2018 年 4 月 10 號,W3C 官方宣佈:
FIDO 聯盟與 W3C 聯合取得 Web 認證標準的里程碑式進展,在全球實現更簡單更強大的 Web 認證方式。
在 Google Chrome、Microsoft Edge 和 Mozilla Firefox 的支持下,FIDO2 項目以保護全球互聯網用戶為目標,開啟了一個普適、安全、強認證方式的新時代!
—— 這將打通用戶和 Web 的終極壁壘,給 Web 的體驗帶來質的飛躍。
2018年4月10日— FIDO聯盟(FIDO Alliance)與W3C(World Wide Web Consortium)聯合取得了Web認證標準的重大進展,為全球用戶帶來更簡單、更強大的Web認證方式。
WebAuthn在瀏覽器和跨站點設備上,定義了一個可以合併到瀏覽器中的標準Web API,以及相關的Web平臺基礎設施,為用戶提供在Web上進行安全認證的新方法。 WebAuthn由W3C與FIDO聯盟合作開發,它連同FIDO的客戶端到認證器協議規範(Client to Authenticator Protocol,CTAP),構成了FIDO2 項目的核心組件。
CTAP啟用外部認證器(例如安全秘鑰或手機)通過USB、藍牙、或者NFC向用戶的互聯網接入設備(電腦或手機)局部傳遞強認證證書。FIDO2規範可以讓用戶能夠輕鬆且安全地通過桌面或移動設備驗證在線服務。
Google、Microsoft以及Mozilla都已承諾在其瀏覽器中支持WebAuthn標 準,並已經開始在Windows、Mac、Linux、Chrome OS以及Android平臺上進行實現。WebAuthn和CTAP規範的出現,使開發人員和供應商能夠迅速將對下一代FIDO身份驗證的支持切實部署到其產品和服務中。
FIDO2標準化工作的完成,W3C WebAuthn標準的推進,以及瀏覽器供應商對實現這一標準的承諾,都預示著一個新時代的開啟,一個為所有互聯網用戶提供普適的、硬件支持FIDO身份驗證保護的時代。
企業和在線服務提供者希望保護自己和他們的客戶免於遭受密碼風險—包括網絡釣魚,中間人攻擊和濫用竊 取憑證—可以通過瀏覽器或通過外部認證器,快速部署基於標準的強認證。通過部署FIDO身份驗證,在線服務可以在用戶每天使用的互動操作系統(如手機和安全密鑰)中為用戶提供選擇。
新的FIDO2規範在瀏覽器和操作系統中的標準化將進一步擴大FIDO身份驗證的範圍,FIDO身份 驗證被全球監管機構和標準制定機構引用,並通過Google、Facebook、NTT DOCOMO、美國銀行等企業所提供的服務,在全球範圍內用於數億臺設備,用戶超過35億。 新規範對現有的無密碼FIDO UAF和第二因素FIDO U2F用例進行了補充,並擴展了FIDO認證的可用性。FIDO2網絡瀏覽器和在線服務完全向後兼容所有之前獲得認證的FIDO安全密鑰
最新版本的Firefox已經支持,並將在未來幾個月發佈的Chrome和Edge的版本中得到支持
FIDO即將啟動互操作性測試,並將為符合FIDO2規範的服務器、客戶端和認證器頒發認證憑證。人們可以在FIDO的網站上 找到一致性測試工具。 此外,FIDO將為與所有FIDO認證器類型(FIDO UAF,FIDO U2F,WebAuthn,CTAP)互操作的服務器引入新的通用服務器認證。
WebAuthn 和 FIDO2 項目帶來的益處
W3C的WebAuthn API是一種可融入瀏覽器和相關Web平臺基礎架構的標準WebAPI,可為每個站點提供強大、唯一且基於公鑰的憑證,消除了從某一站點竊取密碼後被用於其他站點的風險。 使用FIDO身份驗證器加載到設備上的在瀏覽器中運行的Web應用程序,可以通過密碼操作代替密碼交換,或除了密碼交換之外,還可為服務提供者和用戶帶來諸多益處:
更簡單的身份驗證:用戶只需使用一種手勢登錄
PC、筆記本電腦和/或移動設備中的內部或內置認證器(如指紋或面部生物識別技術)
使用CTAP進行設備到設備認證的外部認證器(如安全密鑰和移動設備),一個由FIDO聯盟開發的用於補充WebAuthn的外部認證器協議
更強的身份驗證:FIDO身份驗證比單純依賴密碼和相關身份驗證方式要強大得多,並具有以下優點
用戶證書和生物識別模板永遠不會離開用戶的設備,也不會存儲在服務器上
帳戶可以免受網絡釣魚,中間人攻擊和使用被盜密碼的反覆攻擊
開發人員可以開始在FIDO新的開 發者資源頁面上創建利用FIDO身份驗證的應用程序和服務。
你覺得這個無密碼登錄的規範如何?是不是真的可以解決安全問題呢?
閱讀更多 WEB開發李家靖 的文章
