新!Web身份驗證新標,支援免密登陸

Editor發表於2019-03-06

全球資訊網聯盟(W3C)與 FIDO 聯盟近日宣佈,Web Authentication,簡稱WebAuthn現已成為正式Web標準。FIDO聯盟是2013年2月推出的一個行業聯盟,旨在解決強認證裝置之間缺乏互操作性,以及使用者在建立和記住多個使用者名稱和密碼時遇到的問題。


2015年11月由W3C和Fido聯盟宣佈,WebAuthn已成為網上無密碼登入的開放標準。它由W3C貢獻者支援,其中包括 Airbnb、阿里巴巴、蘋果、谷歌、IBM、英特爾、微軟、Mozilla、PayPal、軟銀、騰訊和Yubico。


新!Web身份驗證新標,支援免密登陸


但估計你不知道的是這麼個非常厲害的功能其實並不是當前WEB標準,而是FIDO聯盟這些年推動下完成的。現有的 Web 登入模式通常需要使用者記住一個賬號名和自己設定的密碼,而一旦使用者資訊被洩露,密碼也將不再安全。一個網站的密碼不安全,往往就意味著,使用者手中的多個 Web 密碼都不再安全。


而新標準WebAuthn則無需擔心這樣的洩密問題,哪怕被入侵者跟蹤到使用者行為,也無法輕易取得 Web 准入資格。傳統的釣魚攻擊變得更加困難,它為有安全意識的使用者和企業提供了保護自己的重要途徑。


新!Web身份驗證新標,支援免密登陸



WebAuthn對普通使用者的現實意義


所謂無密碼認證即直接呼叫安卓系統的指紋識別或 PIN 碼替代網站本身輸入的密碼或兩步驗證減少登入麻煩。而在Windows 10平臺使用者也可以通過Windows Hello提供的指紋識別和麵部識別直接無密碼登入某些網站。當使用者登入網站或APP時,支援的生物驗證方式包括:膝上型電腦的指紋識別和麵部識別、安卓裝置的指紋識別和PIN碼直接登入等。當使用者初次配置好受支援網站的無密碼登入後,下次登入只需輸入賬號然後通過這些生物識別登入,無需密碼。


注:FIDO支援指紋識別、面部識別、虹膜識別、聲音識別、實體金鑰(USB連線、藍芽連線、NFC連線);支援的裝置系統包括Windows 10、Android、智慧手錶等。


對於追求高安全的專業使用者而言,還可以額外購買相容FIDO的實體安全金鑰,每次登入均需連線實體金鑰進行確認才可。同時不需要輸入密碼進行登入,從此不需要再擔心密碼儲存和被盜取的問題。


WebAuthn目前已經在Dropbox、Facebook、Github、Salesforce、Stripe 和Twitter等網站上實現了。W3C 希望其他網站也能加入採用 WebAuthn,從而在整個網路上實現更多的無密碼登入。


W3C CEO Jeff Jaffe表示:“現在是時候讓服務提供商和企業採用WebAuthn了。它可以幫助避免密碼被攻擊和洩漏風險,從而提升 Web 使用者線上體驗的安全性。W3C 這一標準建立了Web範圍的互操作性指導,為 Web 使用者和他們訪問的站點設定了一致的期望。W3C 正致力於在自己的站點上實現這一最佳實踐。”



參考來源:

  • 鳳凰網科技
  • 藍點網
  • 開源中國



更多資訊:


相關文章