Una nueva funcionalidad en WebAuthn mejora la seguridad de las llaves de seguridad, abordando una vulnerabilidad en cómo se descubren y utilizan las credenciales. Anteriormente, los sitios web (partes confiables) no podían controlar cuándo o cómo una credencial se hacía descubrible, lo que exponía información sensible, especialmente en el caso de llaves de seguridad físicas donde la posesión es suficiente para revelar cuentas registradas.
La especificación CTAP 2.1 introduce una extensión llamada credentialProtectionPolicy que permite a las partes confiables especificar si una credencial requiere verificación de usuario para ser descubierta o utilizada. Las opciones incluyen userVerificationOptional (descubrimiento sin verificación), userVerificationOptionalWithCredentialIDList (descubrimiento sin verificación si se proporciona el ID de la credencial) y userVerificationRequired (requiere verificación para descubrimiento y uso). Además, enforceCredentialProtectionPolicy fuerza el fallo de la operación si el dispositivo no soporta la política de protección.
Actualmente, Chrome y Firefox soportan esta extensión, mientras que Safari la ignora. Chrome aplica valores por defecto, como userVerificationOptionalWithCredentialIDList cuando se prefiere residentKey. Es crucial que las partes confiables verifiquen si se realizó la verificación de usuario durante la autenticación, incluso si el autenticador la exige, para evitar accesos no autorizados.