万维网联盟（W3C）和Fast IDentity Online（FIDO）联盟最近宣布，Web认证（WebAuthn）规范现在是一个官方Web标准。WebAuthn允许用户通过生物识别技术、移动设备或FIDO安全密钥登录，比仅使用密码登录具有更高的安全性。

WebAuthn是一种用于浏览器和Web平台的新Web API，它支持Web应用程序创建和使用强大的、经过认证的、范围有限的、基于公钥的凭证，用于用户身份验证。WebAuthn已经在Windows 10、Android、谷歌Chrome、Mozilla Firefox、Microsoft Edge和Apple Safari（预览版）Web浏览器中得到了支持，并被Dropbox、Facebook、GitHub、Salesforce、Stripe和Twitter等主要网站所采用。W3C成员Yubico证实了WebAuthn及其跨浏览器、跨平台的重要性：

W3C的WebAuthn标准化标志着开放认证标准和互联网安全历史上的一个里程碑。我们一起实现了几乎不可能实现的目标：创建一个由所有平台和浏览器支持的全球标准。

WebAuthn是FIDO联盟FIDO2规范集的一个重要组成部分。FIDO2在WebAuthn中体现的一个重要特性是检查origin，以防止网络钓鱼攻击。基于密码身份验证的安全性缺陷是驱动WebAuthn在Web方面应用的主要推动力：

要使用WebAuthn，用户需要一个外部安全设备（如FIDO 2安全密钥）或内部身份验证器（如指纹阅读器或面部识别器）。

除了技术方面的问题，WebAuthn还支持廉价的身份验证设备，以便推动该标准的采用。为了推动采用，FIDO联盟提供了测试工具和认证程序。Trusona是一家为企业提供无密码认证技术的公司。这家公司表示：

新协议依赖于配备生物识别功能的PC或笔记本电脑，或者要求用户拥有（或购买）硬件令牌。消费者的任何额外需求或成本考虑都可能阻碍这种新解决方案的广泛采用。

FIDO联盟（www.fidoalliance.org）/)成立于2012年7月，旨在解决强认证技术之间缺乏互操作性的问题，并解决与用户名和密码相关的安全问题。

W3C的任务是创建技术标准和指南，以确保Web保持开放、可访问和可互操作。

原文链接：
W3C and FIDO Alliance Finalized WebAuthn, Web Standard for Secure, Passwordless Logins

创作场景

W3C 和 FIDO 敲定 WebAUthn 标准，支持无密码登录