Chrome 中提供的虚拟身份验证器扩展(虚拟身份验证器选项卡)用于在不使用物理身份验证器密钥的情况下测试/调试 FIDO2 Webauthn 身份验证机制。这在自动化测试中很有用,例如通过 Selenium。
- 在 IAM 提供者的生产环境中是否应该允许?
- 有没有办法在生产环境中禁用/禁止此注册?
我尝试使用虚拟身份验证器选项卡扩展设置 Google 帐户两步验证。但是 Google 不允许我们从虚拟身份验证器选项卡扩展中注册 FIDO 密钥。
问问题
446 次
1 回答
5
有没有办法在生产环境中禁用/禁止此注册?
简短的回答:你不必。
长答案:虚拟身份验证器的实现是专门为阻止其在生产系统中的使用而设计的。凭据绑定到单个框架(在大多数情况下,这意味着单个选项卡),并且在禁用虚拟环境或关闭选项卡后立即清除。
最糟糕的情况是用户将自己锁定,但他们必须足够精明才能找到扩展程序(或 chrome 87 上的新开发工具面板)并设置身份验证器,同时没有意识到他们可能会被锁定。我们不认为这是一个重大风险。
我尝试使用虚拟身份验证器选项卡扩展设置 Google 帐户两步验证。但是 Google 不允许我们从虚拟身份验证器选项卡扩展中注册 FIDO 密钥。
目前,谷歌正在使用旧的U2F javascript API来注册凭证,虚拟身份验证器不支持这种方式。这就是注册失败的原因。
于 2020-10-08T16:18:07.800 回答