萬維網聯盟(W3C)和Fast IDentity Online(FIDO)聯盟最近宣佈,Web認證(WebAuthn)規範現在是一個官方Web標準。WebAuthn允許用戶通過生物識別技術、移動設備或FIDO安全密鑰登錄,比僅使用密碼登錄具有更高的安全性。
WebAuthn是一種用於瀏覽器和Web平臺的新Web API,它支持Web應用程序創建和使用強大的、經過認證的、範圍有限的、基於公鑰的憑證,用於用戶身份驗證。WebAuthn已經在Windows 10、Android、谷歌Chrome、Mozilla Firefox、Microsoft Edge和Apple Safari(預覽版)Web瀏覽器中得到了支持,並被Dropbox、Facebook、GitHub、Salesforce、Stripe和Twitter等主要網站所採用。W3C成員Yubico證實了WebAuthn及其跨瀏覽器、跨平臺的重要性:
W3C的WebAuthn標準化標誌着開放認證標準和互聯網安全歷史上的一個里程碑。我們一起實現了幾乎不可能實現的目標:創建一個由所有平臺和瀏覽器支持的全球標準。
WebAuthn是FIDO聯盟FIDO2規範集的一個重要組成部分。FIDO2在WebAuthn中體現的一個重要特性是檢查origin,以防止網絡釣魚攻擊。基於密碼身份驗證的安全性缺陷是驅動WebAuthn在Web方面應用的主要推動力:
要使用WebAuthn,用戶需要一個外部安全設備(如FIDO 2安全密鑰)或內部身份驗證器(如指紋閱讀器或面部識別器)。
除了技術方面的問題,WebAuthn還支持廉價的身份驗證設備,以便推動該標準的採用。爲了推動採用,FIDO聯盟提供了測試工具和認證程序。Trusona是一家爲企業提供無密碼認證技術的公司。這家公司表示:
新協議依賴於配備生物識別功能的PC或筆記本電腦,或者要求用戶擁有(或購買)硬件令牌。消費者的任何額外需求或成本考慮都可能阻礙這種新解決方案的廣泛採用。
FIDO聯盟(www.fidoalliance.org)/)成立於2012年7月,旨在解決強認證技術之間缺乏互操作性的問題,並解決與用戶名和密碼相關的安全問題。
W3C的任務是創建技術標準和指南,以確保Web保持開放、可訪問和可互操作。
原文鏈接:
W3C and FIDO Alliance Finalized WebAuthn, Web Standard for Secure, Passwordless Logins