如何禁止虚拟身份验证器浏览器扩展的 FIDO Webauthn 密钥注册

How to disallow the FIDO Webauthn key registration from virtual authenticator browser extension

Chrome (virtual authenticators tab) 中提供的虚拟验证器扩展用于在不使用物理验证器密钥的情况下测试/调试 FIDO2 Webauthn 验证机制。这在自动化测试中很有用,例如通过硒。

  1. 在 IAM 提供商的生产环境中应该允许吗?
  2. 有什么办法可以disable/disallow在生产环境注册这个吗?

我尝试使用虚拟身份验证器选项卡扩展来设置 Google 帐户两步验证。但是 Google 不允许我们从虚拟身份验证器选项卡扩展注册 FIDO 密钥。

Is there any way to disable/disallow this registration in the production environment?

简短回答:您不必这样做。

长答案:虚拟身份验证器实现是专门设计来阻止其在生产系统中使用的。凭据绑定到单个框架(大多数情况下,这意味着单个选项卡),并在禁用虚拟环境或关闭选项卡后立即清除。

最糟糕的情况是用户将自己锁在门外,但他们必须足够聪明才能找到扩展(或 chrome 87 上的新开发工具面板)并设置身份验证器,同时没有意识到他们会被锁在门外。我们认为这不是重大风险。

I tried to set up Google account 2-Step Verification using a virtual authenticator tab extension. But Google does not allow us to register a FIDO key from a virtual authenticators tab extension.

目前,Google 使用旧的 U2F javascript API 注册凭据,虚拟身份验证器不支持该凭据。这就是注册失败的原因。