主流 web 浏览器将采用无密码认证标准

　　译文声明

　　本文是翻译文章，文章原作者 Ionut Arghire，文章来源：securityweek

　　译文仅供参考，具体内容表达以及含义原文为准

　　

　　谷歌、微软和 Mozilla 旗下的 web 浏览器不久之后将为用户提供一个由 FIDO 联盟和 W3C 联合构建的一款新型的无密码认证标准。目前该标准已进入最后审批阶段。

　　W3C 已将标准 web API 即 WebAuthn （Web 认证，Web Authentication）推进到“候选推荐标准” (Candidate Recommendation, CR) 阶段即 web 标准审批的最后阶段。该标准旨在向全球用户交付更强大的 web 认证，它正于 Windows、Mac、Linux、Chrome OS 和安卓平台上实现。

　　消除密码“株连”网站以及被盗风险

　　W3C 推出的 WebAuthn API 能为每个站点启用更强大的、唯一的、基于公钥的凭证，从而减少了因某个站点密码被盗导致其它站点易受影响的风险。WebAuthn 可集成到浏览器和网络平台基础设施中，为用户提供新方法在 web、浏览器、不同站点和设备上进行安全认证。

　　而FIDO 推出的“客户端身份认证器协议 (Client to Authenticator Protocol, CTAP)”标准是 FIDO2 项目的核心组成部分，能让“用户通过具备防钓鱼安全功能的台式或移动设备轻松向网络服务进行认证。”

　　CTAP 能让外部认证器通过 USB、蓝牙或 NFC 将强认证凭证传输到具有互联网访问权限的设备（电脑或手机）上。

　　WebAuthn 和 CTAP 目前已发布，开发人员和供应商可在自己的产品和服务中实现对这些新兴认证方法的支持。这些新标准受领先浏览器供应商的支持，应该会向所有互联网用户提供普遍的、受硬件支持的 FIDO 认证保护措施。

　　FIDO 联盟的执行主管 Brett McDowell 指出，“经历了多年来的严重数据泄露和密码凭证偷盗事件后，服务提供商结束对易受攻击密码和一次性密码的依赖关系并为所有网站和应用采用抵御钓鱼的 FIDO 认证方法恰逢其时。”

　　企业和网络服务提供商不久之后就可部署这种新型 web 认证标准，保护自身和客户免受和密码相关的风险。这种新的 FIDO2 标准补充了现有的无密码 FIDO UAF 和第二因素 FIDO U2F 用例内容。所有的 FIDO2 web 浏览器和在线服务均向后兼容认证的 FIDO 安全密钥。

　　认证更简单更强大

　　FIDO 表示，目前这些标准正在主流 web 浏览器中实现，如 Chrome、火狐和微软 Edge 等。安卓和 Windows 10 将为 FIDO 认证提供内置支持。

　　FIDO 联盟表示不久之后将推出互操作性测试，并且计划为符合 FIDO2 标准的服务器、客户端和认证器发布认证。FIDO 网站上已公布一致性测试工具。

　　另外，和所有 FIDO 认证器类型 (FIDO UAF、FIDO U2F、WebAuthn 和 CTAP) 相互操作的服务器也正在进行通用服务器认证。

　　在具有FIDO 认证器的设备商浏览器中运行的 web 应用可调用公有 API 启用对用户的 FIDO 认证功能。开发人员可通过 FIDO 的新开发者资源页面了解更多详情。

　　FIDO2 将为用户带来更简单、更强大的认证方法。用户仅需通过简单手势、使用内部/内置认证器（如个人电脑、笔记本电脑和/或移动设备中的指纹或面部特征）或外部认证器（安全密钥和移动设备）即可登录。而凭证和生物特征模板永远不会导致用户设备和账户遭旨在盗取密码的钓鱼攻击、中间人攻击和中继攻击。