Hôm nay W3C (cơ quan tiêu chuẩn web) và Liên minh FIDO (đang làm việc chăm chỉ để cung cấp xác thực đơn giản hơn và mạnh mẽ hơn để thay thế mật khẩu) hđã thông báo rằng họ đã hoàn thiện tiêu chuẩn WebAuthn cho các kết nối an toàn không cần mật khẩu.
WebAuthn là một bối cảnh bảo mật do đánh cắp mật khẩu và rò rỉ dữ liệu, Vào tháng 2016 năm 3, nhóm công tác xác thực web WXNUMXC (WebAuthn) và FIDO Alliance (Fast IDentity Online) đã công bố bản dự thảo về đặc điểm kỹ thuật của tiêu chuẩn xác thực cho các trình duyệt khác nhau, tiêu chuẩn WebAuthn.
Mục đích của nó là cho phép bất kỳ trang web hoặc dịch vụ trực tuyến nào sử dụng các ứng dụng, khóa bảo mật hoặc dữ liệu sinh trắc học làm thông tin đăng nhập thay vì mật khẩu hoặc sử dụng các phương pháp thay thế này như một phương pháp xác minh thứ hai.
Tiêu chuẩn này nhằm loại bỏ nhu cầu nhập mật khẩu khi người dùng kết nối Internet.
Tốt mục tiêu chính là đảm bảo quyền truy cập vào các ứng dụng web.
Bây giờ là lúc các dịch vụ web và các doanh nghiệp áp dụng WebAuthn để ngăn chặn lỗ hổng mật khẩu và tăng cường bảo mật cho trải nghiệm trực tuyến của người dùng web, ”Jeff Jaffe nói.
Với những lời này, Giám đốc điều hành W3C đã nhận xét về sự thành công của nỗ lực hoàn thiện mật khẩu.
Và tốt, hôm nay WebAuthn hiện là một tiêu chuẩn web chính thức, được họ coi là một bước quan trọng trong việc làm cho web trở nên an toàn hơn và người dùng trên khắp thế giới có thể sử dụng được nhiều hơn.
Bây giờ họ đang yêu cầu các nền tảng trực tuyến áp dụng tiêu chuẩn mới này.
“Các ứng dụng và dịch vụ web có thể và nên kích hoạt tính năng này để người dùng của họ có thể kết nối dễ dàng hơn thông qua sinh trắc học, thiết bị di động hoặc khóa bảo mật FIDO, với mức độ bảo mật cao hơn nhiều so với chỉ từ ngữ. mật khẩu “, cùng tranh luận giữa W3C và liên minh FIDO.
FIDO2 và WebAuthn: giải pháp cho vấn đề mật khẩu
Đối với thông tin của bạn, FIDO2 đáp ứng thông số kỹ thuật Xác thực Web W3C và Giao thức Xác thực Máy khách FIDO Alliance (CTAP).
Qua FIDO2 và WebAuthn, hai tổ chức tin rằng cộng đồng công nghệ toàn cầu hđã phát triển một giải pháp chung cho vấn đề mật khẩu chung- Một giải pháp công thái học chống lại hành vi trộm cắp mật khẩu, lừa đảo và các kiểu tấn công kiểu này.
FIDO2 sẽ giải quyết tất cả các vấn đề liên quan đến xác thực truyền thống, như được giải thích trong thông cáo báo chí từ W3C và liên minh FIDO:
an ninh: Thông tin xác thực đăng nhập mật mã của FIDO2 là duy nhất trên mỗi trang web và không có thông tin sinh trắc học hoặc thông tin bí mật khác như mật khẩu ra khỏi thiết bị đầu cuối của người dùng hoặc được lưu trữ trên máy chủ.
Mô hình bảo mật này loại bỏ mọi nguy cơ lừa đảo, tất cả các hình thức đánh cắp mật khẩu và các cuộc tấn công "phát lại".
Thoải mái: Người dùng kết nối bằng các phương thức tiện lợi như đầu đọc dấu vân tay, camera, khóa bảo mật FIDO hoặc thiết bị di động của họ.
Bảo mật: Các khóa FIDO là duy nhất cho mỗi trang web, chúng không thể được sử dụng để theo dõi trên các trang web.
Khả năng mở rộng: các trang web có thể kích hoạt FIDO2 bằng một lệnh gọi API đơn giản trên tất cả các trình duyệt và nền tảng.
WebAuthn sẽ tiết kiệm thời gian và bảo mật
Trong một nghiên cứu Verizon Security năm 2017, Liên minh W3C và FIDO giải thích rằng hiện nay mật khẩu đã mất hiệu lực.
Mật khẩu mặc định, thấp hoặc bị đánh cắp không chỉ gây ra 81% vi phạm dữ liệu mà còn lãng phí thời gian và tài nguyên.
Cũng tham khảo một nghiên cứu gần đây của nhà cung cấp khóa bảo mật Yubico, vẫn cho biết rằng người dùng dành 10.9 giờ mỗi năm để nhập hoặc đặt lại mật khẩu, chi phí trung bình cho các doanh nghiệp là 5.2 triệu đô la một năm.
WebAuthn đã có hỗ trợ
WebAuthn đã hỗ trợ Windows 10 và Android cũng như các trình duyệt web Google Chrome, Mozilla Firefox, Microsoft Edge và Apple Safari (trong bản xem trước).
Điều này cho thấy rằng việc áp dụng của bạn đang đi đúng hướng. Liên minh FIDO cũng đã khởi động chương trình chứng nhận cho các nhà cung cấp sẵn sàng triển khai tiêu chuẩn trên trình duyệt hoặc nền tảng của họ. Điều này sẽ tăng tốc độ kết thúc của mật khẩu.
Fuente: www.w3.org