Web新标准:指纹和面容识别可取代登录密码
三大浏览器开发商:谷歌、微软和Mozilla各自表态,正式支持一种新的W3C API:Web身份认证(WebAuthn,https://www.w3.org/TR/2018/CR-webauthn-20180320/),这项新标准号称是一种可靠的技术,可以替代无需密码的在线身份认证。
新的API将使用户能够使用密码之外的其他身份认证方法登录到Web应用程序和网站,如今所有网站都使用密码这种方法。这些方法包括硬件安全密钥、指纹、面部识别、虹膜扫描及其他生物特征识别解决方案。
谷歌、微软和Mozilla表示,它们计划分别在Chrome、Edge和Firefox里面支持新的WebAuthn API。Chrome 67和Firefox 60之前已宣布支持WebAuthn。
WebAuthn方面的工作始于2015年
W3C(万维网联盟)这种新API方面的工作早在2015年11月就开始了,当时FIDO(快速身份在线)联盟向W3C捐赠了FIDO 2.0 Web API。
老版FIDO2.0 Web API的新版本目前让用户可以使用存储在YubiKey U盘(又叫硬件安全密钥)上的秘密令牌,登录Google、Facebook、Dropbox、GitHub及更多网站。
WebAuthn API的工作方式与FIDO 2.0 Web API类似,只不过除了存储在U盘上的安全密钥外,它还支持多种认证系统。
CTAP与WebAuthn一同亮相
不过除了WebAuthn这种将实施到浏览器里面,负责与远程网站联系的API外,FIDO联盟今天还宣布了客户端到认证者协议(CTAP,https://fidoalliance.org/download/)。
CTAP是W3C WebAuthn API的配套API,主要作用是将浏览器连接至第三方认证系统,比如NFC/USB安全密钥或笔记本电脑/智能手机的底层指纹传感器,以接收证明身份认证的信息。
这两种API都需要协同工作,才能使这种新的更安全的身份验证方案发挥功效。
WebAuthn对用户和网站运营商来说更安全
据W3C和FIDO的专家声称,获益最大的是用户,今后用户不用担心使用被盗密码的网络钓鱼、中间人攻击和身份认证重放攻击。
不过除了用户外,WebAuthn实际上对网站所有者也有利,因为他们不必处理复杂的身份认证过程、将用户密码存储在安全服务器上,而是可以将身份认证过程委托给嵌入在浏览器里面的AI和第三方硬件/系统。
