WebAuthn 是什么
WebAuthn 是 W3C 和 FIDO 编写的新兴标准,通过 API 使服务器能够用公钥加密代替密码注册并认证用户。
谷歌、Mozilla、微软、Yubico 等公司企业也参与了该规范的编撰工作。2018 年 9 月,Chrome、Firefox 和 Edge 稳定版已加入对 WebAuthn 的支持。
用户可部署类似 YubiKey 的密钥登录其在线账户,无需再输入密码或应用生物特征识别。(eBay 已在其移动应用中提供了该功能。)
81% 的黑客相关数据泄露事件始于被盗密码或弱密码,且密码暴力破解越来越容易。这种形势下,密码作为身份认证因素(主要身份认证因素)对公司和消费者均构成安全风险的认知逐渐为大众所接受。
安全专家表示,虽然 WebAuthn 很多方面仍在改进,但凭证 API 预期不会改动太大,现在开发 WebAuthn 应用正当时。
对开发自身代码的企业/开发人员而言,FIDO 联盟正在开发用于测试 FIDO2 可操作性的合规工具,以便能够测试可随时投产的 WebAuthn/FIDO2 实现。