如果只用 WebAuthn(Passkey)做网站唯一登录凭证是否靠谱?会有哪些安全风险和弊端?

294 天前
 raw0xff

rt 不考虑老用户密码舍弃问题,不考虑用户注册设备丢失问题,不考虑无密码找回重置问题

生物识别会不会没那么靠谱?

2025 次点击
所在节点    程序员
22 条回复
raw0xff
127 天前
@jocover 你的设备有没有在 fido (登记?获取?)证书?
抱歉你说的非常对,当时忽略了用户认证器设备的验证,如果服务端不验证用户认证器就存储公钥,那么就有可能存在中间人。可否留个小飞机请教一些问题?
afxcn
62 天前
你比我早 232 天关注 webauthn 这个问题,有在实际项目中用了吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1011312

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX