Configurer WebAuthn avec les données biométriques d’un appareil pour une authentification sans mot de passe

Vous pouvez configurer la connexion universelle pour permettre aux utilisateurs de s’authentifier en utilisant WebAuthn avec les données biométriques d’un appareil au lieu d’un mot de passe.

WebAuthn utilisé avec les données biométriques d’un appareil est le facteur d’authentification le plus sûr et le plus aisément utilisable et disponible aujourd’hui, réduisant considérablement la friction de connexion sans sacrifier la sécurité.

Vous devez utiliser cette fonctionnalité avec une connexion de base de données Auth0. Rendez-vous à Auth0 Dashboard > Authentification > Base de données pour choisir une connexion de base de données. Pour en savoir plus, consultez Connexions de base de données.

Conditions préalables

Pour activer la connexion sans mot de passe avec données biométriques d’un appareil WebAuthn :

Assurez-vous que l’expérience de connexion universelle est activée et que le code HTML de la page de connexion n’est pas personnalisé dans Dashboard > Universal Login (Connexion universelle).
Sélectionnez Identifier First + données biométriques dans Dashboard > Profil d’authentification. Cela activera automatiquement WebAuthn avec les données biométriques d’un appareil dans la section Authentification multifacteur (MFA) si elle n’est pas encore activée.
Si vous utilisez une connexion de base de données personnalisée, assurez-vous que Import Mode (Mode d’importation) est placé sur On (Actif). Si ce n’est pas le cas, vous pouvez exécuter le script getUser pour obtenir le même résultat.

Comment cela fonctionne-t-il?

Les utilisateurs qui s’authentifient à l’aide de leur nom d’utilisateur/courriel et de leur mot de passe et qui disposent d’un appareil capable d’utiliser WebAuthn avec les données biométriques d’un appareil, ont la possibilité d’enregistrer leur appareil :

Example of setting up a Face ID login for specific domain using WebAuthn

Après avoir activé la fonctionnalité, nous proposons quelques options aux utilisateurs dans la boîte de dialogue Login Faster on This Device (Se connecter plus rapidement sur cet appareil). Les utilisateurs peuvent choisir d’enregistrer leur appareil ou d’ignorer l’inscription afin de réduire le nombre de fois où ils sont invités à le faire :

Option	Description
`Continue`	Invite l’utilisateur à s’inscrire au facteur biométrique
`Remind me later`	Ne demande pas l’inscription et invite à s’inscrire de nouveau dans deux semaines
`Not on this device`	Ne demande pas d’inscription pendant 1 an ou tant que les témoins Auth0 sont stockés dans le navigateur des utilisateurs

Login - webauthn biometrics - log in faster on this device

Si les clients décident d’enregistrer leur appareil, la prochaine fois qu’ils s’authentifieront à partir de cet appareil, ils auront la possibilité d’utiliser les données biométriques de leur appareil ou un mot de passe :

Example of using Fingerprint or Face Recognition to login to a domain

Nous appelons cette fonctionnalité « inscription progressive »; elle est conçue pour faciliter au maximum la transition vers l’authentification basée sur WebAuthn, tant pour les développeurs que pour les utilisateurs.

Authentification multifacteur (MFA)

WebAuthn utilisé avec les données biométriques d’un appareil permet d’éviter d’avoir recours à une autre méthode d’authentification pour procéder à une authentification multifacteur (MFA). Le WebAuthn avec les données biométriques d’un appareil combine deux facteurs en un : quelque chose que vous avez (un appareil), et quelque chose que vous êtes (la biométrie) ou quelque chose que vous savez (le code d’authentification).

Il en résulte plusieurs conséquences :

Lorsque vous activez la MFA dans Dashboard, Auth0 ne demandera pas la MFA si les utilisateurs s’authentifient avec WebAuthn w/Biometrics (WebAuthn avec données biométriques) comme premier facteur.
Lorsque la MFA est activée et que les utilisateurs créent un nouveau compte, ils devront :
- Créer un utilisateur avec un nom d’utilisateur/mot de passe.
- S’inscrire à la MFA, avec une méthode d’authentification sans données biométriques, afin de pouvoir remplir la MFA sur n’importe quel appareil.
- S’inscrire éventuellement avec les données biométriques d’un appareil.

La prochaine fois qu’ils se connectent, ils peuvent le faire avec un mot de passe et une autre méthode d’authentification ou avec les données biométriques de l’appareil.

Lorsque les utilisateurs s’authentifient en utilisant WebAuthn avec les données biométriques d’un appareil comme seule méthode d’authentification, la valeur amr du jeton d’ID sera définie sur la mfa.
Si vous souhaitez activer la MFA à partir de notre plateforme d’extensibilité, vous pourrez prendre en compte la façon dont les utilisateurs se sont authentifiés pour décider s’ils doivent être invités à utiliser la MFA ou non. La règle ci-dessous n’exécutera la MFA que si l’utilisateur ne s’est pas authentifié avec la méthode d’authentification webauthn-platform :

function (user, context, callback) {
  let authMethods = context.authentication.methods;

  const amr = authMethods.find((method) => method.name === 'webauthn-platform');

  if (!amr) {
    context.multifactor = {
      provider: 'any',
      allowRememberBrowser: false
    };
  }
  return callback(null, user, context);
}

Was this helpful?

Cette action après l’ouverture de session entraînera le même résultat :

exports.onExecutePostLogin = async (event, api) => {
  let authMethods = event.authentication.methods;

  let amr = authMethods.find((method) => method.name === 'webauthn-platform');

   if (!amr) {
     api.multifactor.enable('any');
  }
};

Was this helpful?

Reconnaissance des appareils

Auth0 utilisera les règles pour déterminer si l’appareil est déjà inscrit ou non, et invitera l’utilisateur à s’inscrire. Pour en savoir plus, lisez Reconnaissance des appareils dans l’article Configurer WebAuthn avec les données biométriques d’un appareil pour la MFA.

Pour éviter les attaques par énumération d’utilisateurs, Auth0 ne demandera aux utilisateurs de fournir des données biométriques comme premier facteur que si les utilisateurs se connectent à partir d’un appareil connu. Si ce n’est pas le cas, ils devront se connecter avec le mot de passe.

Par exemple :

Un utilisateur se connecte à partir de Chrome dans Windows et est inscrit à Windows Hello. Dans le cadre des informations d’inscription, Auth0 sait que l’utilisateur s’est inscrit à partir d’un appareil Windows et enregistre un « appareil connu » pour reconnaître l’agent utilisateur.
La prochaine fois que l’utilisateur se connectera à partir de Chrome, il sera invité à utiliser Windows Hello au lieu d’un mot de passe.
Si l’utilisateur se connecte ensuite à Firefox sous Windows, étant donné que le témoin « appareil connu » n’est pas présent, il devra se connecter à l’aide de son mot de passe. Comme il s’est déjà inscrit à Windows Hello, il ne sera pas invité à s’inscrire à nouveau.
La prochaine fois que l’utilisateur se connectera à partir de Firefox, il sera invité à utiliser Windows Hello.

Cela ne permettra pas aux attaquants de savoir si les utilisateurs ont un compte ou non, ou s’ils ont utilisé les données biométriques WebAuthn pour s’authentifier sur le site.

Webauthn.me

Auth0 gère webauthn.me, qui contient des informations détaillées sur WebAuthn et une liste actualisée des navigateurs qui prennent en charge WebAuthn.

S’authentifier