선택적 암호 키 구성

마지막 로그인 시간 업데이트 비활성화

기본적으로 Domino는 해당 자격 증명을 사용하여 성공적으로 인증한 후 passkey.nsf에서 해당 암호 키 자격 증명에 대한 마지막 로그인 시간을 항상 업데이트합니다. 이는 트래픽이 많은 서버의 성능에 부정적인 영향을 미칠 수 있습니다. 서버의 Notes.ini에서 PASSKEY_ALWAYS_UPDATE_LAST_LOGIN=0을 설정하면 이 기능이 비활성화되고 인증 중에 인증자가 0이 아닌 카운터를 보낸 경우 Domino는 자격 증명의 마지막 로그인 시간만 업데이트하게 됩니다. 이렇게 하면 성능이 향상되지만 passkey.nsf의 마지막 로그인 시간이 일치하지 않게 됩니다.

증명 요청 비활성화

증명 문은 로그인 세션이 활발하게 침해되는 동안 암호 키 등록의 보안을 향상시키고 인증자가 식별 정보를 신뢰 당사자에게 보내도록 권장할 수 있습니다.

기본적으로 Domino는 passkey.nsf의 "인증자 이름" 필드를 채우기 위해 패스키 등록 중에 "직접" 증명 문을 제공하도록 인증자에게 요청합니다. 이로 인해 일부 브라우저/플랫폼 조합에서는 사용자의 개인정보를 침해할 수 있는 정보를 제공하기 위한 권한을 사용자에게 요청할 수 있으며 시크릿 브라우저 창에서 암호 키 등록이 실패할 수 있습니다. Domino 14.0은 "None" 및 "Self" 증명의 유효성을 검사할 수 있으며 이러한 유형을 받으면 유효성을 검사합니다. 다른 증명 유형은 유효성을 검사하기 위해 외부 메타데이터가 필요하며 유효성이 검사되지 않습니다.

PASSKEY_REQUEST_DIRECT_ATTSTMT=0이 Domino 서버의 Notes.ini에 설정된 경우 Domino는 "none" 증명 유형을 요청합니다. 이로 인해 대부분의 인증자는 모두 0인 AAGUID를 등록하게 되며, 이는 passkey.nsf의 빈 "인증자 이름" 필드에 해당합니다.

비밀번호 등록 제한 제거

각 사용자는 일반적으로 혼란을 방지하기 위해 각 신뢰 당사자에 대해 인증자당 하나의 암호 키를 등록하도록 제한됩니다. 테스트 목적으로 해당 제한사항을 제거하려면 서버의 Notes.ini에서 PASSKEY_ALLOW_REPEATED_REGISTRATION=1 을 설정하십시오.

사용자 확인 필요

인증자는 암호 키를 사용하기 전에 항상 사용자 존재를 확인합니다. 기본적으로 인증자는 가능한 경우 사용자 확인을 요청하지만 불가능한 경우에는 요구하지 않습니다. 예를 들어, 일부 구형 Yubikey 장치에는 사용자 존재를 나타내기 위해 누르는 버튼만 있지만 장치를 사용하여 사용자의 신원을 확인하는 지문 판독기나 PIN이 없습니다. 마찬가지로 일부 노트북에서는 노트북 덮개가 닫혀 있고 지문 판독기가 현재 활성화되지 않은 경우 암호키 인증을 허용합니다. 관리자는 Domino 서버의 Notes.ini에서 PASSKEY_REQUIRE_USER_VERIFICATION=1을 설정하여 사용자 확인을 요구할 수 있습니다. 이는 PIN 없이 구성된 생체 인식 기능이 없는 FIDO2 장치를 사용하는 사용자와 닫혀 있고 "도킹된" 랩톱을 사용하는 사용자에게 부정적인 영향을 미칠 수 있지만 다단계 인증을 엄격하게 적용하는 데 사용할 수 있습니다.