Tiếp nối [Phần 1] WebAuthn - Web Authentication là gì? trong bài viết này chúng ta sẽ tiếp tục tìm hiểu User Cases thực tế được sử dụng ở đâu, như thế nào?
1. Registration
Trên điện thoại:
Người dùng truy cập example.com và đăng nhập vào tài khoản hiện có bằng bất kỳ hình thức nào mà họ đang sử dụng (có thể là mật khẩu) hoặc tạo tài khoản mới.
Điện thoại hiển thị thông báo: 'Bạn có muốn đăng ký thiết bị này với example.com không?'
Người dùng đồng ý. Điện thoại sẽ nhắc người dùng thực hiện hành động xác nhận để ủy quyền đã được cài đặt trước đó (mã PIN, sinh trắc học, v.v.); người dùng thực hiện xác thực.
Trang web hiển thị thông báo 'Đăng ký thành công.'
2. Authentication
- Trên máy tính:
- Người dùng kết nối điện thoại của họ với máy tính qua Bluetooth hoặc Internet.
- Người dùng truy cấp example.com và bắt đầu đăng nhập.
- Trình duyệt hiển thị thông báo, 'Vui lòng hoàn tất hành động xác thực trên điện thoại của bạn.'
- Tiếp theo, trên điện thoại:
- Người dùng nhìn thấy lời nhắc 'Đăng nhập vào example.com'.
- Người dùng chọn lời nhắc/thông báo này.
- Người dùng nhìn thấy danh sách tài khoản trên example.com của họ, ví dụ: 'Đăng nhập bằng Mohamed/Đăng nhập bằng Mimi, ...'.
- Người dùng chọn một tài khoản, được nhắc thực hiện cử chỉ ủy quyền (mã PIN, sinh trắc học, v.v.) và cung cấp thông tin này.
- Bây giờ, quay lại máy tính:
- Trang web hiển thị rằng người dùng được chọn đã đăng nhập và điều hướng đến trang đăng nhập
3. New Device Registration
Trường hợp này minh họa cách Bên tin cậy có thể tận dụng sự kết hợp giữa trình xác thực chuyển vùng (ví dụ: fob khóa bảo mật USB) và trình xác thực nền tảng (ví dụ: cảm biến vân tay tích hợp) sao cho người dùng có:
- Một trình xác thực chuyển vùng 'chính' mà họ sử dụng để xác thực trên các thiết bị khách mới sử dụng (ví dụ: máy tính xách tay, máy tính để bàn) hoặc trên các thiết bị khách thiếu trình xác thực nền tảng và,
- Một phương tiện ít ma sát để xác thực lại một cách mạnh mẽ trên các thiết bị khách có trình xác thực nền tảng. LƯU Ý: Phương pháp đăng ký nhiều trình xác thực cho một tài khoản này cũng hữu ích trong các trường hợp sử dụng khôi phục tài khoản.
- Đầu tiên, trên máy tính (thiếu trình xác thực nền tảng):
- Người dùng truy cập đến example.com và đăng nhập vào hệ thống tài khoản hiện có bằng bất kỳ phương pháp nào họ đang sử dụng (có thể là phương pháp cũ như mật khẩu) hoặc tạo tài khoản mới.
- Người dùng điều hướng đến cài đặt bảo mật tài khoản và chọn 'Đăng ký khóa bảo mật'.
- Trang web nhắc người dùng cắm khóa bảo mật USB; người dùng thực hiện.
- Khóa bảo mật USB nhấp nháy để cho biết người dùng nên nhấn nút trên đó; người dùng thực hiện.
- Trang web hiển thị thông báo 'Đăng ký hoàn tất.' LƯU Ý: Vì máy tính này thiếu trình xác thực nền tảng nên trang web có thể yêu cầu người dùng xuất trình khóa bảo mật USB của họ theo thời gian hoặc mỗi khi người dùng tương tác với trang web. Đây là quyết định của trang web.
- Sau đó, trên máy tính của họ (có tính năng xác thực nền tảng):
- Người dùng truy cập đến trang example.com trong trình duyệt và bắt đầu đăng nhập.
- Trang web nhắc người dùng cắm khóa bảo mật USB của họ.
- Người dùng cắm khóa bảo mật USB đã đăng ký trước đó vào và nhấn nút.
- Trang web hiển thị rằng người dùng đã đăng nhập và điều hướng đến trang đăng nhập.
- Trang web nhắc: 'Bạn có muốn đăng ký máy tính này với example.com không?'
- Người dùng đồng ý.
- Máy tính nhắc người dùng thực hiện cử chỉ ủy quyền đã định cấu hình trước đó (mã PIN, sinh trắc học, v.v.); người dùng đồng ý
- Trang web hiển thị thông báo 'Đăng ký hoàn tất.'
- Người dùng đăng xuất.
- Sau đó, một lần nữa trên máy tính xách tay của họ:
- Người dùng điều hướng đến example.com trong trình duyệt và bắt đầu đăng nhập.
- Trang web hiển thị thông báo 'Vui lòng làm theo lời nhắc trên máy tính của bạn để hoàn tất đăng nhập'.
- Máy tính xách tay nhắc người dùng thực hiện hành động ủy quyền (mã PIN, sinh trắc học, v.v.); người dùng đồng ý.
- Trang web hiển thị rằng người dùng đã đăng nhập và điều hướng đến trang đăng nhập.
4. Other Use Cases and Configurations
Cũng có thể có nhiều trường hợp sử dụng và cấu hình bổ sung, bao gồm (nhưng không giới hạn):
- Người dùng điều hướng đến example.com trên máy tính xách tay của họ, được hướng dẫn qua một quy trình để tạo và đăng ký thông tin xác thực trên điện thoại của họ.
- Người dùng nhận được một trình xác thực chuyển vùng riêng biệt, chẳng hạn như 'fob' với các tùy chọn kết nối USB hoặc USB+NFC/BLE, tải example.com trong trình duyệt của họ trên máy tính xách tay hoặc điện thoại và được hướng dẫn qua một quy trình để tạo và đăng ký một thông tin xác thực trên fob.
- Bên tin cậy sẽ nhắc người dùng thực hiện cử chỉ ủy quyền của họ để ủy quyền cho một giao dịch duy nhất, chẳng hạn như thanh toán hoặc giao dịch tài chính khác.