在 Windows 中注册 WebAuthn 时,为什么 Windows要求用户验证,即使依赖方未指定用户验证要求,或将其指定为preferred?是否可以更改操作系统设置,以允许用户在不需要用户验证的情况下跳过用户验证required?
自 2023 年 1 月起,使用 Windows 浏览器将兼容 WebAuthn 的漫游身份验证器(例如 YubiKey)注册到未明确设置用户验证值discouraged(即用户验证已preferred设置或未设置),Windows 将要求用户可以选择:
A)注册用户验证方法(例如 FIDO2 PIN),如果有还没有已设定
-或者-
B)使用用户验证方法进行身份验证(如果有)已经已设定
...为了允许 WebAuthn 注册继续。
即使依赖方不要求在身份验证期间必须使用用户验证,情况也是如此,因此需要进行用户验证登记WebAuthn 设备,但在设备实际运行时从未请求用过的进行身份验证。
我不清楚 Windows 是否一直使用这种逻辑,或者它是否最近才被引入(我很想知道)。这似乎极具敌意对于最终用户来说不知道发生了什么或者如何正确管理 FIDO2 PIN 之类的东西(阅读:几乎所有人)。
我理解当 WebAuthn 用作“无密码”身份验证方法时使用用户验证的重要性。但是,WebAuthn 不用于仅有的“无密码”场景,并且可以说是更常用的一种多因素身份验证形式,类似于 U2F此外密码。鉴于此,我对 Window 的行为及其造成的混乱感到非常震惊(坦率地说,还有点愤怒)。