在Google Chrome、Microsoft Edge和Mozilla Firefox的支持下,F(xiàn)IDO2項目以保護全球互聯(lián)網(wǎng)用戶為目標,開啟了一個普適、安全、強認證方式的新時代
2018年4月10日— FIDO聯(lián)盟(FIDO Alliance)與W3C(World Wide Web Consortium)聯(lián)合取得了Web認證標準的重大進展,為全球用戶帶來更簡單、更強大的Web認證方式。由FIDO提交的文檔Web Authentication(以下稱WebAuthn),已經(jīng)正式進入W3C候選推薦標準(Candidate Recommendation,簡稱CR)階段。這份規(guī)范文檔由W3C Web認證工作組(Web Authentication Working Group)發(fā)布,該組由30 多位來自不同組織的會員單位代表組成。進入CR階段意味著該規(guī)范將最終成為W3C正式標準(Recommendation,簡稱REC),W3C在此階段邀請在線服務商和Web應用開發(fā)者對WebAuthn 進行技術(shù)實現(xiàn)。
WebAuthn在瀏覽器和跨站點設(shè)備上,定義了一個可以合并到瀏覽器中的標準Web API,以及相關(guān)的Web平臺基礎(chǔ)設(shè)施,為用戶提供在Web上進行安全認證的新方法。 WebAuthn由W3C與FIDO聯(lián)盟合作開發(fā),它連同F(xiàn)IDO的客戶端到認證器協(xié)議規(guī)范(Client to Authenticator Protocol,CTAP),構(gòu)成了FIDO2 項目的核心組件。CTAP啟用外部認證器(例如安全秘鑰或手機)通過USB、藍牙、或者NFC向用戶的互聯(lián)網(wǎng)接入設(shè)備(電腦或手機)局部傳遞強認證證書。FIDO2規(guī)范可以讓用戶能夠輕松且安全地通過桌面或移動設(shè)備驗證在線服務。
FIDO聯(lián)盟執(zhí)行理事Brett McDowell說:“隨著今天宣布FIDO2規(guī)范及Web瀏覽器對其的支持,我們正朝著FIDO身份驗證普適于所有平臺及設(shè)備上這一目標邁出了一大步,經(jīng)歷多年日益嚴重的數(shù)據(jù)泄露和密碼憑證被盜用等問題,現(xiàn)在正是服務供應商所面臨的重要時機,來結(jié)束對易受攻擊的密碼和一次性密碼的依賴,并為所有網(wǎng)站和應用程序采用防網(wǎng)絡釣魚的FIDO身份驗證”。
Google、Microsoft以及Mozilla都已承諾在其瀏覽器中支持WebAuthn標準,并已經(jīng)開始在Windows、Mac、Linux、Chrome OS以及Android平臺上進行實現(xiàn)。WebAuthn和CTAP規(guī)范的出現(xiàn),使開發(fā)人員和供應商能夠迅速將對下一代FIDO身份驗證的支持切實部署到其產(chǎn)品和服務中。
W3C首席執(zhí)行官Jeff Jaffe說:“網(wǎng)絡安全一直是無法規(guī)避的問題,它阻撓著網(wǎng)絡對社會的諸多積極影響。當今網(wǎng)絡安全隱患眾多,其中對密碼的依賴是最薄弱的環(huán)節(jié)之一。借助WebAuthn的多因素解決方案,我們正在逐步消除這一薄弱環(huán)節(jié),WebAuthn將改變?nèi)藗冊L問網(wǎng)絡的方式”。
FIDO2標準化工作,W3C WebAuthn標準的推進,以及瀏覽器供應商對實現(xiàn)這一標準的承諾,都預示著一個新時代的開啟,一個為所有互聯(lián)網(wǎng)用戶提供普適的、硬件支持FIDO身份驗證保護的時代。
企業(yè)和在線服務提供者希望保護自己和他們的客戶免于遭受密碼風險—包括網(wǎng)絡釣魚,中間人攻擊和濫用竊取憑證—可以通過瀏覽器或通過外部認證器,快速部署基于標準的強認證。通過部署FIDO身份驗證,在線服務可以在用戶每天使用的互動操作系統(tǒng)(如手機和安全密鑰)中為用戶提供選擇。
新的FIDO2規(guī)范在瀏覽器和操作系統(tǒng)中的標準化將進一步擴大FIDO身份驗證的范圍,F(xiàn)IDO身份驗證被全球監(jiān)管機構(gòu)和標準制定機構(gòu)引用,并通過Google、Facebook、NTT DOCOMO、美國銀行等企業(yè)所提供的服務,在全球范圍內(nèi)用于數(shù)億臺設(shè)備,用戶超過35億。 新規(guī)范對現(xiàn)有的無密碼FIDO UAF和第二因素FIDO U2F用例進行了補充,并擴展了FIDO認證的可用性。FIDO2網(wǎng)絡瀏覽器和在線服務完全向后兼容所有之前獲得認證的FIDO安全密鑰。
FIDO即將啟動互操作性測試,并將為符合FIDO2規(guī)范的服務器、客戶端和認證器頒發(fā)認證憑證。人們可以在FIDO的網(wǎng)站上找到一致性測試工具。 此外,F(xiàn)IDO將為與所有FIDO認證器類型(FIDO UAF,F(xiàn)IDO U2F,WebAuthn,CTAP)互操作的服務器引入新的通用服務器認證。
WebAuthn和FIDO2項目帶來的益處
W3C的WebAuthn API是一種可融入瀏覽器和相關(guān)Web平臺基礎(chǔ)架構(gòu)的標準WebAPI,可為每個站點提供強大、唯一且基于公鑰的憑證,消除了從某一站點竊取密碼后被用于其他站點的風險。 使用FIDO身份驗證器加載到設(shè)備上的在瀏覽器中運行的Web應用程序,可以通過密碼操作代替密碼交換,或除了密碼交換之外,還可為服務提供者和用戶帶來諸多益處:
更簡單的身份驗證:用戶只需使用一種手勢登錄
- PC、筆記本電腦和/或移動設(shè)備中的內(nèi)部或內(nèi)置認證器(如指紋或面部生物識別技術(shù))
- 使用CTAP進行設(shè)備到設(shè)備認證的外部認證器(如安全密鑰和移動設(shè)備),一個由FIDO聯(lián)盟開發(fā)的用于補充WebAuthn的外部認證器協(xié)議
更強的身份驗證:FIDO身份驗證比單純依賴密碼和相關(guān)身份驗證方式要強大得多,并具有以下優(yōu)點
- 用戶證書和生物識別模板永遠不會離開用戶的設(shè)備,也不會存儲在服務器上
- 帳戶可以免受網(wǎng)絡釣魚,中間人攻擊和使用被盜密碼的反復攻擊
- 開發(fā)人員可以開始在FIDO新的開發(fā)者資源頁面上創(chuàng)建利用FIDO身份驗證的應用程序和服務。
關(guān)于FIDO聯(lián)盟(FIDO Alliance)
線上快速身份驗證聯(lián)盟(Fast IDentity Online Alliance,簡稱FIDO Alliance),www.fidoalliance.org, 成立于2012年7月,旨在解決強認證技術(shù)之間缺乏互操作性的問題,并致力于解決用戶在創(chuàng)建和記憶多個用戶名和密碼時遇到的問題。FIDO聯(lián)盟正在改變身份驗證的性質(zhì),采用更簡單、更強大的身份驗證標準,定義了一組開放、可擴展、可互操作的機制,以減少對密碼的依賴。在向在線服務進行身份驗證時,F(xiàn)IDO身份驗證功能更強大、更私密、更簡化。
關(guān)于萬維網(wǎng)聯(lián)盟(World Wide Web Consortium,簡稱W3C)
萬維網(wǎng)聯(lián)盟 (World Wide Web Consortium,簡稱W3C),www.w3.org, 是由會員組織、全職工作人員、以及公眾共同組成的致力于發(fā)展互聯(lián)網(wǎng)標準的國際化組織。W3C通過創(chuàng)立互聯(lián)網(wǎng)標準及指導方針來保障互聯(lián)網(wǎng)長期穩(wěn)定的發(fā)展,開放萬維網(wǎng)平臺(Open Web Platform)是萬維網(wǎng)聯(lián)盟目前的核心工作。W3C制定了包括HTML5、CSS 等構(gòu)建Web站點與Web應用的基礎(chǔ)技術(shù)協(xié)議,并因為在無障礙在線視頻字幕等工作,獲得2016年的艾美獎(2016 Emmy Award)。
W3C “一個萬維網(wǎng)(One Web)”的理念吸引了全球400多家會員單位數(shù)千名技術(shù)專家共同工作。W3C主要由如下機構(gòu)聯(lián)合管理:美國麻省理工學院計算機科技與人工智能實驗室(MIT CSAIL)、法國的歐洲信息與數(shù)學研究聯(lián)盟(ERCIM)、日本慶應大學(Keio University)以及中國北京航空航天大學(Beihang University),并在全球范圍內(nèi)設(shè)有辦事處。更多信息請見http:/www.w3.org。
