O que é authenticatorSelection no WebAuthn?

No WebAuthn, o authenticatorSelection é uma parte importante do objeto PublicKeyCredentialCreationOptions. Esse recurso permite que as Relying Parties (RPs) especifiquem critérios para selecionar os autenticadores apropriados durante a operação create(). Sua importância está em:

• Definir os requisitos do Autenticador: Determina o tipo de autenticadores que podem participar do processo de registro.
• Anexação do Autenticador: Determina se o autenticador é de plataforma (ex: Face ID, Touch ID, Windows Hello) ou um autenticador multiplataforma (roaming).
• Verificação do Usuário: Define o requisito para a verificação do usuário (ex: "preferred", "required" ou "discouraged").

    "authenticatorSelection": {
      "authenticatorAttachment": "platform",
      "residentKey": "required",
      "requireResidentKey": false,
      "userVerification": "required",
    }

Continue lendo para uma análise detalhada dos possíveis valores e configurações do authenticatorSelection.

O authenticatorSelection no WebAuthn é essencial para garantir que o processo de autenticação esteja alinhado com requisitos de segurança específicos e preferências de experiência do usuário. Ele oferece às Relying Parties a flexibilidade de personalizar o processo de registro de acordo com suas necessidades de segurança.

Aqui está uma visão geral dos valores possíveis, conforme especificado na especificação WebAuthn:

Valores possíveis:

• Platform: O autenticador está anexado à plataforma do cliente e, portanto, não é removível.
• Cross-platform: O autenticador não está vinculado à plataforma do cliente e pode ser usado em vários dispositivos.

Este valor especifica se a Relying Party deseja criar uma credencial detectável. Os valores possíveis são:

• required: O autenticador deve criar uma resident key e a operação deve falhar se isso não for possível.
• preferred: O autenticador deve tentar criar uma resident key e deve criar uma non-resident key se isso não for possível.
• discouraged: O autenticador deve criar uma non-resident key e a operação deve falhar se isso não for possível.

Este valor é usado apenas para retrocompatibilidade com o WebAuthn nível 1, sendo definido como "true" se residentKey for definido como "required".

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Este valor indica se a Verificação do Usuário é necessária para a operação. Os valores possíveis são:

• required: A operação deve verificar o usuário.
• preferred: A operação deve verificar o usuário, mas pode prosseguir sem verificação (valor padrão).
• discouraged: A operação não deve verificar o usuário.

Aviso: Se definido como "preferred", o autenticador pode pular a verificação do usuário no processo de autenticação. Leia mais sobre esse problema neste artigo.

O authenticatorSelection no WebAuthn permite que as Relying Parties especifiquem o tipo de autenticadores adequados para seu processo de autenticação, incluindo o requisito de verificação do usuário e o tipo de autenticador.

Ele afeta a experiência do usuário ao determinar o tipo de autenticador usado (de plataforma ou roaming) e definir o nível de verificação do usuário, influenciando assim a facilidade e a segurança do processo de autenticação.

Experiment with passkey flows in the Passkeys Debugger.

Try for Free

A configuração authenticatorAttachment no authenticatorSelection determina se um autenticador de plataforma fixo ou um autenticador multiplataforma removível é necessário, afetando as características físicas e funcionais do processo de autenticação.

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →