一直以来,在网站或服务上认证个人身份的方式多以输入账号、密码为大势主流,但也由于帐密外流事件频繁,也让这最原始的个人身份保全功能安全性越来越薄弱,在这个各种服务都上网的时代引发的隐私问题令人堪忧,日前万维网联盟与 FIDO 联盟宣布 WebAuthn 将成为浏览器与平台的最新身份验证标准。
※图片来源:Pixabay
掰掰密码? WebAuthn 成为新的网络身份认证标准
就在昨天,万维网联盟所发布的新闻稿中指出,众所皆知地密码已经失去它的作用,81% 的数据泄漏事件中多半是密码太薄弱或一般,不仅是账号被盗,也浪费不少资源与时间。根据 Yubico 最近的一项研究中,使用者每年花费 10.9 小时进入或(和)重置密码,虽然传统的多方验证解决方案(MFA)增加了另一层安全性,但仍容易受到网络钓鱼攻击的影响,使用起来也较麻烦,所以很多使用者会选择放弃。
※图片来源:Pixabay
万维网联盟 (World Wide Web Consortium,简称 W3C )与 FIDO 联盟正式宣布,Web 身份验证(Web Authentication,简称 WebAuthn)规范已成为官方标准,而此一标准适用于各平台与浏览器,具备简单和强大的认证能力,允许使用者选择主要设备、生物识别或 FIDO 安全密钥来登入线上账户。WebAuthn 已支援包含 Windows 10、Android、Google Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari 浏览器,现在它是一个官方统一的 Web 标准,应该鼓励更广泛地于各网站采用 WebAuthn 而不是传统密码。
FIDO2 和 WebAuthn 的主要特点在于:
1. 安全性:FIDO2 加密登录凭证在每个网站都是唯一的,生物识别或其他隐私(如密码)永远不会离开用户的设备,也永远不会存储在服务器上。此安全模式消除了网络钓鱼,所有形式的密码被盗和重复攻击的风险。
2. 便利性:使用者透过指纹识别器、相机、FIDO 安全密钥或个人移动设备等便捷方法登录。
3. 隐私:由于 FIDO 密钥对于每个网络站点具备特殊的唯一性,因此它们不能用于跨站点追踪你的使用行为。
4. 可扩展性:网站可以通过简单的 API 调用,在消费者每天使用的数十亿部设备上支援所有已加入的浏览器和平台。
Google 在 2 月份表示 Android 已通过 FIDO2 认证,这表示设备可以使用指纹和安全密钥登录账户而非密码,这一变化会影响那些运行 Android 7 及更高版本的 Android 使用者,影响范围大约有 10 亿台装置。
◎资料来源:W3C、Cnet
