Web安全认证的里程碑来了,将彻底横扫密码被盗的阴霾?
FIDO联盟和万维网联盟(W3C)在努力为全球用户提供更强大,更简单的Web验证方面取得了重要的里程碑。宣布Web认证(WebAuthn)标准正在推进到候选推荐阶段,这是最终批准Web标准之前的最后一步。
候选推荐阶段是Web认证工作组的产品,该工作组由30多个成员组织组成,其中包括Google,Apple,Intel和IBM等。
WebAuthn是一种Web API标准,为用户提供了新的方法,可以在Web上,浏览器中以及站点和设备上进行安全认证。该标准是基于FIDO提交的Web API规范开发的。它是FIDO2项目和FIDO的客户端到认证者协议(CTAP)规范的核心组件,它允许外部认证者通过USB,蓝牙或NFC在本地将认证凭证转发给用户的设备,如PC或手机。
使用新规范,可消除用户当前与身份验证过程相关的一些复杂性。据FIDO称,这些标准加强了FIDO认证,并消除了依赖密码的需求。另外,它提供了将证书保留在设备上而不是存储在某个服务器上的优势。它还有助于防止盗取密码的相关攻击,如网络钓鱼,中间人攻击和重放攻击。
W3C首席执行官Jeff Jaffe表示,“网络安全一直是一个问题,它干扰了网络对社会的许多积极贡献。虽然网络安全问题很多,但我们无法解决所有问题,但密码是最薄弱的环节之一。借助WebAuthn的多因素解决方案,我们正在消除这一薄弱环节,WebAuthn将改变人们访问网络的方式。”
谷歌,微软和Mozilla已经承诺在其浏览器中支持WebAuthn,并开始在Windows,Mac,Linux,Chrome OS和Android平台上实施。
FIDO还将推出适用于所有FIDO认证器类型的Universal Server认证,包括FIDO UAF,FIDO U2F,WebAuthn和CTAP。
“FIDO联盟执行总监Brett McDowell表示:”随着新FIDO2规范和领先的网络浏览器支持,我们正朝着使FIDO身份验证在所有平台和设备上无处不在的方向迈出了一大步。经过多年来越来越严重的数据泄露和密码凭证被盗,现在是服务提供商结束对易受攻击的密码和一次性密码的依赖了。”