输入密码登录服务是上网相当常见的举动,但很快的这一切繁索且不易记忆的密码将渐渐因不便而走入历史。 W3C 和FIDO 日前公布新认证的身份证证机制WebAuthn ,已经成为最新认证的网络标准。
WebAuthn 是追求无密码世界的FIDO 联盟,FIDO2 标准中相当重要的实例API,网站能通过WebAuthn API 与安全设备沟通。 FIDO 强调依据 FIDO2,用户的密码和生物识别信息不会离开设备,进而确保安全。
使用网络服务要打密码输入是几手每位网民都经历过的事情,有些人会依据安全要求每个网站用不同组合的密码,但相当容易忘记;有些人一组密码行遍天下,但难保一个服务被攻破,黑客拿来尝试登录其他服务,轻易就进去其他服务。
FIDO2 标准之下的WebAuthn API 与安全设备沟通,进入登录网站。像是用手机的指纹识别当身份验证工具,再用手机去登录要用的网站,不就更方便了。从技术面来说,与其要求用户每一个网站用不同的密码,从系统端用人手一机的手机为每一个服务配不同的登录凭证,减少拿一个地方偷到的帐密,展开跨站攻击的成功机会。
W3C CEO Jeff Jaffe 说:“现在是网络服务和厂商摆拖脆弱的密码,拥抱WebAuthn 的时候了,帮助网络用户提升安全性,同时也增进上网的体验。”
各大浏览器Firefox、Chrome、Edge、Safari,USB Key 设备生产商如Yubico,操作系统则有手机操作系统Android 和桌面操作系统Windows 10 支持。剩下的事情就是说服网站主,支持 WebM 标准,让用户能够用安全设备,像是有生物识别的移动设备、智能手表等,用角膜、指纹来验证身份,登录网站不用再打密码。
目前有 Dropbox、Google、Facebook、AWS、GitHub、YouTube 等大的网络服务已经支持 WebAuthn。在 WebAuthn 成为 W3C 网络标准之后,相信会有更多网站将会加入支持,共同摆脱麻烦的密码。