Saltar al contenido principal
Puede configurar para que los usuarios puedan autenticarse con WebAuthn mediante biometría del dispositivo en lugar de usar una contraseña. WebAuthn con biometría del dispositivo es el factor de autenticación más seguro y fácil de usar disponible en la actualidad, y reduce considerablemente la fricción en el inicio de sesión sin comprometer la seguridad.
Debe usar esta función con una conexión de base de datos de Auth0. Vaya a Auth0 Dashboard > Authentication > Database para elegir una conexión de base de datos. Para obtener más información, consulte Conexiones de base de datos.

Requisito previo

Para habilitar con biometría del dispositivo mediante WebAuthn, debe hacer lo siguiente:
  1. Asegúrese de que la experiencia de Universal Login esté habilitada y de que el HTML de la página de inicio de sesión no esté personalizado en Dashboard > Universal Login.
  2. Seleccione Identifier First + Biometrics en Dashboard > Authentication Profile. Esto habilitará automáticamente WebAuthn con biometría del dispositivo en la sección de autenticación multifactor si aún no está habilitado.
  3. Si usa una conexión de base de datos personalizada, asegúrese de que Import Mode esté configurado como On. Si no es así, puede ejecutar el script getUser para conseguir el mismo resultado.

Cómo funciona

A los usuarios que se autentican con username/correo electrónico y contraseña, y que tienen un dispositivo capaz de usar WebAuthn con biometría del dispositivo, se les ofrece la opción de inscribir su dispositivo:
Ejemplo de configuración de un inicio de sesión con Face ID para un dominio específico mediante WebAuthn
Después de habilitar esta función, ofrecemos varias opciones a los usuarios en el cuadro de diálogo Inicia sesión más rápido en este dispositivo. Los usuarios pueden elegir inscribir su dispositivo u omitir la inscripción para reducir la cantidad de veces que se les solicita:
OpciónDescripción
ContinueSolicita al usuario que complete la inscripción del factor biométrico
Remind me laterOmite la inscripción y vuelve a solicitarla dentro de dos semanas
Not on this deviceNo vuelve a solicitar la inscripción durante 1 año o mientras las cookies de Auth0 permanezcan almacenadas en el navegador de los usuarios
Inicio de sesión - biometría de WebAuthn - iniciar sesión más rápido en este dispositivo
Si los usuarios deciden inscribir su dispositivo, la próxima vez que se autentiquen desde ese dispositivo se les ofrecerá la opción de usar la biometría del dispositivo o una contraseña:
Ejemplo de uso de huella digital o reconocimiento facial para iniciar sesión en un dominio
Llamamos a esta función “inscripción progresiva”, y está diseñada para que la transición a la autenticación basada en WebAuthn sea lo más sencilla posible tanto para desarrolladores como para usuarios.

Autenticación multifactor

WebAuthn con biometría del dispositivo permite no requerir otro método de autenticación para realizar la . WebAuthn con biometría del dispositivo combina dos factores en uno: algo que tienes (el dispositivo) y algo que eres (la biometría) o algo que sabes (el código de acceso). Esto tiene varias consecuencias:
  • Cuando habilitas MFA en el Dashboard, Auth0 no solicitará MFA si los usuarios se autenticaron con WebAuthn con biometría como primer factor.
  • Cuando MFA está habilitado y los usuarios crean una cuenta nueva, harán lo siguiente:
    • Crear un usuario con username y contraseña.
    • Inscribirse en MFA con un método de autenticación no biométrico, para poder completar MFA en cualquier dispositivo.
    • Opcionalmente, inscribirse con biometría del dispositivo.
La próxima vez que inicien sesión, podrán hacerlo con contraseña + otro método de autenticación o con biometría del dispositivo.
  • Cuando los usuarios se autentican con WebAuthn Biometrics como único método de autenticación, el valor de amr en el se establecerá en mfa.
  • Si quieres habilitar MFA desde nuestra plataforma de extensibilidad, podrás tener en cuenta cómo se autenticaron los usuarios para decidir si se les debe solicitar MFA o no. La siguiente regla solo aplicará MFA si el usuario no se autenticó con el método de autenticación webauthn-platform:
javascript
function (user, context, callback) {
  let authMethods = context.authentication.methods;

  const amr = authMethods.find((method) => method.name === 'webauthn-platform');

  if (!amr) {
    context.multifactor = {
      provider: 'any',
      allowRememberBrowser: false
    };
  }
  return callback(null, user, context);
}
Esta Action de post-login tendrá el mismo efecto:
javascript
exports.onExecutePostLogin = async (event, api) => {
  let authMethods = event.authentication.methods;

  let amr = authMethods.find((method) => method.name === 'webauthn-platform');

   if (!amr) {
     api.multifactor.enable('any');
  }
};

Reconocimiento de dispositivos

Auth0 usará las reglas para determinar si el dispositivo ya está registrado o no, y pedirá al usuario que se inscriba. Para obtener más información, consulte Reconocimiento de dispositivos en el artículo Configurar WebAuthn con biometría del dispositivo para MFA. Para evitar ataques de enumeración de usuarios, Auth0 solo pedirá a los usuarios la biometría como primer factor si inician sesión desde un dispositivo conocido. De lo contrario, tendrán que iniciar sesión con la contraseña. Por ejemplo:
  • Un usuario inicia sesión desde Chrome en Windows y está inscrito con Windows Hello. Como parte de la información de inscripción, Auth0 sabe que el usuario se inscribió desde un dispositivo Windows y guarda un «dispositivo conocido» para reconocer el agente de usuario.
  • La próxima vez que el usuario inicie sesión desde Chrome, se le pedirá que use Windows Hello en lugar de una contraseña.
  • Si más adelante el usuario inicia sesión desde Firefox en Windows, dado que la cookie de «dispositivo conocido» no está presente, tendrá que iniciar sesión con su contraseña. Como ya está inscrito con Windows Hello, no se le pedirá que se inscriba de nuevo.
  • La próxima vez que el usuario inicie sesión desde Firefox, se le pedirá que use Windows Hello.
Esto no permitirá que los atacantes sepan si los usuarios tienen una cuenta o no, ni si usaron biometría del dispositivo con WebAuthn para autenticarse en el sitio.

Webauthn.me

Auth0 mantiene webauthn.me, que ofrece información detallada sobre WebAuthn y una lista actualizada de los navegadores compatibles con WebAuthn.

Más información