authenticator ist.
• Nutzerverifizierung: Legt die Anforderung für die Nutzerverifizierung fest (z. B. „preferred“, „required“ oder „discouraged“).

Become part of our Passkeys Community for updates & support.

Join

    "authenticatorSelection": {
      "authenticatorAttachment": "platform",
      "residentKey": "required",
      "requireResidentKey": false,
      "userVerification": "required",
    }

Im Folgenden schlüsseln wir die möglichen Werte und Konfigurationen von authenticatorSelection genauer auf.

authenticatorSelection in WebAuthn ist entscheidend, um sicherzustellen, dass der Authentifizierungsprozess spezifischen Sicherheitsanforderungen und den Wünschen der Nutzer an das Nutzungserlebnis entspricht. Es bietet Relying Parties die Flexibilität, den Registrierungsprozess an ihre Sicherheitsbedürfnisse anzupassen.

Hier ist eine Übersicht der möglichen Werte, wie sie in der WebAuthn-Spezifikation festgelegt sind:

Mögliche Werte:

• Platform: Der Authenticator ist an die Plattform des Clients gebunden und daher nicht entfernbar.
• Cross-platform: Der Authenticator ist nicht an die Plattform des Clients gebunden und kann auf mehreren Geräten verwendet werden.

Dieser Wert gibt an, ob die Relying Party eine auffindbare Anmeldeinformation (discoverable credential) erstellen möchte. Mögliche Werte sind:

• required: Der Authenticator muss einen Resident Key erstellen. Der Vorgang schlägt fehl, wenn dies nicht möglich ist.
• preferred: Der Authenticator sollte versuchen, einen Resident Key zu erstellen. Wenn dies nicht möglich ist, sollte er einen Non-Resident Key erstellen.
• discouraged: Der Authenticator muss einen Non-Resident Key erstellen. Der Vorgang schlägt fehl, wenn dies nicht möglich ist.

Dieser Wert wird nur aus Gründen der Abwärtskompatibilität mit WebAuthn Level 1 verwendet. Er wird auf „true“ gesetzt, wenn residentKey auf „required“ gesetzt ist.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Dieser Wert gibt an, ob eine Nutzerverifizierung für den Vorgang erforderlich ist. Mögliche Werte sind:

• required: Der Vorgang muss den Nutzer verifizieren.
• preferred: Der Vorgang sollte den Nutzer verifizieren, kann aber auch ohne Verifizierung fortgesetzt werden (Standardwert).
• discouraged: Der Vorgang sollte den Nutzer nicht verifizieren.

Warnung: Wenn dieser Wert auf „preferred“ gesetzt ist, kann der Authenticator die Nutzerverifizierung während des Authentifizierungsprozesses überspringen. Mehr zu diesem Thema erfahren Sie in diesem Artikel.

Mit authenticatorSelection in WebAuthn können Relying Parties den Typ der Authenticatoren festlegen, die für ihren Authentifizierungsprozess geeignet sind. Dies schließt die Anforderung zur Nutzerverifizierung und den Typ des Authenticators ein.

Es beeinflusst das Nutzererlebnis, indem es den Typ des verwendeten Authenticators (Plattform oder Roaming) bestimmt und das Niveau der Nutzerverifizierung festlegt. Dadurch werden die Einfachheit und Sicherheit des Authentifizierungsprozesses beeinflusst.

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

Die Einstellung authenticatorAttachment in authenticatorSelection gibt vor, ob ein fest installierter Plattform-Authenticator oder ein entfernbarer plattformübergreifender Authenticator erforderlich ist. Dies beeinflusst die physischen und funktionalen Eigenschaften des Authentifizierungsprozesses.