【每日安全資訊】Web 開發重磅，FIDO 與 W3C 聯合支援免密認證登入

2018 年 4 月 10 號，W3C 官方宣佈： FIDO 聯盟與 W3C 聯合取得 Web 認證標準的里程碑式進展，在全球實現更簡單更強大的 Web 認證方式。在 Google Chrome、Microsoft Edge 和 Mozilla Firefox 的支援下，FIDO2 專案以保護全球網際網路使用者為標的，開啟了一個普適、安全、強認證方式的新時代！ —— 這將打通使用者和 Web 的終極壁壘，給 Web 的體驗帶來質的飛躍。

W3C 官方全文

2018年4月10日— FIDO聯盟(FIDO Alliance)與W3C(World Wide Web Consortium)聯合取得了Web認證標準的重大進展，為全球使用者帶來更簡單、更強大的Web認證方式。

由FIDO提交的檔案Web Authentication（以下稱WebAuthn），已經正式進入W3C候選推薦標準（Candidate Recommendation，簡稱CR）階段。這份規範檔案由W3C Web認證工作組(Web Authentication Working Group)釋出，該組由30多位來自不同組織的會員單位代表組成。進入CR階段意味著該規範將最終成為W3C正式標準 （Recommendation，簡稱REC），W3C在此階段邀請線上服務商和Web應用開發者對WebAuthn進行技術實現。

WebAuthn在瀏覽器和跨站點裝置上，定義了一個可以合併到瀏覽器中的標準Web API，以及相關的Web平臺基礎設施，為使用者提供在Web上進行安全認證的新方法。 WebAuthn由W3C與FIDO聯盟合作開發，它連同FIDO的客戶端到認證器協議規範(Client to Authenticator Protocol，CTAP)，構成了FIDO2 專案的核心元件。

CTAP啟用外部認證器（例如安全秘鑰或手機）透過USB、藍芽、或者NFC向用戶的網際網路接入裝置（電腦或手機）區域性傳遞強認證證書。FIDO2規範可以讓使用者能夠輕鬆且安全地透過桌面或移動裝置驗證線上服務。

Google、Microsoft以及Mozilla都已承諾在其瀏覽器中支援WebAuthn標 準，並已經開始在Windows、Mac、Linux、Chrome OS以及Android平臺上進行實現。WebAuthn和CTAP規範的出現，使開發人員和供應商能夠迅速將對下一代FIDO身份驗證的支援切實部署到其產品和服務中。

FIDO2標準化工作的完成，W3C WebAuthn標準的推進，以及瀏覽器供應商對實現這一標準的承諾，都預示著一個新時代的開啟，一個為所有網際網路使用者提供普適的、硬體支援FIDO身份驗證保護的時代。

企業和線上服務提供者希望保護自己和他們的客戶免於遭受密碼風險—包括網路釣魚，中間人攻擊和濫用竊 取憑證—可以透過瀏覽器或透過外部認證器，快速部署基於標準的強認證。透過部署FIDO身份驗證，線上服務可以在使用者每天使用的互動作業系統（如手機和安全金鑰）中為使用者提供選擇。

新的FIDO2規範在瀏覽器和作業系統中的標準化將進一步擴大FIDO身份驗證的範圍，FIDO身份 驗證被全球監管機構和標準制定機構取用，並透過Google、Facebook、NTT DOCOMO、美國銀行等企業所提供的服務，在全球範圍內用於數億臺裝置，使用者超過35億。 新規範對現有的無密碼FIDO UAF和第二因素FIDO U2F用例進行了補充，並擴充套件了FIDO認證的可用性。FIDO2網路瀏覽器和線上服務完全向後相容所有之前獲得認證的FIDO安全金鑰。

FIDO即將啟動互操作性測試，並將為符合FIDO2規範的伺服器、客戶端和認證器頒發認證憑證。人們可以在FIDO的網站上 找到一致性測試工具。 此外，FIDO將為與所有FIDO認證器型別（FIDO UAF，FIDO U2F，WebAuthn，CTAP）互操作的伺服器引入新的通用伺服器認證。

WebAuthn 和 FIDO2 專案帶來的益處

W3C的WebAuthn API是一種可融入瀏覽器和相關Web平臺基礎架構的標準WebAPI，可為每個站點提供強大、唯一且基於公鑰的憑證，消除了從某一站點竊取密碼後被用於其他站點的風險。 使用FIDO身份驗證器載入到裝置上的在瀏覽器中執行的Web應用程式，可以透過密碼操作代替密碼交換，或除了密碼交換之外，還可為服務提供者和使用者帶來諸多益處：

更簡單的身份驗證：使用者只需使用一種手勢登入

PC、膝上型電腦和/或移動裝置中的內部或內建認證器（如指紋或面部生物識別技術）

使用CTAP進行裝置到裝置認證的外部認證器（如安全金鑰和移動裝置），一個由FIDO聯盟開發的用於補充WebAuthn的外部認證器協議

更強的身份驗證：FIDO身份驗證比單純依賴密碼和相關身份驗證方式要強大得多，並具有以下優點

使用者證書和生物識別模板永遠不會離開使用者的裝置，也不會儲存在伺服器上

帳戶可以免受網路釣魚，中間人攻擊和使用被盜密碼的反覆攻擊

開發人員可以開始在FIDO新的開 發者資源頁面上建立利用FIDO身份驗證的應用程式和服務。

*來源：OpenWeb開發者

更多資訊

◈ Gmail 測試自毀郵件功能

http://t.cn/RmWdvrT

◈ 微軟和其他第三方防病毒應用因為可能的威脅禁止uTorrent執行

http://t.cn/RmWd7El

◈ 在資料黑箱和信賴危機面前 誰更應該戰戰兢兢？

http://t.cn/RmWdzVI

◈ 博士駭客販賣500萬條公民資訊 湖北警方抓獲8人團夥

http://t.cn/RmWdzdi

（資訊來源於網路，安華金和蒐集整理）