Configurer WebAuthn avec la biométrie de l’appareil pour MFA

Pour une introduction à WebAuthn et comment Auth0 le met en oeuvre à la fois pour les clés de sécurité et la biométrie des appareils, consultez Authentification FIDO avec WebAuthn.

Activez WebAuthn avec la biométrie de l’appareil en vous rendant dans Dashboard > Sécurité > Authentification multifacteur. Vous devrez activer un facteur supplémentaire, car ce facteur ne peut pas être le seul à être activé.

WebAuthn rend le hameçonnage impossible en liant les informations d’identification à l’origine du navigateur. Les utilisateurs ne peuvent pas utiliser WebAuthn pour un site auquel ils ne se sont pas inscrits.

La liaison des informations d’identification à l’origine signifie que si vous configurez un domaine personnalisé ou le modifiez, les utilisateurs inscrits avant la modification ne pourront pas s’authentifier.

WebAuthn définit un attribut ID de la Relying Party (Partie de confiance), qui vous permet de spécifier le domaine utilisé pour l’authentification des utilisateurs. Vous pouvez le définir sur n’importe quel suffixe de domaine enregistrable de l’origine du navigateur. Par exemple, si le domaine personnalisé est accounts.acme.com, vous pouvez configurer l’ID de la partie qui fait confiance sur acme.com. Cela permet aux utilisateurs de s’authentifier sur n’importe quel domaine acme.com avec leurs informations d’identification WebAuthn.

Auth0 vous permet de spécifier l’ID de la partie qui fait confiance uniquement si vous disposez un domaine personnalisé configuré. Si le domaine personnalisé change, vous devez mettre à jour l’ID de la partie de confiance.

Lorsque vous activez WebAuthn avec la biométrie de l’appareil, Auth0 essaie d’inscrire progressivement tous les appareils de l’utilisateur final compatibles avec WebAuthn. Les navigateurs avec Javascript désactivé ou qui ne prennent pas en charge l’authentificateur de la plateforme WebAuthn n’auront pas la possibilité de s’inscrire ou de s’authentifier avec la biométrie de l’appareil.

Étant donné qu’il n’existe aucun moyen déterministe de savoir si un appareil spécifique a été enregistré ou non sans demander à l’utilisateur de s’authentifier avec WebAuthn, Auth0 s’en remet à l’agent utilisateur pour décider de ce qu’il convient de faire. Le comportement varie en fonction du système d’exploitation.

Sur Windows et iOS 14.5+, l’authentificateur de la plateforme WebAuthn est enregistré au niveau du système d’exploitation. Les utilisateurs peuvent s’inscrire avec un seul navigateur et se connecter avec n’importe quel navigateur. Si Auth0 détecte que les utilisateurs disposent d’un appareil inscrit, ils auront la possibilité de s’authentifier avec Face ID / Touch ID / Windows Hello. S’ils se sont inscrits avec ce même appareil, ils pourront s’authentifier. Dans le cas contraire, l’authentification échouera et ils devront utiliser une autre méthode d’authentification.

Sur Mac, l’authentificateur de la plateforme WebAuthn est enregistré au niveau du système de navigation. Les utilisateurs seront invités à s’inscrire auprès de WebAuthn dans chaque navigateur qu’ils utilisent. Si Auth0 détecte que l’utilisateur s’est inscrit à partir de Chrome sur un Mac, il aura la possibilité de s’authentifier avec Touch ID lorsqu’il se connectera à partir de Chrome sur un Mac. S’il s’est inscrit à partir du même Mac, il pourra s’authentifier.  Dans le cas contraire, l’authentification échouera et ils devront utiliser une autre méthode d’authentification. S’ils essaient de s’inscrire à partir de Safari sur le même Mac, ils seront invités à compléter l’authentification multifacteur avec l’autre méthode d’authentification, puis à s’inscrire à l’aide de Touch ID.

Sur Android, seul Chrome prend en charge les authentificateurs de la plateforme WebAuthn. Si Auth0 détecte que les utilisateurs se sont inscrits avec un appareil Android, ils auront la possibilité de s’authentifier avec l’empreinte digitale/la reconnaissance faciale d’Android. S’ils se sont inscrits avec ce même appareil Android, ils pourront s’authentifier. Dans le cas contraire, l’authentification échouera et ils devront utiliser une autre méthode d’authentification.

L’utilisateur doit avoir activé une autre inscription MFA avant d’utiliser la biométrie de l’appareil.

Pour utiliser des clés biométriques d’un appareil, un navigateur a besoin de JavaScript et de prendre en charge les authentificateurs de la plateforme WebAuthn. Si ces conditions ne sont pas remplies, Auth0 n’offrira pas la possibilité de s’inscrire ou de s’authentifier avec l’appareil. Auth0 lancera un défi-réponse à l’utilisateur avec un facteur supplémentaire.

Les dernières versions des navigateurs et systèmes d’exploitation les plus populaires offrent une prise en charge pour WebAuthn via des clés de sécurité. Pour plus de détails, consultez la section sur les navigateurs pris en charge sur webauthn.me.

• Il n’existe pas d’autre moyen d’inscrire les données biométriques de l’appareil WebAuthn que l’invite d’inscription progressive.

• Lorsque vous utilisez l’API MFA, vous pouvez répertorier et retirer les enregistrements WebAuthn, mais vous ne pouvez pas les enregistrer.

• Les utilisateurs ne peuvent inscrire qu’un seul appareil par type en utilisant WebAuthn avec la biométrie de l’appareil (un téléphone, une tablette, un ordinateur portable/de bureau). Si un utilisateur souhaite inscrire un autre appareil du même type, il doit d’abord désinscrire le premier appareil.

Auth0 gère webauthn.me, qui contient des informations détaillées sur WebAuthn et une liste actualisée des navigateurs qui prennent en charge WebAuthn.

• Configurer WebAuthn avec les clés de sécurité pour MFA