在Google Chrome、Microsoft Edge和Mozilla Firefox的支持下,F(xiàn)IDO2項(xiàng)目以保護(hù)全球互聯(lián)網(wǎng)用戶為目標(biāo),開啟了一個(gè)普適、安全、強(qiáng)認(rèn)證方式的新時(shí)代
2018年4月10日— FIDO聯(lián)盟(FIDO Alliance)與W3C(World Wide Web Consortium)聯(lián)合取得了Web認(rèn)證標(biāo)準(zhǔn)的重大進(jìn)展,為全球用戶帶來更簡(jiǎn)單、更強(qiáng)大的Web認(rèn)證方式。由FIDO提交的文檔Web Authentication(以下稱WebAuthn),已經(jīng)正式進(jìn)入W3C候選推薦標(biāo)準(zhǔn)(Candidate Recommendation,簡(jiǎn)稱CR)階段。這份規(guī)范文檔由W3C Web認(rèn)證工作組(Web Authentication Working Group)發(fā)布,該組由30 多位來自不同組織的會(huì)員單位代表組成。進(jìn)入CR階段意味著該規(guī)范將最終成為W3C正式標(biāo)準(zhǔn)(Recommendation,簡(jiǎn)稱REC),W3C在此階段邀請(qǐng)?jiān)诰服務(wù)商和Web應(yīng)用開發(fā)者對(duì)WebAuthn 進(jìn)行技術(shù)實(shí)現(xiàn)。
WebAuthn在瀏覽器和跨站點(diǎn)設(shè)備上,定義了一個(gè)可以合并到瀏覽器中的標(biāo)準(zhǔn)Web API,以及相關(guān)的Web平臺(tái)基礎(chǔ)設(shè)施,為用戶提供在Web上進(jìn)行安全認(rèn)證的新方法。 WebAuthn由W3C與FIDO聯(lián)盟合作開發(fā),它連同F(xiàn)IDO的客戶端到認(rèn)證器協(xié)議規(guī)范(Client to Authenticator Protocol,CTAP),構(gòu)成了FIDO2 項(xiàng)目的核心組件。CTAP啟用外部認(rèn)證器(例如安全秘鑰或手機(jī))通過USB、藍(lán)牙、或者NFC向用戶的互聯(lián)網(wǎng)接入設(shè)備(電腦或手機(jī))局部傳遞強(qiáng)認(rèn)證證書。FIDO2規(guī)范可以讓用戶能夠輕松且安全地通過桌面或移動(dòng)設(shè)備驗(yàn)證在線服務(wù)。
FIDO聯(lián)盟執(zhí)行理事Brett McDowell說:“隨著今天宣布FIDO2規(guī)范及Web瀏覽器對(duì)其的支持,我們正朝著FIDO身份驗(yàn)證普適于所有平臺(tái)及設(shè)備上這一目標(biāo)邁出了一大步,經(jīng)歷多年日益嚴(yán)重的數(shù)據(jù)泄露和密碼憑證被盜用等問題,現(xiàn)在正是服務(wù)供應(yīng)商所面臨的重要時(shí)機(jī),來結(jié)束對(duì)易受攻擊的密碼和一次性密碼的依賴,并為所有網(wǎng)站和應(yīng)用程序采用防網(wǎng)絡(luò)釣魚的FIDO身份驗(yàn)證”。
Google、Microsoft以及Mozilla都已承諾在其瀏覽器中支持WebAuthn標(biāo)準(zhǔn),并已經(jīng)開始在Windows、Mac、Linux、Chrome OS以及Android平臺(tái)上進(jìn)行實(shí)現(xiàn)。WebAuthn和CTAP規(guī)范的出現(xiàn),使開發(fā)人員和供應(yīng)商能夠迅速將對(duì)下一代FIDO身份驗(yàn)證的支持切實(shí)部署到其產(chǎn)品和服務(wù)中。
W3C首席執(zhí)行官Jeff Jaffe說:“網(wǎng)絡(luò)安全一直是無法規(guī)避的問題,它阻撓著網(wǎng)絡(luò)對(duì)社會(huì)的諸多積極影響。當(dāng)今網(wǎng)絡(luò)安全隱患眾多,其中對(duì)密碼的依賴是最薄弱的環(huán)節(jié)之一。借助WebAuthn的多因素解決方案,我們正在逐步消除這一薄弱環(huán)節(jié),WebAuthn將改變?nèi)藗冊(cè)L問網(wǎng)絡(luò)的方式”。
FIDO2標(biāo)準(zhǔn)化工作,W3C WebAuthn標(biāo)準(zhǔn)的推進(jìn),以及瀏覽器供應(yīng)商對(duì)實(shí)現(xiàn)這一標(biāo)準(zhǔn)的承諾,都預(yù)示著一個(gè)新時(shí)代的開啟,一個(gè)為所有互聯(lián)網(wǎng)用戶提供普適的、硬件支持FIDO身份驗(yàn)證保護(hù)的時(shí)代。
企業(yè)和在線服務(wù)提供者希望保護(hù)自己和他們的客戶免于遭受密碼風(fēng)險(xiǎn)—包括網(wǎng)絡(luò)釣魚,中間人攻擊和濫用竊取憑證—可以通過瀏覽器或通過外部認(rèn)證器,快速部署基于標(biāo)準(zhǔn)的強(qiáng)認(rèn)證。通過部署FIDO身份驗(yàn)證,在線服務(wù)可以在用戶每天使用的互動(dòng)操作系統(tǒng)(如手機(jī)和安全密鑰)中為用戶提供選擇。
新的FIDO2規(guī)范在瀏覽器和操作系統(tǒng)中的標(biāo)準(zhǔn)化將進(jìn)一步擴(kuò)大FIDO身份驗(yàn)證的范圍,F(xiàn)IDO身份驗(yàn)證被全球監(jiān)管機(jī)構(gòu)和標(biāo)準(zhǔn)制定機(jī)構(gòu)引用,并通過Google、Facebook、NTT DOCOMO、美國銀行等企業(yè)所提供的服務(wù),在全球范圍內(nèi)用于數(shù)億臺(tái)設(shè)備,用戶超過35億。 新規(guī)范對(duì)現(xiàn)有的無密碼FIDO UAF和第二因素FIDO U2F用例進(jìn)行了補(bǔ)充,并擴(kuò)展了FIDO認(rèn)證的可用性。FIDO2網(wǎng)絡(luò)瀏覽器和在線服務(wù)完全向后兼容所有之前獲得認(rèn)證的FIDO安全密鑰。
FIDO即將啟動(dòng)互操作性測(cè)試,并將為符合FIDO2規(guī)范的服務(wù)器、客戶端和認(rèn)證器頒發(fā)認(rèn)證憑證。人們可以在FIDO的網(wǎng)站上找到一致性測(cè)試工具。 此外,F(xiàn)IDO將為與所有FIDO認(rèn)證器類型(FIDO UAF,F(xiàn)IDO U2F,WebAuthn,CTAP)互操作的服務(wù)器引入新的通用服務(wù)器認(rèn)證。
WebAuthn和FIDO2項(xiàng)目帶來的益處
W3C的WebAuthn API是一種可融入瀏覽器和相關(guān)Web平臺(tái)基礎(chǔ)架構(gòu)的標(biāo)準(zhǔn)WebAPI,可為每個(gè)站點(diǎn)提供強(qiáng)大、唯一且基于公鑰的憑證,消除了從某一站點(diǎn)竊取密碼后被用于其他站點(diǎn)的風(fēng)險(xiǎn)。 使用FIDO身份驗(yàn)證器加載到設(shè)備上的在瀏覽器中運(yùn)行的Web應(yīng)用程序,可以通過密碼操作代替密碼交換,或除了密碼交換之外,還可為服務(wù)提供者和用戶帶來諸多益處:
更簡(jiǎn)單的身份驗(yàn)證:用戶只需使用一種手勢(shì)登錄
- PC、筆記本電腦和/或移動(dòng)設(shè)備中的內(nèi)部或內(nèi)置認(rèn)證器(如指紋或面部生物識(shí)別技術(shù))
- 使用CTAP進(jìn)行設(shè)備到設(shè)備認(rèn)證的外部認(rèn)證器(如安全密鑰和移動(dòng)設(shè)備),一個(gè)由FIDO聯(lián)盟開發(fā)的用于補(bǔ)充WebAuthn的外部認(rèn)證器協(xié)議
更強(qiáng)的身份驗(yàn)證:FIDO身份驗(yàn)證比單純依賴密碼和相關(guān)身份驗(yàn)證方式要強(qiáng)大得多,并具有以下優(yōu)點(diǎn)
- 用戶證書和生物識(shí)別模板永遠(yuǎn)不會(huì)離開用戶的設(shè)備,也不會(huì)存儲(chǔ)在服務(wù)器上
- 帳戶可以免受網(wǎng)絡(luò)釣魚,中間人攻擊和使用被盜密碼的反復(fù)攻擊
- 開發(fā)人員可以開始在FIDO新的開發(fā)者資源頁面上創(chuàng)建利用FIDO身份驗(yàn)證的應(yīng)用程序和服務(wù)。
關(guān)于FIDO聯(lián)盟(FIDO Alliance)
線上快速身份驗(yàn)證聯(lián)盟(Fast IDentity Online Alliance,簡(jiǎn)稱FIDO Alliance),www.fidoalliance.org, 成立于2012年7月,旨在解決強(qiáng)認(rèn)證技術(shù)之間缺乏互操作性的問題,并致力于解決用戶在創(chuàng)建和記憶多個(gè)用戶名和密碼時(shí)遇到的問題。FIDO聯(lián)盟正在改變身份驗(yàn)證的性質(zhì),采用更簡(jiǎn)單、更強(qiáng)大的身份驗(yàn)證標(biāo)準(zhǔn),定義了一組開放、可擴(kuò)展、可互操作的機(jī)制,以減少對(duì)密碼的依賴。在向在線服務(wù)進(jìn)行身份驗(yàn)證時(shí),F(xiàn)IDO身份驗(yàn)證功能更強(qiáng)大、更私密、更簡(jiǎn)化。
關(guān)于萬維網(wǎng)聯(lián)盟(World Wide Web Consortium,簡(jiǎn)稱W3C)
萬維網(wǎng)聯(lián)盟 (World Wide Web Consortium,簡(jiǎn)稱W3C),www.w3.org, 是由會(huì)員組織、全職工作人員、以及公眾共同組成的致力于發(fā)展互聯(lián)網(wǎng)標(biāo)準(zhǔn)的國際化組織。W3C通過創(chuàng)立互聯(lián)網(wǎng)標(biāo)準(zhǔn)及指導(dǎo)方針來保障互聯(lián)網(wǎng)長(zhǎng)期穩(wěn)定的發(fā)展,開放萬維網(wǎng)平臺(tái)(Open Web Platform)是萬維網(wǎng)聯(lián)盟目前的核心工作。W3C制定了包括HTML5、CSS 等構(gòu)建Web站點(diǎn)與Web應(yīng)用的基礎(chǔ)技術(shù)協(xié)議,并因?yàn)樵跓o障礙在線視頻字幕等工作,獲得2016年的艾美獎(jiǎng)(2016 Emmy Award)。
W3C “一個(gè)萬維網(wǎng)(One Web)”的理念吸引了全球400多家會(huì)員單位數(shù)千名技術(shù)專家共同工作。W3C主要由如下機(jī)構(gòu)聯(lián)合管理:美國麻省理工學(xué)院計(jì)算機(jī)科技與人工智能實(shí)驗(yàn)室(MIT CSAIL)、法國的歐洲信息與數(shù)學(xué)研究聯(lián)盟(ERCIM)、日本慶應(yīng)大學(xué)(Keio University)以及中國北京航空航天大學(xué)(Beihang University),并在全球范圍內(nèi)設(shè)有辦事處。更多信息請(qǐng)見http:/www.w3.org。