Web新標準

         今天分享一則關於web的新聞。

        三大瀏覽器開發商：谷歌、微軟和Mozilla各自表態，正式支援一種新的W3C API：Web身份認證（WebAuthn，），這項新標準號稱是一種可靠的技術，可以替代無需密碼的線上身份認證。

        新的API將使使用者能夠使用密碼之外的其他身份認證方法登入到Web應用程式和網站，如今所有網站都使用密碼這種方法。這些方法包括硬體安全金鑰、指紋、面部識別、虹膜掃描及其他生物特徵識別解決方案。

        谷歌、微軟和Mozilla表示，它們計劃分別在Chrome、Edge和Firefox裡面支援新的WebAuthn API。Chrome 67和Firefox 60之前已宣佈支援WebAuthn。

我是標題

WebAuthn方面的工作始於2015年

        W3C（全球資訊網聯盟）這種新API方面的工作早在2015年11月就開始了，當時FIDO（快速身份線上）聯盟向W3C捐贈了FIDO 2.0 Web API。

        老版FIDO2.0 Web API的新版本目前讓使用者可以使用儲存在YubiKey 隨身碟（又叫硬體安全金鑰）上的秘密令牌，登入Google、Facebook、Dropbox、GitHub及更多網站。

        WebAuthn API的工作方式與FIDO 2.0 Web API類似，只不過除了儲存在隨身碟上的安全金鑰外，它還支援多種認證系統。

我是標題

CTAP與WebAuthn一同亮相

        不過除了WebAuthn這種將實施到瀏覽器裡面，負責與遠端網站聯絡的API外，FIDO聯盟今天還宣佈了客戶端到認證者協議（CTAP，）。

        CTAP是W3C WebAuthn API的配套API，主要作用是將瀏覽器連線至第三方認證系統，比如NFC/USB安全金鑰或膝上型電腦/智慧手機的底層指紋感測器，以接收證明身份認證的資訊。

這兩種API都需要協同工作，才能使這種新的更安全的身份驗證方案發揮功效。

我是標題

WebAuthn對使用者和網站運營商來說更安全

        據W3C和FIDO的專家聲稱，獲益最大的是使用者，今後使用者不用擔心使用被盜密碼的網路釣魚、中間人攻擊和身份認證重放攻擊。

        不過除了使用者外，WebAuthn實際上對網站所有者也有利，因為他們不必處理複雜的身份認證過程、將使用者密碼儲存在安全伺服器上，而是可以將身份認證過程委託給嵌入在瀏覽器裡面的AI和第三方硬體/系統。

怎麼樣，今天的內容你get到了嗎，如有不同見解，歡迎留言探討，關注公眾號瞭解更多精彩內容。