https://www.w3.org/ — 2019年3月4日 — W3C(World Wide Web Consortium)与 FIDO 联盟(FIDO Alliance) 联合宣布 Web 认证(Web Authentication,简称 WebAuthn)技术标准成为正式 Web 标准。这为全世界用户提供更加安全的 Web 而向前迈出了重要一步。
W3C 的 WebAuthn 推荐标准,作为 FIDO 联盟 FIDO2 规范 (1) 的核心组件,是一项实现更便捷更安全的身份认证的浏览器/平台标准。目前 Windows 10、 Android、 Google Chrome、 Mozilla Firefox、 Microsoft Edge 与 Apple Safari (preview) 等 Web 浏览器均已实现了对 WebAuthn 标准的支持。 WebAuthn 允许用户使用他们的首选设备登录其互联网帐户。 Web 服务和应用程序可以(也应该)启用这一功能,用户们可以通过生物识别、移动设备或 FIDO 安全密钥来实现更便捷也更安全的网站登录。
W3C CEO Jeff Jaffe 博士表示:“现在正是服务提供商和企业采用 WebAuthn,避免密码被攻击和泄漏风险,从而提升 web 用户在线体验安全性的时候。W3C 的推荐标准(Recommendation)建构了 web 范围的互操作性指南,为 web 用户以及他们访问的站点设置了一致的预期。W3C 也正在自己的站点上实现这些最佳实践”。
众所周知,密码已经失去了其原有的效力。81%的数据泄露事件背后不仅隐藏着盗取、薄弱或默认密码,同时它们还涉及时间和资源的消耗。根据 Yubico 最近的一项研究显示,用户每年花10.9个小时在输入和/或重置密码上,而公司每年要为此付出平均520万美元的代价。虽然传统的多重身份验证 (MFA)解决方案,例如短信一次性验证码增加了又一层安全性,但它们依然容易受到钓鱼攻击,使用起来并不简单而且选择率也很低。
利用 FIDO2 和 WebAuthn,全球的技术社区共同为共享密码问题提供了一个共享解决方案。FIDO2 几乎解决了传统身份验证的所有问题:
FIDO 联盟执行董事 Brett McDowell 表示:“作为正式 web 标准的 WebAuthn 是多年来业界合作的顶尖之作,它可以为实现 web 上更强大的身份认证开发实际的解决方案。伴随着这项里程碑式的进展,我们正在逐渐进入一个为每一个使用互联网的人提供普遍的、硬件支持的 FIDO 身份认证保护的新时代”。
对于准备好开始使用 FIDO2 规范和浏览器/平台支持的服务提供者和供应商,FIDO 联盟提供了相应的测试工具并启动了一个认证计划。目前,有许多 FIDO2 认证的解决方案适用于支持各种各样的用例,包括支持 FIDO2 的 FIDO 认证通用服务器以及所有之前的 UAF 和 U2F 设备,以完全向后兼容所有经过认证的 FIDO 身份验证器。
请访问 FIDO Alliance 网站获取有关 FIDO2 的更多信息,或进一步了解开发人员资源以及和产品供应商参与 FIDO 认证项目相关的内容。
(1)FIDO2 由 W3C 的 Web 认证规范(WebAuthn)和 FIDO
联盟的客户端到身份验证器协议(CTAP)组成。
线上快速身份验证联盟(Fast IDentity Online Alliance,简称 FIDO Alliance),www.fidoalliance.org, 成立于2012年7月,旨在解决强认证技术之间缺乏互操作性的问题,并致力于解决用户在创建和记忆多个用户名和密码时遇到的问题。在对在线服务进行认证时,FIDO 身份验证功能使用起来更强大、更私密、更简化。
万维网联盟 (World Wide Web Consortium,简称 W3C)的使命是通过创立技术标准及指导方针来保障 Web 长期开放稳定的发展,从而尽展 Web 的潜能。W3C 开发了诸多众所周知的规范,包括 HTML5、CSS 等。W3C 在开放免费的专利政策指导下构建开放 Web 平台的同时,致力于隐私及安全领域的标准工作。其无障碍在线视频字幕规范荣获2016年度艾美奖(2016 Emmy Award)。
W3C “一个万维网(One Web)”的理念吸引了来自全球400多家会员单位数千名技术专家的参与和贡献。W3C 主要由设立在美国的麻省理工学院计算机科技与人工智能实验室(MIT CSAIL)、法国的欧洲信息与数学研究联盟(ERCIM)、日本庆应大学(Keio University)以及中国北京航空航天大学(Beihang University)四个全球总部机构联合运营管理。更多信息请见http://www.w3.org。
正文结束
Megan Shamas, Montner Tech PR, +1.203.226.9290
<press@fidoalliance.org>
Amy van der Hiel, W3C Media Relations Coordinator <w3t-pr@w3.org>
+1.617.253.5628 (US, Eastern Time)