输入密码登入服务是上网相当常见的举动,但很快的这一切繁琐且不易记忆的密码将渐渐因不便而走入历史。W3C 和 FIDO 日前公布新认证的身份认证机制 WebAuthn ,已经成为最新认证的网络标准。
WebAuthn 是追求无密码世界的 FIDO 联盟,FIDO2 标准中相当重要的实作 API,网站能透过 WebAuthn API 与安全装置沟通。FIDO 强调依据 FIDO2,使用者的密码和生物辨识资讯不会离开装置,进而确保安全。
使用网络服务要打密码输入是几手每位网友都经历过的事情,有些人会依据资安要求每个网站用不同组合的密码,但相当容易忘记;有些人一组密码行遍天下,但难保一个服务被攻破,骇客拿来尝试登入其他服务,轻易就进去其他服务。
FIDO2 标准之下的 WebAuthn API 与安全装置沟通,进入登入网站。像是用手机的指纹辨识当身份验证工具,再用手机去登入要用的网站,不就更方便了。从技术面来说,与其要求使用者每一个网站用不同的密码,从系统端用人手一机的手机为每一个服务配不同的登入凭证,减少拿一个地方偷到的帐密,展开跨站攻击的成功机会。
W3C CEO Jeff Jaffe 说:“现在是网络服务和厂商摆拖脆弱的密码,拥抱 WebAuthn 的时候了,帮助网络使用者提升安全性,同时也增进上网的体验。”
各大浏览器 Firefox、Chrome、Edge、Safari,USB Key 装置生产商如 Yubico,操作系统则有手机操作系统 Android 和 桌面操作系统 Windows 10 支援。剩下的事情就是说服网站主,支援 WebM 标准,让用户能够用安全装置,像是有生物辨识的行动装置、智慧手表等,用虹膜、指纹来验证身份,登入网站不用再打密码。
目前有 Dropbox、Google、Facebook、AWS、GitHub、YouTube 等大的网络服务已经支援 WebAuthn。在 WebAuthn 成为 W3C 网络标准之后,相信会有更多网站将会加入支援,共同摆拖麻烦的密码。
- The web just got an official password-free login standard
- W3C approves WebAuthn as the web standard for password-free logins
- The web just took a big step toward a password-free future
(首图来源:Max Pixal, CC0)
