Saltar al contenido principal
Para obtener una introducción a WebAuthn y a cómo Auth0 lo implementa tanto para claves de seguridad como para biometría del dispositivo, consulta Autenticación FIDO con WebAuthn.

La disponibilidad varía según el plan de Auth0

Tanto tu implementación específica de inicio de sesión como tu plan de Auth0 o acuerdo personalizado determinan si esta funcionalidad está disponible. Para obtener más información, consulta Precios.
Si necesitas configurar un dominio personalizado, hazlo antes de implementar WebAuthn en entornos de producción. Si configuras o cambias un dominio personalizado, los usuarios inscritos previamente no podrán autenticarse.Puedes usar la configuración de parte de confianza para especificar el dominio que se usa para autenticar a los usuarios.

Usa el Dashboard

  1. Habilita WebAuthn con claves de seguridad en Dashboard > Security > Multi-factor Auth.
  2. Configura cómo quieres gestionar la verificación de usuario. En el caso de las claves de seguridad, lo habitual es que se pida a los usuarios que introduzcan un PIN para completar el desafío de WebAuthn.
    1. Nunca: a los usuarios no se les pedirá nunca que introduzcan un PIN. Este es el valor predeterminado y, por lo general, suele ser suficiente cuando se usan claves de seguridad para MFA. Los usuarios ya han introducido su contraseña, así que ya han proporcionado cierto nivel de verificación.
    2. Si es compatible: se pedirá a los usuarios que introduzcan un PIN si ya han configurado uno en la clave.
    3. Obligatorio: se pedirá a los usuarios que establezcan un PIN si todavía no lo han configurado, y tendrán que introducirlo cada vez. Esta es la opción que ofrece el mayor nivel de seguridad. Algunos navegadores no lo implementan correctamente (por ejemplo, Brave en iOS), por lo que la autenticación fallará y Auth0 pedirá a los usuarios que utilicen otro navegador.
Ten en cuenta que solo las claves de seguridad compatibles con FIDO-2 admiten la verificación de usuario. Las claves FIDO-1 pueden usarse con WebAuthn, pero no se pueden utilizar si estableces la verificación de usuario como Obligatorio.

Configurar la parte de confianza

WebAuthn hace que el phishing sea imposible al vincular las credenciales con el origen del navegador. Los usuarios tampoco pueden usar WebAuthn en un sitio en el que no se registraron. Vincular las credenciales al origen significa que, si configura un o lo cambia, los usuarios inscritos antes del cambio no podrán autenticarse. WebAuthn define un atributo de ID de la parte de confianza, que le permite especificar el dominio que se usa para autenticar a los usuarios. Puede establecerlo en cualquier sufijo de dominio registrable del origen del navegador. Por ejemplo, si el dominio personalizado es login.example.com, puede configurar el ID de la como example.com. Esto permite que los usuarios se autentiquen en cualquier subdominio de example.com con sus credenciales de WebAuthn. Auth0 le permite especificar el ID de la parte de confianza solo si tiene un dominio personalizado configurado. Si el dominio personalizado cambia, debe actualizar el ID de la parte de confianza.

Compatibilidad de dispositivos

Para usar claves de seguridad, un navegador debe tener JavaScript habilitado y ser compatible con WebAuthn. Si no se cumplen esas condiciones, Auth0 no ofrecerá la opción de inscribirse o autenticarse con claves de seguridad. Auth0 solicitará otro factor o un código de recuperación (si no tienen inscrito otro factor). Las versiones más recientes de los navegadores y sistemas operativos más populares son compatibles con WebAuthn y las claves de seguridad. Para obtener más información, consulte la sección de compatibilidad de navegadores en webauthn.me.

Limitaciones

  • Al usar la API de MFA, puede listar y eliminar inscripciones de WebAuthn, pero no puede crear nuevas inscripciones.

Más información