Zammad项目中WebAuthn双因素认证的用户体验优化

背景介绍

在Zammad 6.3版本中，当用户使用安全密钥(Security Key)作为双因素认证(2FA)方法时，登录流程存在一个影响用户体验的问题。具体表现为：在双因素认证阶段，系统不仅要求用户出示安全密钥(如触摸YubiKey)，还要求用户验证密钥(如输入PIN码)，这种双重验证打断了正常的2FA流程。

技术原理分析

这个问题源于WebAuthn(Web Authentication API)规范中的两个重要概念：

1. 用户存在验证(User Presence Verification)：简单的物理交互，如触摸安全密钥，证明用户确实在场
2. 用户身份验证(User Verification)：更严格的验证，如输入PIN码或生物识别，确认操作者的具体身份

根据WebAuthn规范，在双因素认证场景下，通常只需要用户存在验证就足够了，而不需要强制进行用户身份验证。当前Zammad的实现将user_verification参数设置为默认值，导致不必要的严格验证。

问题具体表现

以YubiKey 5 NFC安全密钥为例，用户在实际使用中会遇到以下步骤：

1. 首次触摸密钥激活设备
2. 系统要求输入PIN码进行验证
3. 验证完成后再次要求触摸密钥

这种重复操作不仅降低了用户体验，还可能影响用户采用这种安全认证方式的积极性。

解决方案

通过修改WebAuthn子系统的配置，将user_verification参数明确设置为'discouraged'值。这一修改将：

1. 在创建凭证和获取凭证时都应用此设置
2. 优先使用简单的用户存在验证
3. 仅在必要时(当两种验证方式自然重合时)才进行用户身份验证

需要注意的是，设置为'discouraged'并不完全禁止用户验证，而是将其作为可选而非强制步骤。这种设置更符合双因素认证的最佳实践。

实现影响

这一优化将带来以下改进：

• 简化登录流程，减少用户操作步骤
• 保持安全性的同时提高可用性
• 更符合WebAuthn规范推荐的双因素认证实现方式
• 提升用户对安全密钥认证方式的接受度

总结

Zammad项目通过这一优化，解决了安全密钥双因素认证流程中的冗余验证问题，使认证流程更加流畅。这种改进展示了在安全性和用户体验之间寻求平衡的重要性，同时也体现了遵循标准规范的最佳实践。对于使用类似WebAuthn技术的开发者来说，这是一个值得参考的案例。