WebAuthn是FIDO 2.0的組成部分.
WebAuthn實現了體驗最佳的、硬體級安全的網頁免密登入。可利用PC端裝置原生的裝置加密和生物識別技術能力,進行網站的登入。
可應用的硬體類型有兩種:
漫遊認證器(Cross Platform),指需外部接入的跨不同裝置使用的認證器,例如YubiKey。
平台認證器(Platform),指瀏覽網頁的裝置內建的認證能力,例如Mac Touch ID,Windows Hello。
更多說明請參考:WebAuthn說明(外部連結)。
幾乎所有現代瀏覽器均已支援WebAuthn。若您希望檢查瀏覽器版本相容性,請點此(外部連結)查看。
登入效果示範
只需輸入使用者名稱,無需密碼,即可完成安全登入。體驗如下:
認證器註冊
在使用認證器登入前,使用者需要先將認證器與其賬戶綁定。
每位需要使用WebAuthn登入的使用者,均應該先登入到我的賬戶頁面,並在單擊管理,在彈出的管理頁面中註冊新的認證器。
註冊過程只需一分鐘。在單擊註冊認證器後,請使用者按照瀏覽器提示完成即可,
註冊完成後,處於啟用狀態的認證器即可用於登入。使用者也可以對登入的認證器進行管理。
管理員暫時無法對使用者的認證器進行管理。註冊和管理流程均需每位使用者單獨完成。
登入情境
情境1 無密碼登入
WebAuthn最常用、最便捷的情境之一即是替代密碼登入。
使用者來到IDaaS登入頁後,輸入賬戶名稱,選擇一種WebAuthn認證方式進行驗證,驗證通過後登入應用。這一流程可適用於所有網頁應用的登入。流程如下圖:
IDaaS管理員可在登入菜單中通用配置頁簽下看到WebAuthn 認證器登入的選項,預設處于禁用狀態。只需要將其啟用即可使用。
啟用後,在登入頁中即有WebAuthn登入選項。選擇使用即可,參考下圖(以使用Mac TouchID認證為例)。
IDaaS會擷取到指定賬戶的登入認證器資訊,若尚未註冊,則會提示錯誤,無法使用。
情境2 二次認證MFA
WebAuthn最通用、最安全的情境之二即是二次認證。
使用者在正常輸入賬密,如果二次認證開啟,則會進入到二次認證流程。可選擇使用WebAuthn認證器進行安全登入。流程如下圖:
IDaaS管理員可以在登入菜單中二次認證頁簽,勾選WebAuthn二次認證方式並儲存,並確保二次認證已開啟。
啟用後,在使用者使用賬戶登入後,即會來到二次認證頁面。如果使用者登入WebAuthn認證器,將可選擇WebAuthn方式進行快速、安全的身分識別驗證,參考下圖(以使用Mac TouchID認證為例)。
