World Wide Web Consortium (W3C) 宣布 Web Authentication API (WebAuthn) 成為正式的 Web 标準。WebAuthn 現在是一項無密碼登入驗證的開放标準,為 Web 應用和服務提供了無密碼的公鑰身份認證接口,獲得了 Airbnb、阿裡巴巴、Apple、Google、IBM、Intel,、Microsoft、Mozilla、PayPal、SoftBank、騰訊和 Yubico 等公司的支援,允許使用者使用生物識别、移動裝置等登入線上賬号。主流浏覽器如 Google Chrome、Mozilla Firefox 和 Microsoft Edge 都已經在去年加入了對 WebAuthn 的支援,蘋果的 Safari 浏覽器則在預覽版中加入了對 WebAuthn 的支援。
W3C的WebAuthn推薦FIDO 聯盟的FIDO2規範集的核心組成部分。FIDO2是支援公鑰加密和多因素身份驗證的标準 - 特别是通用身份驗證架構(UAF)和通用第二因子(U2F)協定。為了促進采用,FIDO聯盟提供測試工具和認證計劃。
FIDO2嘗試以四種方式解決傳統身份驗證問題:
安全性:FIDO2加密登入憑證在每個網站都是唯一的;生物識别或密碼等其他機密永遠不會離開使用者的裝置,也永遠不會存儲在伺服器上。此安全模型消除了網絡釣魚及所有形式的密碼被盜和重播攻擊的風險。
便利性:使用者使用指紋識别器、相機、FIDO安全密鑰或個人移動裝置等簡單方法登入。
隐私:由于FIDO密鑰對于每個網際網路站點都是唯一的,是以它們不能用于跨站點跟蹤使用者。
可擴充性:網站可以通過API調用,跨平台支援數十億消費者常用裝置上的浏覽器和平台。
消息來源:venturebeat
沃通CA翻譯整理
![數說安全公布2020年中國網絡安全市場全景圖,中安威士榜上有名[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)