Android 上的 Chrome 是否支持使用 Webauthn / FIDO2 对安全密钥进行用户验证?
Does Chrome on Android support User Verification on security key using Webauthn / FIDO2?
我正在构建一个使用 Webauthn 进行无密码登录的网站。目前,这在 Chrome for Windows 和 macOS 上运行良好。
我正在使用 YubiKey 5 来测试我的实现,它支持使用 PIN 提供 User Verification 而不是简单的用户存在(即用户触摸键的按钮)。
但是,当我尝试在 Chrome 76 和 Android 9 上使用同一站点时,系统没有提示我输入 PIN,因此未设置用户验证标志,我无法登录(按设计)失败。
Google 对 Android 7+ 符合 FIDO2 做出了很大的贡献,但除了 an outdated article 提到的以外,我似乎找不到任何关于这个关键缺失功能的提及那:
We are also working on more advanced flows enabled by CTAP 2 and WebAuthn, such as PIN protected authenticators, local selection of accounts (instead of typing a username or password), and fingerprint enrollment.
现在支持指纹注册;即使 Windows 和 Chrome 76 的 macOS 版本支持,PIN 保护的身份验证器 仍然 不受支持吗?
这是我调用 navigator.credentials.create() 的相关部分,应该需要用户验证:
"authenticatorSelection": {"requireResidentKey": false, "userVerification": "required"}
事实证明,Android 的 Google Play 服务目前并未实现这一点。 I've filed a bug with the Chromium project which is tracking its eventual implementation.
我正在构建一个使用 Webauthn 进行无密码登录的网站。目前,这在 Chrome for Windows 和 macOS 上运行良好。
我正在使用 YubiKey 5 来测试我的实现,它支持使用 PIN 提供 User Verification 而不是简单的用户存在(即用户触摸键的按钮)。
但是,当我尝试在 Chrome 76 和 Android 9 上使用同一站点时,系统没有提示我输入 PIN,因此未设置用户验证标志,我无法登录(按设计)失败。
Google 对 Android 7+ 符合 FIDO2 做出了很大的贡献,但除了 an outdated article 提到的以外,我似乎找不到任何关于这个关键缺失功能的提及那:
We are also working on more advanced flows enabled by CTAP 2 and WebAuthn, such as PIN protected authenticators, local selection of accounts (instead of typing a username or password), and fingerprint enrollment.
现在支持指纹注册;即使 Windows 和 Chrome 76 的 macOS 版本支持,PIN 保护的身份验证器 仍然 不受支持吗?
这是我调用 navigator.credentials.create() 的相关部分,应该需要用户验证:
"authenticatorSelection": {"requireResidentKey": false, "userVerification": "required"}
事实证明,Android 的 Google Play 服务目前并未实现这一点。 I've filed a bug with the Chromium project which is tracking its eventual implementation.