vi
new
0
Avatar
Rickey @nguyenthequyen13
18 0 3
Đã đăng vào thg 12 21, 2023 3:48 CH 7 phút đọc
44

[Phần 2] - WebAuthn - User Cases

Tiếp nối [Phần 1] WebAuthn - Web Authentication là gì? trong bài viết này chúng ta sẽ tiếp tục tìm hiểu User Cases thực tế được sử dụng ở đâu, như thế nào?

1. Registration

Trên điện thoại: Người dùng truy cập example.com và đăng nhập vào tài khoản hiện có bằng bất kỳ hình thức nào mà họ đang sử dụng (có thể là mật khẩu) hoặc tạo tài khoản mới. Điện thoại hiển thị thông báo: 'Bạn có muốn đăng ký thiết bị này với example.com không?' Người dùng đồng ý. Điện thoại sẽ nhắc người dùng thực hiện hành động xác nhận để ủy quyền đã được cài đặt trước đó (mã PIN, sinh trắc học, v.v.); người dùng thực hiện xác thực.
Trang web hiển thị thông báo 'Đăng ký thành công.'

2. Authentication

  • Trên máy tính:
    • Người dùng kết nối điện thoại của họ với máy tính qua Bluetooth hoặc Internet.
    • Người dùng truy cấp example.com và bắt đầu đăng nhập.
    • Trình duyệt hiển thị thông báo, 'Vui lòng hoàn tất hành động xác thực trên điện thoại của bạn.'
  • Tiếp theo, trên điện thoại:
    • Người dùng nhìn thấy lời nhắc 'Đăng nhập vào example.com'.
    • Người dùng chọn lời nhắc/thông báo này.
    • Người dùng nhìn thấy danh sách tài khoản trên example.com của họ, ví dụ: 'Đăng nhập bằng Mohamed/Đăng nhập bằng Mimi, ...'.
    • Người dùng chọn một tài khoản, được nhắc thực hiện cử chỉ ủy quyền (mã PIN, sinh trắc học, v.v.) và cung cấp thông tin này.
  • Bây giờ, quay lại máy tính:
    • Trang web hiển thị rằng người dùng được chọn đã đăng nhập và điều hướng đến trang đăng nhập

3. New Device Registration

Trường hợp này minh họa cách Bên tin cậy có thể tận dụng sự kết hợp giữa trình xác thực di động (ví dụ: fob khóa bảo mật USB) và trình xác thực nền tảng (ví dụ: cảm biến vân tay tích hợp) sao cho người dùng có:

  • Một trình xác thực di động 'chính' mà họ sử dụng để xác thực trên các thiết bị khách mới sử dụng (ví dụ: máy tính xách tay, máy tính để bàn) hoặc trên các thiết bị khách thiếu trình xác thực nền tảng và,
  • Một phương tiện ít ma sát để xác thực lại một cách mạnh mẽ trên các thiết bị khách có trình xác thực nền tảng. LƯU Ý: Phương pháp đăng ký nhiều trình xác thực cho một tài khoản này cũng hữu ích trong các trường hợp sử dụng khôi phục tài khoản.
  • Đầu tiên, trên máy tính (thiếu trình xác thực nền tảng):
    • Người dùng truy cập đến example.com và đăng nhập vào hệ thống tài khoản hiện có bằng bất kỳ phương pháp nào họ đang sử dụng (có thể là phương pháp cũ như mật khẩu) hoặc tạo tài khoản mới.
    • Người dùng điều hướng đến cài đặt bảo mật tài khoản và chọn 'Đăng ký khóa bảo mật'.
    • Trang web nhắc người dùng cắm khóa bảo mật USB; người dùng thực hiện.
    • Khóa bảo mật USB nhấp nháy để cho biết người dùng nên nhấn nút trên đó; người dùng thực hiện.
    • Trang web hiển thị thông báo 'Đăng ký hoàn tất.' LƯU Ý: Vì máy tính này thiếu trình xác thực nền tảng nên trang web có thể yêu cầu người dùng xuất trình khóa bảo mật USB của họ theo thời gian hoặc mỗi khi người dùng tương tác với trang web. Đây là quyết định của trang web.
  • Sau đó, trên máy tính của họ (có tính năng xác thực nền tảng):
    • Người dùng truy cập đến trang example.com trong trình duyệt và bắt đầu đăng nhập.
    • Trang web nhắc người dùng cắm khóa bảo mật USB của họ.
    • Người dùng cắm khóa bảo mật USB đã đăng ký trước đó vào và nhấn nút.
    • Trang web hiển thị rằng người dùng đã đăng nhập và điều hướng đến trang đăng nhập.
    • Trang web nhắc: 'Bạn có muốn đăng ký máy tính này với example.com không?'
    • Người dùng đồng ý.
    • Máy tính nhắc người dùng thực hiện cử chỉ ủy quyền đã định cấu hình trước đó (mã PIN, sinh trắc học, v.v.); người dùng đồng ý
    • Trang web hiển thị thông báo 'Đăng ký hoàn tất.'
    • Người dùng đăng xuất.
  • Sau đó, một lần nữa trên máy tính xách tay của họ:
    • Người dùng điều hướng đến example.com trong trình duyệt và bắt đầu đăng nhập.
    • Trang web hiển thị thông báo 'Vui lòng làm theo lời nhắc trên máy tính của bạn để hoàn tất đăng nhập'.
    • Máy tính xách tay nhắc người dùng thực hiện hành động ủy quyền (mã PIN, sinh trắc học, v.v.); người dùng đồng ý.
    • Trang web hiển thị rằng người dùng đã đăng nhập và điều hướng đến trang đăng nhập.

4. Other Use Cases and Configurations

Cũng có thể có nhiều trường hợp sử dụng và cấu hình bổ sung, bao gồm (nhưng không giới hạn):

  • Người dùng điều hướng đến example.com trên máy tính xách tay của họ, được hướng dẫn qua một quy trình để tạo và đăng ký thông tin xác thực trên điện thoại của họ.
  • Người dùng nhận được một trình xác thực chuyển vùng riêng biệt, chẳng hạn như 'fob' với các tùy chọn kết nối USB hoặc USB+NFC/BLE, tải example.com trong trình duyệt của họ trên máy tính xách tay hoặc điện thoại và được hướng dẫn qua một quy trình để tạo và đăng ký một thông tin xác thực trên fob.
  • Bên tin cậy sẽ nhắc người dùng thực hiện cử chỉ ủy quyền của họ để ủy quyền cho một giao dịch duy nhất, chẳng hạn như thanh toán hoặc giao dịch tài chính khác.

Nguồn w3c.github.io

Passwordless Web Authentication Webauthn

All rights reserved

Mục lục


Câu đố đề xuất
Viblo Code
Validatingggg

thg 1 15, 9:15 SA

200
14
D
Pexpore

thg 1 15, 9:09 SA

200
2
D
3 Numbers

thg 1 10, 4:09 CH

200
63
D
Khóa học đề xuất
Viblo Code
Vi xử lý

thg 4 9, 4:23 SA

Cơ bản

832
usergroup
44
1.9K
31
Ngôn ngữ lập trình R

thg 3 8, 8:32 SA

Cơ bản

1.5K
usergroup
62
1.5K
58
Bảo mật ứng dụng web

thg 12 14, 2023 9:41 SA

Cơ bản

6.4K
usergroup
629
1.1K
638
Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí