WebAuthn 包括凭证管理 API 的扩展,允许您使用公钥。我可以转到 chrome 设置并检查托管密码,以查看我选择使用凭据管理 API 将哪些用户名/密码存储在浏览器中。关于 webauthn+credential management api 组合的几个问题。
- 当我们成功创建凭证时,浏览器会存储哪些信息?
- 我们可以从 chrome 设置(或其他方式)访问此信息吗?
问问题
514 次
3 回答
3
这是一个加载的问题,thangcao 和 mackie 的回答都很中肯,这里有更多细节。
- “身份验证器”与浏览器是分开的——只是为了强调这一点。
- 身份验证器可以是“平台身份验证器”,内置于客户端设备(如 Android 手机和 Windows Hello)或“漫游身份验证器”,一种单独/外部的硬件,例如可以在多个设备上使用的 Yubikey。
- Authenticator 是创建和存储“凭据”的人,它采用公钥/私钥方案。浏览器可以通过凭证管理 API 从身份验证器获取公钥(意味着公开),但不能获取私钥。身份验证过程在身份验证器内部完成,浏览器只是在客户端(用户/应用程序)和身份验证器之间传递信息。
- Chrome 设置中没有等效的“密码管理”来管理您的“WebAuthn 私人信息”,因为凭据不在浏览器中;更重要的是,多个浏览器可以使用相同的身份验证器,具有相同的公钥/私钥凭据集。
最后但并非最不重要的问题是:“我们可以从 chrome 设置(或其他方式)访问此信息吗?”
答:除非身份验证器供应商建立一些后门。如果是这样的话,后门不是给你的,而是让黑客获取你所有的私钥。
于 2020-06-02T20:53:28.293 回答
2
- 无 - 凭据以受保护的形式存储在所使用的身份验证器设备内 - 例如,像 Yubikey 这样的安全密钥或计算机或手机的 TPM 内。
- 您可以在运行时通过 WebAuthn API (navigator.credentials...) 创建或获取凭证(在这种情况下获取真正的意思是“签署此随机数”),但您无法枚举它们。
甚至 Yubico 也没有提供一种工具,允许您仅列出其设备上持有的 FIDO2 凭据。
于 2020-06-02T10:48:13.263 回答
0
For your questions:
- The browser does not store this information, the created information (from an authenticator) is used for registering the authenticator to the Reply Party
- At runtime
于 2020-06-02T08:33:15.967 回答