登录不再需要密码--FIDO联盟和W3C宣布更强大的Web认证标准
FIDO联盟和万维网联盟(W3C)在努力为全球用户提供更强大,更简单的Web验证方面取得了重要里程碑。这些组织已经宣布Web认证(WebAuthn)标准正在推进到候选推荐阶段,这是最终批准Web标准之前的最后一步。
候选推荐阶段是Web认证工作组的产品,该工作组由30多个成员组织组成,其中包括Google,Apple,Intel和IBM。
WebAuthn是一种Web API标准,为用户提供了新的方法,可以在Web上,浏览器中以及站点和设备上进行安全认证。该标准是基于FIDO提交的Web API规范开发的。它是FIDO2项目和FIDO的客户端到认证者协议(CTAP)规范的核心组件,它允许外部认证者通过USB,蓝牙或NFC在本地将认证凭证转发给用户的设备,如PC或手机。
使用新规范,用户将能够使用单一手势登录,消除当前与身份验证过程相关的一些复杂性。据FIDO称,这些标准加强了FIDO认证,并消除了依赖密码的需求。另外,它提供了将证书保留在设备上而不是存储在某个服务器中的优势。它还有助于防止依赖被盗密码的攻击,如网络钓鱼,中间人攻击和重放攻击。
“网络安全一直是一个问题,它干扰了网络对社会的许多积极贡献。虽然网络安全问题很多,但我们无法解决所有问题,但依赖密码是最薄弱的环节之一。借助WebAuthn的多因素解决方案,我们正在消除这一薄弱环节,“W3C首席执行官Jeff Jaffe说。“WebAuthn将改变人们访问网络的方式。”
Google,Microsoft和Mozilla已经承诺在其浏览器中支持WebAuthn,并已开始在Windows,Mac,Linux,Chrome OS和Android平台上实施。
FIDO还将推出适用于所有FIDO认证器类型的Universal Server认证,包括FIDO UAF,FIDO U2F,WebAuthn和CTAP。
“FIDO联盟执行总监Brett McDowell表示:”随着今天宣布的新FIDO2规范和领先的网络浏览器支持,我们正朝着使FIDO身份验证在所有平台和设备上无处不在的方向迈出一大步。“经过多年来越来越严重的数据泄露和密码凭证被盗,现在是服务提供商结束对易受攻击的密码和一次性密码的依赖,并为所有网站和应用程序采用网页仿冒FIDO身份验证的时候。”