万维网联盟(W3C)与 FIDO 联盟近日宣布,Web 认证(Web
Authentication,简称 WebAuthn)现已成为正式 Web 标准。 WebAuthn
于2015年11月由 W3C 和 Fido
联盟宣布,现已成为网上无密码登录的开放标准。它由 W3C
贡献者支持,其中包括
Airbnb、阿里巴巴、苹果、谷歌、IBM、英特尔、微软、Mozilla、PayPal、软银、腾讯和
Yubico。

输入密码——登录网站的模式将要过时,新的规范来了。

IT之家5月31日消息 据外媒ZDNet报道,Google
Chrome浏览器近日更新到全新的67版本,在这一版本中,Chrome浏览器允许大多数网站实现免密码登录方式,就是说用户未来不需要通过密码管理器来搜索某个特定的登录凭证就能实现网站的登录。

WebAuthn 允许用户使用生物特征、移动设备或 FIDO
安全密钥登录在线帐户,而不是在账号密码框中键入一串串字符。Android 和
Windows10 已经支持 WebAuthn。浏览器方面,谷歌 Chrome、Mozilla Firefox 和
微软Edge浏览器去年就已实现了对
WebAuthn 的支持。自去年12月以来,苹果就在 Safari 的预览版中支持
WebAuthn。

FIDO联盟和 W3C现已推出新的 Web
认证标准,新标准将更便利地为每个站点提供独立的加密证书,也就是说,你可以通过无密码的
FIDO 身份验证来访问 PC
浏览器中的任何在线服务,用户们将拥有更安全的登录方式,不再是在账号密码框中输入一串串字符,而是改用生物识别技术和
USB 令牌来实现网站登录。

据了解Chrome采用了依托于Web
Authentication标准的免密登陆技术,这一标准由FIDO联盟和W3C于今年三月份发布,这一标准允许用户通过指纹读卡器、YubiKeys等USB密钥等方式快速登录在线服务。

图片 1

图片 2

利用该技术,Chrome浏览器能更加安全的访问网站。此前Mozilla的FireFox浏览器已经率先跟进了这一标准,Chrome与Edge也在跟进。此外Chrome
67还增强了Site
Isolation功能,确保让每个浏览器标签页独立,这样网站无法获取其他已经打开的标签页数据了。

W3C CEO Jeff Jaffe 表示:“现在是时候让服务提供商和企业采用 WebAuthn
了。它可以帮助避免密码被攻击和泄漏风险,从而提升 Web
用户在线体验的安全性。W3C 这一标准建立了 Web 范围的互操作性指导,为 Web
用户和他们访问的站点设定了一致的期望。W3C
正致力于在自己的站点上实现这一最佳实践。”

新标准被称为 WebAuthn,简而言之就是允许现有的安全设备 API
接入网站验证,比如指纹识别器,相机传感器和 USB
密钥。这不仅给广大用户带来便利,更重要的是,可以有效地避免密码泄露的风险。

WebAuthn 目前已经在 Dropbox、Facebook、Github、Salesforce、Stripe 和
Twitter 等网站上实现了。W3C 希望其他网站也能加入采用
WebAuthn,从而在整个网络上实现更多的无密码登录。

现有的 Web
登录模式通常需要用户记住一个账号名和自己设定的密码,而一旦用户信息被泄露,密码也将不再安全,一个网站的密码不安全,往往就意味着,用户手中的多个
Web
密码都不再安全。新标准则无需担心这样的泄密问题,哪怕被入侵者跟踪到用户行为,也无法轻易取得
Web
准入资格。传统的钓鱼攻击变得更加困难,它为有安全意识的用户和企业提供了保护自己的重要途径。

参考:w3.org、cnBeta

此前谷歌、微软和 Facebook 等主要服务上运用了免密码登录规范,主要是通过
USB 密钥来完成安全登录。现在,通过
WebAuthn,更多的用户将能够体验安全登录。当然,新标准的出现并不是让你很快就放弃你的密码,不过它将逐渐把你的密码习惯转向更依赖于生物识别登录。

Firefox 浏览器最新版本目前已支持 WebAuthn,Google Chrome 和 Microsoft
Edge 也会在未来几个月内跟进。苹果的 Safari
暂时还没有消息,但随着苹果全线 iPhone 和 iPad 都拥有 Face ID 或 Touch ID
功能(包括 MacBook Pro),在 Safari 上实现 Face ID 或者 Touch ID
登录网站服务简直不要太顺其自然。

目前从技术上讲,新标准还是处于“推荐”阶段,想要正式批准,各大浏览器的支持将成为重要的一步。苹果有时候在新标准采用方面有点慢半拍,不过
WebAuthn 绝对是值得快速跟进的新变革。