WebAuthn 无密码登录标准

今天的W3C （网络标准机构） 和FIDO联盟 （正在努力提供更简单，更强大的身份验证来替换密码）h宣布已完成WebAuthn标准的安全无密码连接。

网络认证 是由密码盗窃和数据泄漏驱动的安全上下文， 2016年3月，WXNUMXC Web身份验证工作组（WebAuthn）和FIDO联盟（快速IDentity在线）发布了有关针对不同浏览器的身份验证标准规范（WebAuthn标准）的草案。

其目的是允许任何网站或在线服务使用应用程序，安全密钥或生物特征数据作为登录名。 而不是密码，或使用这些替代方法作为第二种验证方法。

该标准旨在消除用户连接到Internet时输入密码的需要。

好 主要目的是确保访问Web应用程序。

杰夫·杰夫（Jeff Jaffe）说，现在是Web服务和企业采用WebAuthn的时候了，以防止密码漏洞并增强Web用户在线体验的安全性。

W3C首席执行官正是用这些话来评论密码定稿工作的成功。

好吧，今天 WebAuthn现在是一种正式的Web标准，他们认为这是使Web更加安全和被全世界的用户使用的重要一步。

现在，他们正在要求在线平台采用这一新标准。

“ Web应用程序和服务可以并且应该启用此功能，以便其用户可以更轻松地通过生物识别，移动设备或FIDO安全密钥进行连接，其安全性远胜于文字。密码”，与W3C和FIDO联盟共同争论。

FIDO2和WebAuthn：密码问题的解决方案

仅供参考，FIDO2符合W3C Web身份验证规范和FIDO联盟客户端身份验证协议（CTAP）。

通过FIDO2和WebAuthn，这两个组织认为，全球科技界已经开发出通用密码问题的通用解决方案-符合人体工程学的解决方案，可防止密码盗窃，网络钓鱼和其他类型的此类攻击。

FIDO2将解决与传统身份验证相关的所有问题， 如W3C和FIDO联盟的新闻稿所述：

安全性： FIDO2的密码登录凭据在每个网站上都是唯一的，并且不存在来自用户终端或存储在服务器上的生物识别信息或其他秘密信息，例如密码。

这种安全模型消除了网络钓鱼，各种形式的密码盗窃和“重播”攻击的风险。

舒适性： 用户可以使用方便的方法进行连接，例如指纹读取器，相机，FIDO安全密钥或他们的移动设备。

保密： FIDO密钥对于每个网站都是唯一的，不能用于跨站点跟踪。

可扩展性： 网站可以在所有浏览器和平台上通过简单的API调用来启用FIDO2。

在2017年的Verizon安全性研究中， W3C联盟和FIDO解释说，现在已经确定密码已经失去了有效性。

默认，低或被盗的密码不仅会导致81％的数据泄露，而且还会浪费时间和资源。

还指的是安全密钥提供商Yubico的最新研究， 指出用户每年花费10.9个小时来输入或重置密码，这使企业每年平均损失5.2万美元。

网络认证 已经支持Windows 10和Android以及网络浏览器 Google Chrome，Mozilla Firefox，Microsoft Edge和Apple Safari（预览）。

这表明您的采用是正确的。 FIDO联盟还为准备在其浏览器或平台上实施该标准的供应商启动了一项认证计划。这样可以加快密码的处理速度。

数据来源： www.w3.org