在主要浏览器及网站支持数年之后,FIDO 2协议终于成为业界标准。近期W3C与FIDO联盟联合宣布,WebAuthentication(WebAuthn)配置成为正式的Web标准,将可加速无密码登录应用的普及。
W3C指出,FIDO 2配置核心组件的WebAuthn 是一项提供更简易且具备强大验证流程的浏览器与平台标准。利用这项标准,网页及app开发商通过一个API 调用为其app及网站启动FIDO 2强验证机制,用户就不必再记忆及输入密码,直接利用移动设备、指纹识别或FIDO标准的硬件安全密钥来登录帐号,还能免于误入钓鱼网站的风险。
在此之前,主要浏览器包括Google Chrome、Mozilla Firefox、Microsoft Edge与苹果Safari(目前为预览版)早已支持FIDO 2作为无密码登录,FIDO2联盟会员还包括GitHub、脸书、Dropbox及eBay、英特尔等科技与网络服务大厂。 FIDO联盟和Google先前便在世界通信大会(MWC)上宣布Android取得FIDO 2认证,将可使未来数十亿支跑Android 7.0以后版本操作系统的手机及移动设备,不再需要输入密码来登录app或网站。
W3C首席执行官Jeff Jaffe指出,现在是Web服务和企业采用WebAuthn来协助用户提升上网安全性的时候。 FIDO联盟执行总监Brett McDowell则指出,Web Authentication标准化的里程碑,也意味着展开全面使用硬件FIDO验证技术提供上网防护的新时代。
对有意采用FIDO 2配置的服务厂商,FIDO联盟提供相关的测试工具,也有认证计划,提供多种验证方案,包括名为FIDO Certified Universal Servers的方案,协助支持FIDO2、通用认证框架(UAF)与通用第二因素(U2F)的设备,回溯兼容各种FIDO验证器。