高级:WebAuthn安全登录

WebAuthnFIDO 2.0的组成部分.

WebAuthn实现了体验最佳的、硬件级安全的网页免密登录。可利用PC端设备原生的设备加密和生物识别能力,进行网站的登录。

可应用的硬件类型有两种:

  • 漫游认证器(Cross Platform),指需外部接入的跨不同设备使用的认证器,例如YubiKey。

  • 平台认证器(Platform),指浏览网页的设备自带的认证能力,例如Mac Touch ID,Windows Hello。

更多说明请参考:WebAuthn说明(外部链接)

几乎所有现代浏览器均已支持WebAuthn。若您希望检查浏览器版本兼容性,请点此(外部链接)查看。

登录效果演示

只需输入用户名,无需密码,即可完成安全登录。体验如下:

IDaaS演示.gif

认证器注册

在使用认证器登录前,用户需要先将认证器与其账户绑定。

每位需要使用WebAuthn登录的用户,均应该先登录到我的账户页面,并在安全信息 > WebAuthn 认证器单击管理,在弹出的管理页面中注册新的认证器。

image

注册过程只需一分钟。在单击注册认证器后,请用户按照浏览器提示完成即可,

注册完成后,处于启用状态的认证器即可用于登录。用户也可以对已注册的认证器进行管理。

说明

管理员暂时无法对用户的认证器进行管理。注册和管理流程均需每位用户单独完成。

登录场景

场景1 无密码登录

WebAuthn最常用、最便捷的场景之一即是替代密码登录。

用户来到IDaaS登录页后,输入账户名称,选择一种WebAuthn认证方式进行验证,验证通过后登录应用。这一流程可适用于所有网页应用的登录。流程如下图:

image

IDaaS管理员可在登录菜单中通用配置页签下看到WebAuthn 认证器登录的选项,默认处于禁用状态。只需要将其启用即可使用。

image

启用后,在登录页中即有WebAuthn登录选项。选择使用即可,参考下图(以使用Mac TouchID认证为例)。

image

IDaaS会获取到指定账户的已注册认证器信息,若尚未注册,则会提示错误,无法使用。

场景2 二次认证MFA

WebAuthn最通用、最安全的场景之二即是二次认证。

用户在正常输入账密,如果二次认证开启,则会进入到二次认证流程。可选择使用WebAuthn认证器进行安全登录。流程如下图:

image

IDaaS管理员可以在登录菜单中二次认证页签,勾选WebAuthn二次认证方式并保存,并确保二次认证已开启。

image

启用后,在用户使用账户登录后,即会来到二次认证页面。如果用户已注册WebAuthn认证器,将可选择WebAuthn方式进行快速、安全的身份验证,参考下图(以使用Mac TouchID认证为例)。

image