微信号:YunTouTiao

介绍:云计算领域科技媒体:传播观点,传播价值;Web:www.yuntoutiao.com ,欢迎互动~~~

Web新标准:指纹和面容识别可取代登录密码;谷歌、微软和Mozilla力挺新的 WebAuthn API

2018-04-11 15:40 云头条

三大浏览器开发商:谷歌、微软和Mozilla各自表态,正式支持一种新的W3C API:Web身份认证(WebAuthn,https://www.w3.org/TR/2018/CR-webauthn-20180320/),这项新标准号称是一种可靠的技术,可以替代无需密码的在线身份认证。



新的API将使用户能够使用密码之外的其他身份认证方法登录到Web应用程序和网站,如今所有网站都使用密码这种方法。这些方法包括硬件安全密钥、指纹、面部识别、虹膜扫描及其他生物特征识别解决方案。


谷歌、微软和Mozilla表示,它们计划分别在Chrome、Edge和Firefox里面支持新的WebAuthn API。Chrome 67和Firefox 60之前已宣布支持WebAuthn。


WebAuthn方面的工作始于2015年


W3C(万维网联盟)这种新API方面的工作早在2015年11月就开始了,当时FIDO(快速身份在线)联盟向W3C捐赠了FIDO 2.0 Web API。


老版FIDO2.0 Web API的新版本目前让用户可以使用存储在YubiKey U盘(又叫硬件安全密钥)上的秘密令牌,登录Google、Facebook、Dropbox、GitHub及更多网站。


WebAuthn API的工作方式与FIDO 2.0 Web API类似,只不过除了存储在U盘上的安全密钥外,它还支持多种认证系统。


CTAP与WebAuthn一同亮相


不过除了WebAuthn这种将实施到浏览器里面,负责与远程网站联系的API外,FIDO联盟今天还宣布了客户端到认证者协议(CTAP,https://fidoalliance.org/download/)。


CTAP是W3C WebAuthn API的配套API,主要作用是将浏览器连接至第三方认证系统,比如NFC/USB安全密钥或笔记本电脑/智能手机的底层指纹传感器,以接收证明身份认证的信息。


这两种API都需要协同工作,才能使这种新的更安全的身份验证方案发挥功效。


WebAuthn对用户和网站运营商来说更安全


据W3C和FIDO的专家声称,获益最大的是用户,今后用户不用担心使用被盗密码的网络钓鱼、中间人攻击和身份认证重放攻击。


不过除了用户外,WebAuthn实际上对网站所有者也有利,因为他们不必处理复杂的身份认证过程、将用户密码存储在安全服务器上,而是可以将身份认证过程委托给嵌入在浏览器里面的AI和第三方硬件/系统。


 
云头条 更多文章 区块链是一项垃圾技术 腾讯 AI 同传「掉了链子」。。。 思科设备遭攻击:国内 N 家中招,配置清空,出现美国国旗。。。 因窃取了 Sun 和 Oracle 固件补丁,CEO、COO 被判刑 1550447111 个敏感文件泄漏!因「FTP、SMB、rsync和S3存储桶」配置不当
猜您喜欢 2016年我们不再推送了 2017年6月公众号文章推送计划 Transaction 那点事儿 GIAC全球互联网架构大会最新日程|第二弹 Python实现单链表