2018 年 4 月 10 号,w3c 官方宣布: fido 联盟与 w3c 联合取得 web 认证标准的里程碑式进展,在全球实现更简单更强大的 web 认证方式。在 google chrome、microsoft edge 和 mozilla firefox 的支持下,fido2 项目以保护全球互联网用户为目标,开启了一个普适、安全、强认证方式的新时代! —— 这将打通用户和 web 的终极壁垒,给 web 的体验带来质的飞跃。
w3c 官方全文
2018年4月10日— fido联盟(fido alliance)与w3c(world wide web consortium)联合取得了web认证标准的重大进展,为全球用户带来更简单、更强大的web认证方式。
由fido提交的文档web authentication(以下称webauthn),已经正式进入w3c候选推荐标准(candidate recommendation,简称cr)阶段。这份规范文档由w3c web认证工作组(web authentication working group)发布,该组由30多位来自不同组织的会员单位代表组成。进入cr阶段意味着该规范将最终成为w3c正式标准 (recommendation,简称rec),w3c在此阶段邀请在线服务商和web应用开发者对webauthn进行技术实现。
webauthn在浏览器和跨站点设备上,定义了一个可以合并到浏览器中的标准web api,以及相关的web平台基础设施,为用户提供在web上进行安全认证的新方法。 webauthn由w3c与fido联盟合作开发,它连同fido的客户端到认证器协议规范(client to authenticator protocol,ctap),构成了fido2 项目的核心组件。
ctap启用外部认证器(例如安全秘钥或手机)通过usb、蓝牙、或者nfc向用户的互联网接入设备(电脑或手机)局部传递强认证证书。fido2规范可以让用户能够轻松且安全地通过桌面或移动设备验证在线服务。
google、microsoft以及mozilla都已承诺在其浏览器中支持webauthn标 准,并已经开始在windows、mac、linux、chrome os以及android平台上进行实现。webauthn和ctap规范的出现,使开发人员和供应商能够迅速将对下一代fido身份验证的支持切实部署到其产品和服务中。
fido2标准化工作的完成,w3c webauthn标准的推进,以及浏览器供应商对实现这一标准的承诺,都预示着一个新时代的开启,一个为所有互联网用户提供普适的、硬件支持fido身份验证保护的时代。
企业和在线服务提供者希望保护自己和他们的客户免于遭受密码风险—包括网络钓鱼,中间人攻击和滥用窃 取凭证—可以通过浏览器或通过外部认证器,快速部署基于标准的强认证。通过部署fido身份验证,在线服务可以在用户每天使用的互动操作系统(如手机和安全密钥)中为用户提供选择。
新的fido2规范在浏览器和操作系统中的标准化将进一步扩大fido身份验证的范围,fido身份 验证被全球监管机构和标准制定机构引用,并通过google、facebook、ntt docomo、美国银行等企业所提供的服务,在全球范围内用于数亿台设备,用户超过35亿。 新规范对现有的无密码fido uaf和第二因素fido u2f用例进行了补充,并扩展了fido认证的可用性。fido2网络浏览器和在线服务完全向后兼容所有之前获得认证的fido安全密钥。
fido即将启动互操作性测试,并将为符合fido2规范的服务器、客户端和认证器颁发认证凭证。人们可以在fido的网站上 找到一致性测试工具。 此外,fido将为与所有fido认证器类型(fido uaf,fido u2f,webauthn,ctap)互操作的服务器引入新的通用服务器认证。
webauthn 和 fido2 项目带来的益处
w3c的webauthn api是一种可融入浏览器和相关web平台基础架构的标准webapi,可为每个站点提供强大、唯一且基于公钥的凭证,消除了从某一站点窃取密码后被用于其他站点的风险。 使用fido身份验证器加载到设备上的在浏览器中运行的web应用程序,可以通过密码操作代替密码交换,或除了密码交换之外,还可为服务提供者和用户带来诸多益处:
更简单的身份验证:用户只需使用一种手势登录
pc、笔记本电脑和/或移动设备中的内部或内置认证器(如指纹或面部生物识别技术)
使用ctap进行设备到设备认证的外部认证器(如安全密钥和移动设备),一个由fido联盟开发的用于补充webauthn的外部认证器协议
更强的身份验证:fido身份验证比单纯依赖密码和相关身份验证方式要强大得多,并具有以下优点
用户证书和生物识别模板永远不会离开用户的设备,也不会存储在服务器上
帐户可以免受网络钓鱼,中间人攻击和使用被盗密码的反复攻击
开发人员可以开始在fido新的开 发者资源页面上创建利用fido身份验证的应用程序和服务。
