Passkey como 2FA (obligatorio)

¿Hay alguna forma de aceptar una entrada de Passkey como 2FA?

Estamos utilizando Windows Hello como proveedor de passkey de plataforma para nuestro personal, y esto funciona bien (la inscripción a veces no reconoce que la plataforma tiene TPM local en Hello y, por lo tanto, Edge solo ofrece inscribirse a través de un código QR. No he descubierto qué causa esto, pero supongo que es un problema de Windows o EntraID, por lo que no importa para esta pregunta).

De todos modos, dado que nuestro personal ahora tiene inicios de sesión sin contraseña, finalmente podría hacer que la 2FA sea obligatoria para los inicios de sesión. Sin embargo, esto no funciona realmente para las personas que solo tienen una contraseña de cuenta local y una passkey (sin Authenticator ni Security Key), todavía se les pide que proporcionen un método 2FA adicional.

Esperaría que acepte Passkeys (al menos si el agente de usuario confirma que verificó la presencia o el segundo factor).

¿Se puede habilitar/aceptar esto? ¿Quizás puedo aceptarlo solo para mi almacenamiento de Passkey empresarial en WHfB?

Vi un comentario de que puedes registrar una passkey como una clave de seguridad 2FA (de nuevo), ¿es ese el camino a seguir (me gustaría evitarlo debido a los problemas de inscripción descritos anteriormente, aún no he podido probarlo)?

Sí, esto está en nuestra lista de tareas pendientes. Sería una mejora de usabilidad, ya que los navegadores ahora agrupan las passkeys y las llaves de seguridad. Y no hay inconvenientes de seguridad aquí, bajo el capó una passkey es lo mismo que una llave de seguridad, la única diferencia es que una passkey se puede usar para iniciar sesión sin contraseña.

¿Cuál es el protocolo aquí? ¿Debo aceptarlo como respuesta o esperar hasta que se implemente?

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.