万维网联盟(W3C)和 Fast IDentity Online(FIDO)联盟最近宣布,Web 认证(WebAuthn)规范现在是一个官方 Web 标准。 WebAuthn 允许用户通过生物识别技术、移动设备或 FIDO 安全密钥登录,比仅使用密码登录具有更高的安全性。
WebAuthn 是一种用于浏览器和 Web 平台的新 Web API,它支持 Web 应用程序创建和使用强大的、经过认证的、范围有限的、基于公钥的凭证,用于用户身份验证。WebAuthn 已经在 Windows 10、Android、谷歌 Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari(预览版)Web 浏览器中得到了支持,并被 Dropbox、Facebook、GitHub、Salesforce、Stripe 和 Twitter 等主要网站所采用。W3C 成员 Yubico 证实了 WebAuthn 及其跨浏览器、跨平台的重要性:
W3C 的 WebAuthn 标准化标志着开放认证标准和互联网安全历史上的一个里程碑。我们一起实现了几乎不可能实现的目标:创建一个由所有平台和浏览器支持的全球标准。
WebAuthn 是 FIDO 联盟 FIDO2 规范集的一个重要组成部分。FIDO2 在 WebAuthn 中体现的一个重要特性是检查 origin,以防止网络钓鱼攻击。基于密码身份验证的安全性缺陷是驱动 WebAuthn 在 Web 方面应用的主要推动力:
要使用 WebAuthn,用户需要一个外部安全设备(如 FIDO 2 安全密钥)或内部身份验证器(如指纹阅读器或面部识别器)。
除了技术方面的问题,WebAuthn 还支持廉价的身份验证设备,以便推动该标准的采用。为了推动采用,FIDO 联盟提供了测试工具和认证程序。Trusona 是一家为企业提供无密码认证技术的公司。这家公司表示:
新协议依赖于配备生物识别功能的 PC 或笔记本电脑,或者要求用户拥有(或购买)硬件令牌。消费者的任何额外需求或成本考虑都可能阻碍这种新解决方案的广泛采用。
FIDO 联盟( www.fidoalliance.org)/) 成立于 2012 年 7 月,旨在解决强认证技术之间缺乏互操作性的问题,并解决与用户名和密码相关的安全问题。
W3C 的任务是创建技术标准和指南,以确保 Web 保持开放、可访问和可互操作。
原文链接:
W3C and FIDO Alliance Finalized WebAuthn, Web Standard for Secure, Passwordless Logins
注册/登录 InfoQ 发表评论