FIDO 力推 WebAuthn 成為 W3C 網頁標準,無密碼的時代更向前邁進一大步
輸入密碼登入服務是上網相當常見的舉動,但很快的這一切繁瑣且不易記憶的密碼將漸漸因不便而走入歷史。W3C 和 FIDO 日前公布新認證的身分認證機制 WebAuthn ,已經成為最新認證的網路標準。
WebAuthn 是追求無密碼世界的 FIDO 聯盟,FIDO2 標準中相當重要的實作 API,網站能透過 WebAuthn API 與安全裝置溝通。FIDO 強調依據 FIDO2,使用者的密碼和生物辨識資訊不會離開裝置,進而確保安全。
使用網路服務要打密碼輸入是幾手每位網友都經歷過的事情,有些人會依據資安要求每個網站用不同組合的密碼,但相當容易忘記;有些人一組密碼行遍天下,但難保一個服務被攻破,駭客拿來嘗試登入其他服務,輕易就進去其他服務。
FIDO2 標準之下的 WebAuthn API 與安全裝置溝通,進入登入網站。像是用手機的指紋辨識當身分驗證工具,再用手機去登入要用的網站,不就更方便了。從技術面來說,與其要求使用者每一個網站用不同的密碼,從系統端用人手一機的手機為每一個服務配不同的登入憑證,減少拿一個地方偷到的帳密,展開跨站攻擊的成功機會。
W3C CEO Jeff Jaffe 說:「現在是網路服務和廠商擺拖脆弱的密碼,擁抱 WebAuthn 的時候了,幫助網路使用者提升安全性,同時也增進上網的體驗。」
各大瀏覽器 Firefox、Chrome、Edge、Safari,USB Key 裝置生產商如 Yubico,作業系統則有手機作業系統 Android 和 桌面作業系統 Windows 10 支援。剩下的事情就是說服網站主,支援 WebM 標準,讓用戶能夠用安全裝置,像是有生物辨識的行動裝置、智慧手錶等,用虹膜、指紋來驗證身分,登入網站不用再打密碼。
目前有 Dropbox、Google、Facebook、AWS、GitHub、YouTube 等大的網路服務已經支援 WebAuthn。在 WebAuthn 成為 W3C 網路標準之後,相信會有更多網站將會加入支援,共同擺拖麻煩的密碼。
(首圖來源:Max Pixal, CC0)