在Google Chrome、Microsoft Edge和Mozilla Firefox的支持下,FIDO2项目以保护全球互联网用户为目标,开启了一个普适、安全、强认证方式的新时代
2018年4月10日— FIDO联盟(FIDO Alliance)与W3C(World Wide Web Consortium)联合取得了Web认证标准的重大进展,为全球用户带来更简单、更强大的Web认证方式。由FIDO提交的文档Web Authentication(以下称WebAuthn),已经正式进入W3C候选推荐标准(Candidate Recommendation,简称CR)阶段。这份规范文档由W3C Web认证工作组(Web Authentication Working Group)发布,该组由30 多位来自不同组织的会员单位代表组成。进入CR阶段意味着该规范将最终成为W3C正式标准(Recommendation,简称REC),W3C在此阶段邀请在线服务商和Web应用开发者对WebAuthn 进行技术实现。
WebAuthn在浏览器和跨站点设备上,定义了一个可以合并到浏览器中的标准Web API,以及相关的Web平台基础设施,为用户提供在Web上进行安全认证的新方法。 WebAuthn由W3C与FIDO联盟合作开发,它连同FIDO的客户端到认证器协议规范(Client to Authenticator Protocol,CTAP),构成了FIDO2 项目的核心组件。CTAP启用外部认证器(例如安全秘钥或手机)通过USB、蓝牙、或者NFC向用户的互联网接入设备(电脑或手机)局部传递强认证证书。FIDO2规范可以让用户能够轻松且安全地通过桌面或移动设备验证在线服务。
FIDO联盟执行理事Brett McDowell说:“随着今天宣布FIDO2规范及Web浏览器对其的支持,我们正朝着FIDO身份验证普适于所有平台及设备上这一目标迈出了一大步,经历多年日益严重的数据泄露和密码凭证被盗用等问题,现在正是服务供应商所面临的重要时机,来结束对易受攻击的密码和一次性密码的依赖,并为所有网站和应用程序采用防网络钓鱼的FIDO身份验证”。
Google、Microsoft以及Mozilla都已承诺在其浏览器中支持WebAuthn标准,并已经开始在Windows、Mac、Linux、Chrome OS以及Android平台上进行实现。WebAuthn和CTAP规范的出现,使开发人员和供应商能够迅速将对下一代FIDO身份验证的支持切实部署到其产品和服务中。
W3C首席执行官Jeff Jaffe说:“网络安全一直是无法规避的问题,它阻挠着网络对社会的诸多积极影响。当今网络安全隐患众多,其中对密码的依赖是最薄弱的环节之一。借助WebAuthn的多因素解决方案,我们正在逐步消除这一薄弱环节,WebAuthn将改变人们访问网络的方式”。
FIDO2标准化工作,W3C WebAuthn标准的推进,以及浏览器供应商对实现这一标准的承诺,都预示着一个新时代的开启,一个为所有互联网用户提供普适的、硬件支持FIDO身份验证保护的时代。
企业和在线服务提供者希望保护自己和他们的客户免于遭受密码风险—包括网络钓鱼,中间人攻击和滥用窃取凭证—可以通过浏览器或通过外部认证器,快速部署基于标准的强认证。通过部署FIDO身份验证,在线服务可以在用户每天使用的互动操作系统(如手机和安全密钥)中为用户提供选择。
新的FIDO2规范在浏览器和操作系统中的标准化将进一步扩大FIDO身份验证的范围,FIDO身份验证被全球监管机构和标准制定机构引用,并通过Google、Facebook、NTT DOCOMO、美国银行等企业所提供的服务,在全球范围内用于数亿台设备,用户超过35亿。 新规范对现有的无密码FIDO UAF和第二因素FIDO U2F用例进行了补充,并扩展了FIDO认证的可用性。FIDO2网络浏览器和在线服务完全向后兼容所有之前获得认证的FIDO安全密钥。
FIDO即将启动互操作性测试,并将为符合FIDO2规范的服务器、客户端和认证器颁发认证凭证。人们可以在FIDO的网站上找到一致性测试工具。 此外,FIDO将为与所有FIDO认证器类型(FIDO UAF,FIDO U2F,WebAuthn,CTAP)互操作的服务器引入新的通用服务器认证。
WebAuthn和FIDO2项目带来的益处
W3C的WebAuthn API是一种可融入浏览器和相关Web平台基础架构的标准WebAPI,可为每个站点提供强大、唯一且基于公钥的凭证,消除了从某一站点窃取密码后被用于其他站点的风险。 使用FIDO身份验证器加载到设备上的在浏览器中运行的Web应用程序,可以通过密码操作代替密码交换,或除了密码交换之外,还可为服务提供者和用户带来诸多益处:
更简单的身份验证:用户只需使用一种手势登录
- PC、笔记本电脑和/或移动设备中的内部或内置认证器(如指纹或面部生物识别技术)
- 使用CTAP进行设备到设备认证的外部认证器(如安全密钥和移动设备),一个由FIDO联盟开发的用于补充WebAuthn的外部认证器协议
更强的身份验证:FIDO身份验证比单纯依赖密码和相关身份验证方式要强大得多,并具有以下优点
- 用户证书和生物识别模板永远不会离开用户的设备,也不会存储在服务器上
- 帐户可以免受网络钓鱼,中间人攻击和使用被盗密码的反复攻击
- 开发人员可以开始在FIDO新的开发者资源页面上创建利用FIDO身份验证的应用程序和服务。
关于FIDO联盟(FIDO Alliance)
线上快速身份验证联盟(Fast IDentity Online Alliance,简称FIDO Alliance),www.fidoalliance.org, 成立于2012年7月,旨在解决强认证技术之间缺乏互操作性的问题,并致力于解决用户在创建和记忆多个用户名和密码时遇到的问题。FIDO联盟正在改变身份验证的性质,采用更简单、更强大的身份验证标准,定义了一组开放、可扩展、可互操作的机制,以减少对密码的依赖。在向在线服务进行身份验证时,FIDO身份验证功能更强大、更私密、更简化。
关于万维网联盟(World Wide Web Consortium,简称W3C)
万维网联盟 (World Wide Web Consortium,简称W3C),www.w3.org, 是由会员组织、全职工作人员、以及公众共同组成的致力于发展互联网标准的国际化组织。W3C通过创立互联网标准及指导方针来保障互联网长期稳定的发展,开放万维网平台(Open Web Platform)是万维网联盟目前的核心工作。W3C制定了包括HTML5、CSS 等构建Web站点与Web应用的基础技术协议,并因为在无障碍在线视频字幕等工作,获得2016年的艾美奖(2016 Emmy Award)。
W3C “一个万维网(One Web)”的理念吸引了全球400多家会员单位数千名技术专家共同工作。W3C主要由如下机构联合管理:美国麻省理工学院计算机科技与人工智能实验室(MIT CSAIL)、法国的欧洲信息与数学研究联盟(ERCIM)、日本庆应大学(Keio University)以及中国北京航空航天大学(Beihang University),并在全球范围内设有办事处。更多信息请见http:/www.w3.org。
