<div dir="ltr">Dear WebKit folks,<div><br></div><div>We (Chromium) are fleshing out our support for <a href="https://www.w3.org/TR/webauthn/">WebAuthn Level Two</a> and <a href="https://fidoalliance.org/specs/fido-v2.1-rd-20210309/fido-client-to-authenticator-protocol-v2.1-rd-20210309.html">CTAP 2.1</a> (the corresponding protocol between devices and security keys).</div><div><br></div><div>As part of that we're interested in any WebKit opinions about the following:</div><div><br></div><div><br></div><div><a href="https://fidoalliance.org/specs/fido-v2.1-rd-20210309/fido-client-to-authenticator-protocol-v2.1-rd-20210309.html#sctn-credBlob-extension">CTAP 2.1 credBlob extension</a> (<a href="https://groups.google.com/a/chromium.org/g/blink-dev/c/Vfg2o0peyYg/m/Vp0h8i5VBQAJ">Intent thread</a>, <a href="https://chromestatus.com/feature/5541178411843584">platform status entry</a>):</div><div><br></div><div>This is a bytestring stored by the authenticator, just like the user handle, but a separate value. Microsoft plan to use it in mixed web/native contexts to store the hash of some externally-provided information in order to authenticate it.</div><div><br></div><div>(This only involves an IDL change in Chromium due to the way that we implemented authenticator extensions, it might not need code changes in WebKit.)</div><div><br></div><div><br></div><div><a href="https://fidoalliance.org/specs/fido-v2.1-rd-20210309/fido-client-to-authenticator-protocol-v2.1-rd-20210309.html#sctn-feature-descriptions-minPinLength">Minimum PIN lengths</a> (not yet the subject of an Intent to Ship):<br></div><div><br></div><div>This allows enterprises to configure a minimum PIN length greater than the default value of four. It  also involves <a href="https://fidoalliance.org/specs/fido-v2.1-rd-20210309/fido-client-to-authenticator-protocol-v2.1-rd-20210309.html#sctn-minpinlength-extension">an extension</a> to report, to the enterprise, what minimum is in effect. The extension will involve IDL changes in Chromium for the same reason, and our PIN-related management UIs would have to be updated to respect the configured minimum.</div><div><br></div><div><br></div><div>Cheers</div><div><br>AGL</div></div>