W3C 与 FIDO 联盟正式推出 Web 认证标准推动安全免密登录

作者及发布日期

发布:

主要浏览器和平台均已内置支持新的 Web 认证标准,通过生物识别、移动设备以及 FIDO 安全秘钥来实现便捷且安全的线上登录

阅读 W3C 的会员推荐辞

https://www.w3.org/ — 2019年3月4日 — W3C(World Wide Web Consortium)与 FIDO 联盟(FIDO Alliance) 联合宣布 Web 认证(Web Authentication,简称 WebAuthn)技术标准成为正式 Web 标准。这为全世界用户提供更加安全的 Web 而向前迈出了重要一步。

 

illustration showing two persons looking at a
computer and WAI icons

 

W3C 的 WebAuthn 推荐标准,作为 FIDO 联盟 FIDO2 规范 (1) 的核心组件,是一项实现更便捷更安全的身份认证的浏览器/平台标准。目前 Windows 10Android、 Google Chrome、 Mozilla Firefox、 Microsoft Edge 与 Apple Safari (preview) 等 Web 浏览器均已实现了对 WebAuthn 标准的支持。 WebAuthn 允许用户使用他们的首选设备登录其互联网帐户。 Web 服务和应用程序可以(也应该)启用这一功能,用户们可以通过生物识别、移动设备或 FIDO 安全密钥来实现更便捷也更安全的网站登录。

现在正是服务提供商和企业采用 WebAuthn,避免密码被攻击和泄漏风险,从而提升 web 用户在线体验安全性的时候。W3C 的推荐标准(Recommendation)建构了 web 范围的互操作性指南,为 web 用户以及他们访问的站点设置了一致的预期。W3C 也正在自己的站点上实现这些最佳实践。

W3C CEO Jeff Jaffe 博士表示

立足用户:一个针对密码泄漏、网络钓鱼和反复攻击的解决方案

众所周知,密码已经失去了其原有的效力。81%的数据泄露事件背后不仅隐藏着盗取、薄弱或默认密码,同时它们还涉及时间和资源的消耗。根据 Yubico 最近的一项研究显示,用户每年花10.9个小时在输入和/或重置密码上,而公司每年要为此付出平均520万美元的代价。虽然传统的多重身份验证 (MFA)解决方案,例如短信一次性验证码增加了又一层安全性,但它们依然容易受到钓鱼攻击,使用起来并不简单而且选择率也很低。

利用 FIDO2 和 WebAuthn,全球的技术社区共同为共享密码问题提供了一个共享解决方案。FIDO2 几乎解决了传统身份验证的所有问题:

  • 安全性:FIDO2 加密登录认证在每个网站上都是唯一的,生物识别技术或密码等秘密永远不会离开用户的设备,也不会存储在服务器上。这种安全模块消除了网络钓鱼、各种形式的密码窃取和反复攻击的风险。
  • 便捷性:用户可以使用指纹识别器、相机传感器、FIDO 安全密钥或个人移动设备等便捷方法进行登录。
  • 私密性:由于 FIDO 密钥对于每个网址都是唯一的,因此它们不能用于跨站点跟踪用户。
  • 可扩展性:网站可以通过简单的 API 调用,在用户每天使用的数十亿设备上的所有受支持的浏览器和平台上启用 FIDO2。

作为正式 web 标准的 WebAuthn 是多年来业界合作的顶尖之作,它可以为实现 web 上更强大的身份认证开发实际的解决方案。伴随着这项里程碑式的进展,我们正在逐渐进入一个为每一个使用互联网的人提供普遍的、硬件支持的 FIDO 身份认证保护的新时代。

FIDO 联盟执行董事 Brett McDowell 表

由此开始

对于准备好开始使用 FIDO2 规范和浏览器/平台支持的服务提供者和供应商,FIDO 联盟提供了相应的测试工具并启动了一个认证计划。目前,有许多 FIDO2 认证的解决方案适用于支持各种各样的用例,包括支持 FIDO2 的 FIDO 认证通用服务器以及所有之前的 UAF 和 U2F 设备,以完全向后兼容所有经过认证的 FIDO 身份验证器。

请访问 FIDO Alliance 网站获取有关 FIDO2 的更多信息,或进一步了解开发人员资源以及和产品供应商参与 FIDO 认证项目相关的内容。

(1)FIDO2 由 W3C 的 Web 认证规范(WebAuthn)和 FIDO 联盟的客户端到身份验证器协议(CTAP)组成。

关于 FIDO 联盟(FIDO Alliance)

线上快速身份验证联盟(Fast IDentity Online Alliance,简称 FIDO Alliance),www.fidoalliance.org, 成立于2012年7月,旨在解决强认证技术之间缺乏互操作性的问题,并致力于解决用户在创建和记忆多个用户名和密码时遇到的问题。在对在线服务进行认证时,FIDO 身份验证功能使用起来更强大、更私密、更简化。

关于万维网联盟(World Wide Web Consortium,简称 W3C)

万维网联盟 (World Wide Web Consortium,简称 W3C)的使命是通过创立技术标准及指导方针来保障 Web 长期开放稳定的发展,从而尽展 Web 的潜能。W3C 开发了诸多众所周知的规范,包括 HTML5、CSS 等。W3C 在开放免费的专利政策指导下构建开放 Web 平台的同时,致力于隐私及安全领域的标准工作。其无障碍在线视频字幕规范荣获2016年度艾美奖(2016 Emmy Award)。

W3C “一个万维网(One Web)”的理念吸引了来自全球400多家会员单位数千名技术专家的参与和贡献。W3C 主要由设立在美国的麻省理工学院计算机科技与人工智能实验室(MIT CSAIL)法国的欧洲信息与数学研究联盟(ERCIM)日本庆应大学(Keio University)以及中国北京航空航天大学(Beihang University)四个全球总部机构联合运营管理。更多信息请见http://www.w3.org

正文结束

FIDO 联盟方面公关联系人

Megan Shamas, Montner Tech PR, +1.203.226.9290
<press@fidoalliance.org>

W3C 方面媒体联系人

Amy van der Hiel, W3C Media Relations Coordinator <w3t-pr@w3.org>
+1.617.253.5628 (US, Eastern Time)

相关的 RSS