O que é authenticatorSelection no WebAuthn?

No WebAuthn, o authenticatorSelection é uma parte importante do objeto PublicKeyCredentialCreationOptions. Esse recurso permite que as Relying Parties (RPs) especifiquem critérios para selecionar os autenticadores apropriados durante a operação create(). Sua importância está em:

• Definir os requisitos do Autenticador: Determina o tipo de autenticadores que podem participar do processo de registro.
• Anexação do Autenticador: Determina se o autenticador é de plataforma (ex: Face ID, Touch ID, Windows Hello) ou um autenticador multiplataforma (roaming).
• Verificação do Usuário: Define o requisito para a verificação do usuário (ex: "preferred", "required" ou "discouraged").

Become part of our Passkeys Community for updates & support.

Join

    "authenticatorSelection": {
      "authenticatorAttachment": "platform",
      "residentKey": "required",
      "requireResidentKey": false,
      "userVerification": "required",
    }

Continue lendo para uma análise detalhada dos possíveis valores e configurações do authenticatorSelection.

O authenticatorSelection no WebAuthn é essencial para garantir que o processo de autenticação esteja alinhado com requisitos de segurança específicos e preferências de experiência do usuário. Ele oferece às Relying Parties a flexibilidade de personalizar o processo de registro de acordo com suas necessidades de segurança.

Aqui está uma visão geral dos valores possíveis, conforme especificado na especificação WebAuthn:

Valores possíveis:

• Platform: O autenticador está anexado à plataforma do cliente e, portanto, não é removível.
• Cross-platform: O autenticador não está vinculado à plataforma do cliente e pode ser usado em vários dispositivos.

Este valor especifica se a Relying Party deseja criar uma credencial detectável. Os valores possíveis são:

• required: O autenticador deve criar uma resident key e a operação deve falhar se isso não for possível.
• preferred: O autenticador deve tentar criar uma resident key e deve criar uma non-resident key se isso não for possível.
• discouraged: O autenticador deve criar uma non-resident key e a operação deve falhar se isso não for possível.

Este valor é usado apenas para retrocompatibilidade com o WebAuthn nível 1, sendo definido como "true" se residentKey for definido como "required".

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Este valor indica se a Verificação do Usuário é necessária para a operação. Os valores possíveis são:

• required: A operação deve verificar o usuário.
• preferred: A operação deve verificar o usuário, mas pode prosseguir sem verificação (valor padrão).
• discouraged: A operação não deve verificar o usuário.

Aviso: Se definido como "preferred", o autenticador pode pular a verificação do usuário no processo de autenticação. Leia mais sobre esse problema neste artigo.

O authenticatorSelection no WebAuthn permite que as Relying Parties especifiquem o tipo de autenticadores adequados para seu processo de autenticação, incluindo o requisito de verificação do usuário e o tipo de autenticador.

Ele afeta a experiência do usuário ao determinar o tipo de autenticador usado (de plataforma ou roaming) e definir o nível de verificação do usuário, influenciando assim a facilidade e a segurança do processo de autenticação.

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

A configuração authenticatorAttachment no authenticatorSelection determina se um autenticador de plataforma fixo ou um autenticador multiplataforma removível é necessário, afetando as características físicas e funcionais do processo de autenticação.