Configurer WebAuthn avec les clés de sécurité pour MFA

Pour une introduction à WebAuthn et comment Auth0 le met en oeuvre à la fois pour les clés de sécurité et la biométrie des appareils, consultez Authentification FIDO avec WebAuthn.

1. Activez WebAuthn avec les clés de sécurité en vous rendant à Dashboard > Sécurité > Authentification multifactorielle.

2. Configurez comment vous souhaitez gérer la Vérification utilisateur. Pour les clés de sécurité, l’invite de la vérification utilisateur habituelle amène les utilisateurs à saisir un code PIN ou à relever le défi WebAuthn.

   1. Never (Jamais) : Les utilisateurs ne seront jamais invités à saisir leur code PIN. Il s’agit d’une valeur par défaut, et elle est généralement suffisante lorsque vous utilisez les clés de sécurité pour MFA. Les utilisateurs ont déjà saisi leur mot de passe et ils ont donc déjà fourni un élément de vérification.

   2. If supported (Si pris en charge) : Les utilisateurs seront invités à saisir un code PIN s’ils en ont déjà configuré un dans la clé.

   3. Required (Requis) : Il sera demandé aux utilisateurs de définir un code PIN si ce n’est déjà fait et il leur sera demandé de le saisir chaque fois. Il s’agit de l’option offrant la meilleure sécurité. Certains navigateurs ne mettent pas cela en oeuvre de manière adéquate (par exemple, Brave sur iOS), et l’authentification échouera; Auth0 demandera à l’utilisateur d’utiliser un autre navigateur.

Prenez note que seules les clés de sécurité standardisées FIDO-2 supportent la vérification utilisateur. Les clés FIDO-1 peuvent être utilisées pour WebAuthn, mais elles ne sont pas utilisables lorsque WebAuthn est nécessaire.

WebAuthn rend le hameçonnage impossible en liant les informations d’identification à l’origine du navigateur. Les utilisateurs ne peuvent pas utiliser WebAuthn pour un site auquel ils ne se sont pas inscrits.

La liaison des informations d’identification à l’origine signifie que si vous configurez un domaine personnalisé ou le modifiez, les utilisateurs inscrits avant la modification ne pourront pas s’authentifier.

WebAuthn définit un attribut ID de la Relying Party (Partie de confiance), qui vous permet de spécifier le domaine utilisé pour l’authentification des utilisateurs. Vous pouvez le définir sur n’importe quel suffixe de domaine enregistrable de l’origine du navigateur. Par exemple, si le domaine personnalisé est accounts.acme.com, vous pouvez configurer l’ID de la partie qui fait confiance sur acme.com. Cela permet aux utilisateurs de s’authentifier sur n’importe quel domaine acme.com avec leurs informations d’identification WebAuthn.

Auth0 vous permet de spécifier l’ID de la partie qui fait confiance uniquement si vous disposez un domaine personnalisé configuré. Si le domaine personnalisé change, vous devez mettre à jour l’ID de la partie de confiance.

Pour utiliser des clés de sécurité, un navigateur a besoin de JavaScript et de prendre en charge WebAuthn. Si ces conditions ne sont pas remplies, Auth0 n’offrira pas l’option d’enregistrement ou d’authentification avec des clés de sécurité. Auth0 exigera un autre facteur ou code de récupération (s’ils n’ont pas un autre facteur enregistré).

Les dernières versions des navigateurs et systèmes d’exploitation les plus populaires offrent une prise en charge pour WebAuthn via des clés de sécurité. Pour plus de détails, lisez la section sur les navigateurs pris en charge sur webauthn.me.

• Lorsque vous utilisez l’API MFA, vous pouvez répertorier et retirer les enregistrements WebAuthn, mais vous ne pouvez pas les enregistrer.

• Configurer WebAuthn avec la biométrie de l’appareil pour MFA