新！Web身份驗證新標，支援免密登陸

全球資訊網聯盟（W3C）與 FIDO 聯盟近日宣佈，Web Authentication，簡稱WebAuthn現已成為正式Web標準。FIDO聯盟是2013年2月推出的一個行業聯盟，旨在解決強認證裝置之間缺乏互操作性，以及使用者在建立和記住多個使用者名稱和密碼時遇到的問題。

2015年11月由W3C和Fido聯盟宣佈，WebAuthn已成為網上無密碼登入的開放標準。它由W3C貢獻者支援，其中包括 Airbnb、阿里巴巴、蘋果、谷歌、IBM、英特爾、微軟、Mozilla、PayPal、軟銀、騰訊和Yubico。

但估計你不知道的是這麼個非常厲害的功能其實並不是當前WEB標準，而是FIDO聯盟這些年推動下完成的。現有的 Web 登入模式通常需要使用者記住一個賬號名和自己設定的密碼，而一旦使用者資訊被洩露，密碼也將不再安全。一個網站的密碼不安全，往往就意味著，使用者手中的多個 Web 密碼都不再安全。

而新標準WebAuthn則無需擔心這樣的洩密問題，哪怕被入侵者跟蹤到使用者行為，也無法輕易取得 Web 准入資格。傳統的釣魚攻擊變得更加困難，它為有安全意識的使用者和企業提供了保護自己的重要途徑。

WebAuthn對普通使用者的現實意義

所謂無密碼認證即直接呼叫安卓系統的指紋識別或 PIN 碼替代網站本身輸入的密碼或兩步驗證減少登入麻煩。而在Windows 10平臺使用者也可以通過Windows Hello提供的指紋識別和麵部識別直接無密碼登入某些網站。當使用者登入網站或APP時，支援的生物驗證方式包括：膝上型電腦的指紋識別和麵部識別、安卓裝置的指紋識別和PIN碼直接登入等。當使用者初次配置好受支援網站的無密碼登入後，下次登入只需輸入賬號然後通過這些生物識別登入，無需密碼。

注：FIDO支援指紋識別、面部識別、虹膜識別、聲音識別、實體金鑰(USB連線、藍芽連線、NFC連線)；支援的裝置系統包括Windows 10、Android、智慧手錶等。

對於追求高安全的專業使用者而言，還可以額外購買相容FIDO的實體安全金鑰，每次登入均需連線實體金鑰進行確認才可。同時不需要輸入密碼進行登入，從此不需要再擔心密碼儲存和被盜取的問題。

WebAuthn目前已經在Dropbox、Facebook、Github、Salesforce、Stripe 和Twitter等網站上實現了。W3C 希望其他網站也能加入採用 WebAuthn，從而在整個網路上實現更多的無密碼登入。

W3C CEO Jeff Jaffe表示：“現在是時候讓服務提供商和企業採用WebAuthn了。它可以幫助避免密碼被攻擊和洩漏風險，從而提升 Web 使用者線上體驗的安全性。W3C 這一標準建立了Web範圍的互操作性指導，為 Web 使用者和他們訪問的站點設定了一致的期望。W3C 正致力於在自己的站點上實現這一最佳實踐。”

參考來源：

• 鳳凰網科技
• 藍點網
• 開源中國

更多資訊：

• 谷歌稱macOS核心存在“嚴重”漏洞

• 以明確大資料法律屬性遏制資訊洩露

• 少年黑客發現MacOS鑰匙串中的嚴重BUG

• 安全專家授權調查曾被朝鮮黑客組織使用的命令伺服器