WebAuthNは、検証可能な認証を実行しない基本的に2つの異なる方法を提供しているようです。証明書利用者がnone
を要求するか、オーセンティケーターが自己認証を選択します。
これは、対称性のための純粋なプロトコル設計の選択ですか(「認証が要求された場合、常に提供されます」の不変条件を許可します)、特定のレガシーユースケースをサポートするためですか(そうである場合、それらは何ですか?)、またはself
とnone
の間にセキュリティ上の影響/違いはありますか?
これは、下位互換性のためである可能性が最も高いです。 Chrome 67 自己認証の使用を開始 U2Fの場合(U2F仕様では「none」は許可されていません)、100,000バッチの要件を満たしていないことが判明した特定のキープライバシーを保護するため。