Web新標準：指紋和面容識別可取代登錄密碼；谷歌、微軟和Mozilla力挺新的 WebAuthn API

三大瀏覽器開發商：谷歌、微軟和Mozilla各自表態，正式支持一種新的W3C API：Web身份認證（WebAuthn，https://www.w3.org/TR/2018/CR-webauthn-20180320/），這項新標準號稱是一種可靠的技術，可以替代無需密碼的在線身份認證。

新的API將使用戶能夠使用密碼之外的其他身份認證方法登錄到Web應用程序和網站，如今所有網站都使用密碼這種方法。這些方法包括硬體安全密鑰、指紋、面部識別、虹膜掃描及其他生物特徵識別解決方案。

谷歌、微軟和Mozilla表示，它們計劃分別在Chrome、Edge和Firefox裡面支持新的WebAuthn API。Chrome 67和Firefox 60之前已宣布支持WebAuthn。

WebAuthn方面的工作始於2015年

W3C（萬維網聯盟）這種新API方面的工作早在2015年11月就開始了，當時FIDO（快速身份在線）聯盟向W3C捐贈了FIDO 2.0 Web API。

老版FIDO2.0 Web API的新版本目前讓用戶可以使用存儲在YubiKey U盤（又叫硬體安全密鑰）上的秘密令牌，登錄Google、Facebook、Dropbox、GitHub及更多網站。

WebAuthn API的工作方式與FIDO 2.0 Web API類似，只不過除了存儲在U盤上的安全密鑰外，它還支持多種認證系統。

CTAP與WebAuthn一同亮相

不過除了WebAuthn這種將實施到瀏覽器裡面，負責與遠程網站聯繫的API外，FIDO聯盟今天還宣布了客戶端到認證者協議（CTAP，https://fidoalliance.org/download/）。

CTAP是W3C WebAuthn API的配套API，主要作用是將瀏覽器連接至第三方認證系統，比如NFC/USB安全密鑰或筆記本電腦/智能手機的底層指紋感測器，以接收證明身份認證的信息。

這兩種API都需要協同工作，才能使這種新的更安全的身份驗證方案發揮功效。

WebAuthn對用戶和網站運營商來說更安全

據W3C和FIDO的專家聲稱，獲益最大的是用戶，今後用戶不用擔心使用被盜密碼的網路釣魚、中間人攻擊和身份認證重放攻擊。

不過除了用戶外，WebAuthn實際上對網站所有者也有利，因為他們不必處理複雜的身份認證過程、將用戶密碼存儲在安全伺服器上，而是可以將身份認證過程委託給嵌入在瀏覽器裡面的AI和第三方硬體/系統。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！