Passer au contenu principal
Vous pouvez configurer pour permettre aux utilisateurs de s’authentifier à l’aide de WebAuthn avec la biométrie de l’appareil plutôt qu’avec un mot de passe. WebAuthn avec la biométrie de l’appareil est aujourd’hui le facteur d’authentification le plus sécuritaire et le plus convivial, réduisant considérablement les frictions à la connexion sans compromettre la sécurité.
Vous devez utiliser cette fonctionnalité avec une connexion de base de données Auth0. Accédez à Auth0 Dashboard > Authentication > Database pour choisir une connexion de base de données. Pour en savoir plus, consultez Connexions de base de données.

Prérequis

Pour activer avec la biométrie de l’appareil WebAuthn, vous devez :
  1. Assurez-vous que l’expérience Universal Login est activée et que le code HTML de la page de connexion n’est pas personnalisé dans Dashboard > Universal Login.
  2. Sélectionnez Identifier First + Biometrics dans Dashboard > Authentication Profile. Cela activera automatiquement WebAuthn avec la biométrie de l’appareil dans la section d’authentification multifacteur si ce n’est pas déjà fait.
  3. Si vous utilisez une connexion de base de données personnalisée, assurez-vous que Import Mode est défini à On. Sinon, vous pouvez exécuter le script getUser pour arriver au même résultat.

Comment ça fonctionne

Les utilisateurs qui s’authentifient avec un nom d’utilisateur/courriel et un mot de passe, et qui disposent d’un appareil compatible avec WebAuthn et la biométrie de l’appareil, se voient offrir la possibilité d’inscrire leur appareil :
Exemple de configuration d’une connexion avec Face ID pour un domaine précis à l’aide de WebAuthn
Après avoir activé la fonctionnalité, nous proposons quelques options aux utilisateurs dans la boîte de dialogue Connexion plus rapide sur cet appareil. Les utilisateurs peuvent choisir d’inscrire leur appareil ou de passer l’inscription afin de réduire le nombre de fois où cette invite s’affiche :
OptionDescription
ContinueInvite l’utilisateur à inscrire un facteur biométrique
Remind me laterIgnore l’inscription et invite l’utilisateur à s’inscrire de nouveau dans deux semaines
Not on this deviceN’invite pas l’utilisateur à s’inscrire pendant 1 an ou tant que les témoins Auth0 sont conservés dans le navigateur de l’utilisateur
Connexion - biométrie WebAuthn - se connecter plus rapidement sur cet appareil
Si les utilisateurs décident d’inscrire leur appareil, la prochaine fois qu’ils s’authentifieront à partir de cet appareil, ils auront la possibilité d’utiliser la biométrie de leur appareil ou un mot de passe :
Exemple d’utilisation d’une empreinte digitale ou de la reconnaissance faciale pour se connecter à un domaine
Nous appelons cette fonctionnalité « inscription progressive », et elle est conçue pour rendre la transition vers l’authentification fondée sur WebAuthn aussi simple que possible, tant pour les développeurs que pour les utilisateurs.

Authentification multifacteur

WebAuthn avec la biométrie de l’appareil permet d’éviter d’exiger une autre méthode d’authentification pour effectuer l’. WebAuthn avec la biométrie de l’appareil combine deux facteurs en un seul : quelque chose que vous possédez (l’appareil) et quelque chose que vous êtes (la biométrie) ou que vous connaissez (le code d’accès). Cela a plusieurs conséquences :
  • Lorsque vous activez la MFA dans le tableau de bord, Auth0 ne demandera pas la MFA si les utilisateurs se sont authentifiés avec WebAuthn avec biométrie de l’appareil comme premier facteur.
  • Lorsque la MFA est activée et que les utilisateurs créent un nouveau compte, ils :
    • créeront un utilisateur avec un nom d’utilisateur et un mot de passe.
    • s’inscriront à la MFA avec une méthode d’authentification non biométrique, afin de pouvoir effectuer la MFA sur n’importe quel appareil.
    • pourront éventuellement s’inscrire avec la biométrie de l’appareil.
La prochaine fois qu’ils ouvriront une session, ils pourront le faire avec un mot de passe + une autre méthode d’authentification, ou avec la biométrie de l’appareil.
  • Lorsque les utilisateurs s’authentifient à l’aide de WebAuthn Biometrics comme seule méthode d’authentification, la valeur amr dans le sera définie sur mfa.
  • Si vous souhaitez activer la MFA à partir de notre plateforme d’extensibilité, vous pourrez tenir compte de la façon dont les utilisateurs se sont authentifiés pour décider s’ils doivent recevoir une invite de MFA ou non. La Rule ci-dessous n’exécutera la MFA que si l’utilisateur ne s’est pas authentifié avec la méthode d’authentification webauthn-platform :
javascript
function (user, context, callback) {
  let authMethods = context.authentication.methods;

  const amr = authMethods.find((method) => method.name === 'webauthn-platform');

  if (!amr) {
    context.multifactor = {
      provider: 'any',
      allowRememberBrowser: false
    };
  }
  return callback(null, user, context);
}
Cette Action post-connexion aura le même effet :
javascript
exports.onExecutePostLogin = async (event, api) => {
  let authMethods = event.authentication.methods;

  let amr = authMethods.find((method) => method.name === 'webauthn-platform');

   if (!amr) {
     api.multifactor.enable('any');
  }
};

Reconnaissance de l’appareil

Auth0 utilisera les règles pour déterminer si l’appareil est déjà enregistré ou non, et invitera l’utilisateur à procéder à l’inscription. Pour en savoir plus, consultez Reconnaissance de l’appareil dans l’article Configurer WebAuthn avec la biométrie de l’appareil pour la MFA. Pour éviter les attaques d’énumération d’utilisateurs, Auth0 n’invitera les utilisateurs à utiliser la biométrie comme premier facteur que s’ils se connectent à partir d’un appareil connu. Sinon, ils devront se connecter avec leur mot de passe. Par exemple :
  • Un utilisateur se connecte à Chrome sous Windows et est inscrit à Windows Hello. Dans les données d’inscription, Auth0 sait que l’utilisateur s’est inscrit à partir d’un appareil Windows et enregistre un témoin d’« appareil connu » pour reconnaître l’agent utilisateur.
  • La prochaine fois que l’utilisateur se connectera à Chrome, il sera invité à utiliser Windows Hello au lieu d’un mot de passe.
  • Si l’utilisateur se connecte plus tard à Firefox sous Windows, comme le témoin d’« appareil connu » n’est pas présent, il devra se connecter avec son mot de passe. Comme il est déjà inscrit à Windows Hello, il ne sera pas invité à s’inscrire de nouveau.
  • La prochaine fois que l’utilisateur se connectera à Firefox, il sera invité à utiliser Windows Hello.
Les attaquants ne pourront donc pas savoir si des utilisateurs ont un compte, ni s’ils ont utilisé la biométrie de l’appareil avec WebAuthn pour s’authentifier sur le site.

Webauthn.me

Auth0 tient à jour webauthn.me, qui fournit des renseignements détaillés sur WebAuthn ainsi qu’une liste à jour des navigateurs compatibles avec WebAuthn.

En savoir plus