互联网距离无密码未来更近了一步。万维网联盟(W3C)与 FIDO 联盟一起宣布,Web 身份验证(WebAuthn)规范现已成为 Web 标准。
WebAuthn 是 FIDO Alliance 的 FIDO 2 规范集的核心组件,旨在为移动和桌面环境提供更轻松的身份验证服务。根据该联盟,WebAuthn 使在线服务能够通过可在浏览器和其他 Web 平台基础架构中使用的标准 Web API 来利用 FIDO 身份验证。W3C 的 WebAuthn 推荐目前支持 WIndows 10,Android,谷歌 Chrome,Mozilla Firefox,Microsoft Edge 和 Apple Safari。
“现在是 Web 服务和企业采用 WebAuthn 超越易受攻击的密码并帮助网络用户提高在线体验安全性的时候了,”W3C 首席执行官 Jeff Jaffe 说。“W3C 的建议书建立了网络互操作性指南,为网络用户及其访问的网站设定了一致的期望。W3C 正在努力在自己的网站上实施这一最佳实践。”
W3C 解释说密码不再足以保护用户。最近的报告发现,81%的数据泄露是由于被盗和弱密码造成的。此外,在密码上花费了太多时间和资源,每年用户输入或重置密码的时间为 10.9 小时。传统的多因素身份验证方法(如 SMS 或其他安全层)也容易受到网络钓鱼攻击。
创建 FIDO2 是为了通过加密登录凭证,生物识别,指纹识别器和独特的隐私密钥来加强在线保护。
“作为官方网络标准的 Web 身份验证是多年来业界合作的巅峰之作,可以为网络上更强大的身份验证开发实用的解决方案,”FIDO 联盟执行董事 Brett McDowell 表示。“有了这个里程碑,我们正在进入一个无处不在的,硬件支持的 FIDO 身份验证保护的新时代,为每个使用互联网的人提供保护。”
WebAuthn 目前已经在 Dropbox、Facebook、Github、Salesforce、Stripe 和 Twitter 等网站上实现了。W3C 希望其他网站也能加入采用 WebAuthn,从而在整个网络上实现更多的无密码登录。