¿Qué es authenticatorSelection en WebAuthn?

En WebAuthn, authenticatorSelection es una parte importante del objeto PublicKeyCredentialCreationOptions. Esta característica permite a las Partes Confidentes (RPs) especificar criterios para seleccionar los autenticadores apropiados durante la operación create(). Su importancia radica en:

• Definir los requisitos del autenticador: Determina el tipo de autenticadores que pueden participar en el proceso de registro.
• Vinculación del autenticador: Determina si el autenticador es de plataforma (p. ej., Face ID, Touch ID, Windows Hello) o un autenticador multiplataforma (itinerante).
• Verificación de usuario: Establece el requisito para la verificación de usuario (p. ej., "preferred", "required" o "discouraged").

Become part of our Passkeys Community for updates & support.

Join

    "authenticatorSelection": {
      "authenticatorAttachment": "platform",
      "residentKey": "required",
      "requireResidentKey": false,
      "userVerification": "required",
    }

A continuación, desglosamos los posibles valores y configuraciones de authenticatorSelection.

authenticatorSelection en WebAuthn es esencial para garantizar que el proceso de autenticación se alinee con los requisitos de seguridad específicos y las preferencias de experiencia de usuario. Ofrece a las Partes Confidentes la flexibilidad de adaptar el proceso de registro según sus necesidades de seguridad.

Aquí tienes un resumen de los posibles valores, tal como se especifican en la especificación de WebAuthn:

Valores posibles:

• Platform: El autenticador está integrado en la plataforma del cliente y, por lo tanto, no se puede extraer.
• Cross-platform: El autenticador no está vinculado a la plataforma del cliente y se puede usar en múltiples dispositivos.

Este valor especifica si la Parte Confidente quiere crear una credencial detectable. Los valores posibles son:

• required: El autenticador debe crear una clave residente y la operación debe fallar si esto no es posible.
• preferred: El autenticador debe intentar crear una clave residente y, si no es posible, debe crear una clave no residente.
• discouraged: El autenticador debe crear una clave no residente y la operación debe fallar si esto no es posible.

Este valor solo se usa por retrocompatibilidad con WebAuthn nivel 1, y se establece en "true" si residentKey se establece en "required".

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Este valor indica si se requiere la verificación de usuario para la operación. Los valores posibles son:

• required: La operación debe verificar al usuario.
• preferred: La operación debería verificar al usuario, pero puede continuar sin hacerlo (valor estándar).
• discouraged: La operación no debería verificar al usuario.

Advertencia: Si se establece en "preferred", el autenticador puede omitir la verificación de usuario en el proceso de autenticación. Puedes leer más sobre este problema en este artículo.

authenticatorSelection en WebAuthn permite a las Partes Confidentes especificar el tipo de autenticadores adecuados para su proceso de autenticación, incluyendo el requisito de verificación de usuario y el tipo de autenticador.

Afecta la experiencia de usuario al determinar el tipo de autenticador utilizado (de plataforma o itinerante) y establecer el nivel de verificación de usuario, influyendo así en la facilidad y seguridad del proceso de autenticación.

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

La configuración de authenticatorAttachment en authenticatorSelection determina si se requiere un autenticador de plataforma fijo o un autenticador multiplataforma extraíble, lo que afecta las características físicas y funcionales del proceso de autenticación.