FIDO聯(lián)盟與W3C聯(lián)合取得Web認證標準的里程碑式進(jìn)展

　　2018年4月10日— FIDO聯(lián)盟（FIDO Alliance）與W3C（World Wide Web Consortium）聯(lián)合取得了Web認證標準的重大進(jìn)展，為全球用戶(hù)帶來(lái)更簡(jiǎn)單、更強大的Web認證方式。由FIDO提交的文檔Web Authentication（以下稱(chēng)WebAuthn），已經(jīng)正式進(jìn)入W3C候選推薦標準（Candidate Recommendation，簡(jiǎn)稱(chēng)CR）階段。這份規范文檔由W3C Web認證工作組（Web Authentication Working Group）發(fā)布，該組由30 多位來(lái)自不同組織的會(huì )員單位代表組成。進(jìn)入CR階段意味著(zhù)該規范將最終成為W3C正式標準（Recommendation，簡(jiǎn)稱(chēng)REC），W3C在此階段邀請在線(xiàn)服務(wù)商和Web應用開(kāi)發(fā)者對WebAuthn 進(jìn)行技術(shù)實(shí)現。

　　WebAuthn在瀏覽器和跨站點(diǎn)設備上，定義了一個(gè)可以合并到瀏覽器中的標準Web API，以及相關(guān)的Web平臺基礎設施，為用戶(hù)提供在Web上進(jìn)行安全認證的新方法。 WebAuthn由W3C與FIDO聯(lián)盟合作開(kāi)發(fā)，它連同FIDO的客戶(hù)端到認證器協(xié)議規范（Client to Authenticator Protocol，CTAP），構成了FIDO2 項目的核心組件。CTAP啟用外部認證器（例如安全秘鑰或手機）通過(guò)USB、藍牙、或者NFC向用戶(hù)的互聯(lián)網(wǎng)接入設備（電腦或手機）局部傳遞強認證證書(shū)。FIDO2規范可以讓用戶(hù)能夠輕松且安全地通過(guò)桌面或移動(dòng)設備驗證在線(xiàn)服務(wù)。

　　FIDO聯(lián)盟執行理事Brett McDowell說(shuō)：“隨著(zhù)今天宣布FIDO2規范及Web瀏覽器對其的支持，我們正朝著(zhù)FIDO身份驗證普適于所有平臺及設備上這一目標邁出了一大步，經(jīng)歷多年日益嚴重的數據泄露和密碼憑證被盜用等問(wèn)題，現在正是服務(wù)供應商所面臨的重要時(shí)機，來(lái)結束對易受攻擊的密碼和一次性密碼的依賴(lài)，并為所有網(wǎng)站和應用程序采用防網(wǎng)絡(luò )釣魚(yú)的FIDO身份驗證”。

　　Google、Microsoft以及Mozilla都已承諾在其瀏覽器中支持WebAuthn標準，并已經(jīng)開(kāi)始在Windows、Mac、Linux、Chrome OS以及Android平臺上進(jìn)行實(shí)現。WebAuthn和CTAP規范的出現，使開(kāi)發(fā)人員和供應商能夠迅速將對下一代FIDO身份驗證的支持切實(shí)部署到其產(chǎn)品和服務(wù)中。

　　W3C首席執行官Jeff Jaffe說(shuō)：“網(wǎng)絡(luò )安全一直是無(wú)法規避的問(wèn)題，它阻撓著(zhù)網(wǎng)絡(luò )對社會(huì )的諸多積極影響。當今網(wǎng)絡(luò )安全隱患眾多，其中對密碼的依賴(lài)是最薄弱的環(huán)節之一。借助WebAuthn的多因素解決方案，我們正在逐步消除這一薄弱環(huán)節，WebAuthn將改變人們訪(fǎng)問(wèn)網(wǎng)絡(luò )的方式”。

　　FIDO2標準化工作，W3C WebAuthn標準的推進(jìn)，以及瀏覽器供應商對實(shí)現這一標準的承諾，都預示著(zhù)一個(gè)新時(shí)代的開(kāi)啟，一個(gè)為所有互聯(lián)網(wǎng)用戶(hù)提供普適的、硬件支持FIDO身份驗證保護的時(shí)代。

　　企業(yè)和在線(xiàn)服務(wù)提供者希望保護自己和他們的客戶(hù)免于遭受密碼風(fēng)險—包括網(wǎng)絡(luò )釣魚(yú)，中間人攻擊和濫用竊取憑證—可以通過(guò)瀏覽器或通過(guò)外部認證器，快速部署基于標準的強認證。通過(guò)部署FIDO身份驗證，在線(xiàn)服務(wù)可以在用戶(hù)每天使用的互動(dòng)操作系統（如手機和安全密鑰）中為用戶(hù)提供選擇。

　　新的FIDO2規范在瀏覽器和操作系統中的標準化將進(jìn)一步擴大FIDO身份驗證的范圍，FIDO身份驗證被全球監管機構和標準制定機構引用，并通過(guò)Google、Facebook、NTT DOCOMO、美國銀行等企業(yè)所提供的服務(wù)，在全球范圍內用于數億臺設備，用戶(hù)超過(guò)35億。 新規范對現有的無(wú)密碼FIDO UAF和第二因素FIDO U2F用例進(jìn)行了補充，并擴展了FIDO認證的可用性。FIDO2網(wǎng)絡(luò )瀏覽器和在線(xiàn)服務(wù)完全向后兼容所有之前獲得認證的FIDO安全密鑰。

　　FIDO即將啟動(dòng)互操作性測試，并將為符合FIDO2規范的服務(wù)器、客戶(hù)端和認證器頒發(fā)認證憑證。人們可以在FIDO的網(wǎng)站上找到一致性測試工具。 此外，FIDO將為與所有FIDO認證器類(lèi)型（FIDO UAF，FIDO U2F，WebAuthn，CTAP）互操作的服務(wù)器引入新的通用服務(wù)器認證。

　　W3C的WebAuthn API是一種可融入瀏覽器和相關(guān)Web平臺基礎架構的標準WebAPI，可為每個(gè)站點(diǎn)提供強大、唯一且基于公鑰的憑證，消除了從某一站點(diǎn)竊取密碼后被用于其他站點(diǎn)的風(fēng)險。 使用FIDO身份驗證器加載到設備上的在瀏覽器中運行的Web應用程序，可以通過(guò)密碼操作代替密碼交換，或除了密碼交換之外，還可為服務(wù)提供者和用戶(hù)帶來(lái)諸多益處：

　　線(xiàn)上快速身份驗證聯(lián)盟（Fast IDentity Online Alliance，簡(jiǎn)稱(chēng)FIDO Alliance），www.fidoalliance.org， 成立于2012年7月，旨在解決強認證技術(shù)之間缺乏互操作性的問(wèn)題，并致力于解決用戶(hù)在創(chuàng )建和記憶多個(gè)用戶(hù)名和密碼時(shí)遇到的問(wèn)題。FIDO聯(lián)盟正在改變身份驗證的性質(zhì)，采用更簡(jiǎn)單、更強大的身份驗證標準，定義了一組開(kāi)放、可擴展、可互操作的機制，以減少對密碼的依賴(lài)。在向在線(xiàn)服務(wù)進(jìn)行身份驗證時(shí)，FIDO身份驗證功能更強大、更私密、更簡(jiǎn)化。

　　萬(wàn)維網(wǎng)聯(lián)盟 （World Wide Web Consortium，簡(jiǎn)稱(chēng)W3C），www.w3.org， 是由會(huì )員組織、全職工作人員、以及公眾共同組成的致力于發(fā)展互聯(lián)網(wǎng)標準的國際化組織。W3C通過(guò)創(chuàng )立互聯(lián)網(wǎng)標準及指導方針來(lái)保障互聯(lián)網(wǎng)長(cháng)期穩定的發(fā)展，開(kāi)放萬(wàn)維網(wǎng)平臺（Open Web Platform）是萬(wàn)維網(wǎng)聯(lián)盟目前的核心工作。W3C制定了包括HTML5、CSS 等構建Web站點(diǎn)與Web應用的基礎技術(shù)協(xié)議，并因為在無(wú)障礙在線(xiàn)視頻字幕等工作，獲得2016年的艾美獎（2016 Emmy Award）。

　　W3C “一個(gè)萬(wàn)維網(wǎng)（One Web）”的理念吸引了全球400多家會(huì )員單位數千名技術(shù)專(zhuān)家共同工作。W3C主要由如下機構聯(lián)合管理：美國麻省理工學(xué)院計算機科技與人工智能實(shí)驗室(MIT CSAIL)、法國的歐洲信息與數學(xué)研究聯(lián)盟(ERCIM)、日本慶應大學(xué)(Keio University)以及中國北京航空航天大學(xué)(Beihang University)，并在全球范圍內設有辦事處。更多信息請見(jiàn)http:/www.w3.org。