在Google Chrome,Microsoft Edge和Mozilla Firefox的支持下,FIDO2项目开启了无处不在,抗网络钓鱼,强大身份验证的新时代,以保护全球Web用户
加利福尼亚州山景城和 https://www.w3.org/ — 2018 年 4 月 10 日 –FIDO 联盟和万维网联盟 (W3C) 在全球努力为全球用户带来更简单但更强大的 Web 身份验证方面取得了重要的标准里程碑。 W3C 具有高级 Web 身份验证 (WebAuthn),这是一项基于 FIDO 提交给 W3C 的 Web API 规范的协作工作,已进入候选推荐 (CR) 阶段。 CR 是 Web 身份验证工作组的产物,该工作组由 30 多个成员 组织的代表组成。 CR 是 Web 标准最终批准的前奏,W3C 已邀请在线服务和 Web 应用程序开发人员 实现 WebAuthn。
WebAuthn 定义了一个标准的 Web API,可以合并到浏览器和相关的 Web 平台基础设施中,为用户提供了在 Web、浏览器以及跨站点和设备进行安全身份验证的新方法。 WebAuthn 是与 FIDO 联盟合作开发的,是 FIDO2 项目 的核心组件,以及 FIDO 的客户端到身份验证器协议 (CTAP) 规范。 CTAP 使外部身份验证器(如安全密钥或移动电话)能够通过 USB、蓝牙或 NFC 在本地将强身份验证凭据传送到用户的互联网访问设备(PC 或移动电话)。 FIDO2 规范共同使用户能够使用具有防网络钓鱼安全性的桌面或移动设备轻松对在线服务进行身份验证。
FIDO 联盟执行董事 Brett McDowell 表示:“随着今天宣布的新 FIDO2 规范和领先的 Web 浏览器支持,我们朝着使 FIDO 身份验证在所有平台和设备上无处不在的方向迈出了一大步。 “经过多年日益严重的数据泄露和密码凭据盗窃,现在是服务提供商结束对易受攻击的密码和一次性密码的依赖,并为所有网站和应用程序采用防网络钓鱼的FIDO身份验证的时候了。”
Google,Microsoft和Mozilla已承诺在其旗舰浏览器中支持WebAuthn标准,并已开始在Windows,Mac,Linux,Chrome OS和Android平台上实施。 WebAuthn 和 CTAP 规范现已推出,使开发人员和供应商能够快速开始在其产品和服务中构建对下一代 FIDO 身份验证的支持。
“长期以来,网络安全一直是一个问题,它干扰了网络对社会的许多积极贡献。虽然存在许多网络安全问题,我们无法解决所有问题,但依赖密码是最薄弱的环节之一。借助 WebAuthn 的多因素解决方案,我们正在消除这个薄弱环节,“W3C 首席执行官 Jeff Jaffe 说。 “WebAuthn将改变人们访问网络的方式。
FIDO2 标准化工作的完成、WebAuthn 在 W3C 标准轨道上的推广,以及领先的浏览器供应商对实施的承诺,为使用 Internet 的每个人开启了无处不在的硬件支持的 FIDO 身份验证保护的新时代。
希望保护自己和客户免受与密码相关的风险(包括网络钓鱼、中间人攻击和滥用被盗凭据)的企业和在线服务提供商可以很快部署基于标准的强身份验证,该身份验证通过浏览器或外部身份验证器工作。 部署 FIDO 身份验证使在线服务能够为用户提供从人们每天使用的设备(如移动电话和安全密钥)的可互操作生态系统中进行选择。
浏览器和操作系统中新 FIDO2 规范的标准化将进一步扩大 FIDO 身份验证的范围,该认证被全球监管机构和标准制定机构引用,并且已经在数亿台设备上可用,并通过 Google 等公司的服务提供给全球超过 35 亿个用户帐户。 Facebook、NTT DOCOMO、美国银行等等。 新规范补充了现有的无密码 FIDO UAF 和第二因素 FIDO U2F 用例,并扩展了 FIDO 身份验证的可用性。 FIDO2 Web 浏览器和在线服务完全向后兼容所有以前认证的 FIDO 安全密钥。
FIDO 将很快启动互操作性测试,并将为符合 FIDO2 规范的服务器、客户端和身份验证器颁发认证。 一致性测试工具可在 FIDO 的网站上找到。 此外,FIDO 将为与所有 FIDO 身份验证器类型(FIDO UAF、FIDO U2F、WebAuthn、CTAP)互操作的服务器引入新的通用服务器认证。
WebAuthn 和 FIDO2 项目优势
W3C 的 WebAuthn API 是一种标准的 Web API,可以合并到浏览器和相关的 Web 平台基础设施中,它为每个站点启用强大的、唯一的、基于公钥的凭据,从而消除了从一个站点窃取的密码可以在另一个站点上使用的风险。 在具有 FIDO 身份验证器的设备上加载的浏览器中运行的 Web 应用程序可以轻松调用公共 API,以便通过加密操作代替密码交换或补充密码交换,为用户启用更简单、更强大的 FIDO 身份验证,从而为服务提供商和用户等提供许多优势:
- 更简单的身份验证:用户只需使用以下命令通过一个手势登录:
- PC、笔记本电脑和/或移动设备中的内部或内置身份验证器(例如指纹或面部生物识别技术)
- 方便的外部身份验证器,例如安全密钥和移动设备,用于使用 CTAP 进行设备到设备身份验证,CTAP 是 FIDO 联盟开发的外部身份验证器协议,是对 WebAuthn 的补充
- 更强的身份验证:FIDO 身份验证比仅依赖密码和相关形式的身份验证要强大得多,并且具有以下优点:
- 用户凭据和生物识别模板永远不会离开用户的设备,也永远不会存储在服务器上
- 帐户受到保护,免受网络钓鱼、中间人和使用被盗密码的重放攻击
- 开发人员 可以在 FIDO 的新 开发人员资源页面上开始创建利用 FIDO 身份验证的应用和服务。
来自支持浏览器供应商的引述
Sam Srinivas,Google Cloud Security 产品管理总监
“Google Chrome 致力于构建更好的网络,允许开发人员以结构化的方式与安全的密钥库进行交互,这有助于我们继续履行这一使命。作为 FIDO 内部 U2F 和 FIDO2 工作组的创始成员,我们对这些标准的推出感到兴奋,并期待我们继续合作。
Dave Bossio,Microsoft 操作系统安全集团项目经理
“提供跨设备、应用程序、浏览器和网站的密码替代方案,兑现了我们对未来没有密码的承诺。我们很高兴地宣布,由于我们与FIDO联盟的合作,我们将在Microsoft Edge中增加对WebAuthn API和W3C的支持,目前正处于审批过程阶段。
Selena Deckelmann,Mozilla Firefox Runtime 高级工程总监
“通过Web身份验证,我们为使用Firefox的用户提供了为他们的浏览体验增加另一层安全性的机会。让人们更好地控制他们如何管理他们的在线安全,并使互联网更安全,这是Mozilla保持网络开放和所有人都能访问的使命的核心。
支持今天公告的 FIDO 成员的更多报价可以在 FIDO2 项目网页上找到。
关于FIDO联盟
FIDO(Fast IDentity Online)联盟成立于 2012 年 7 月,www.fidoalliance.org 旨在解决强身份验证技术之间缺乏互操作性的问题,并解决用户在创建和记住多个用户名和密码时面临的问题。 FIDO 联盟正在通过更简单、更强大的身份验证标准改变身份验证的本质,这些标准定义了一套开放、可扩展、可互操作的机制,从而减少了对密码的依赖。 在对联机服务进行身份验证时,FIDO 身份验证更强大、更私密且更易于使用。
关于 W3C
万维网联盟 (W3C) 的使命是通过创建技术标准和指南来充分发挥 Web 的潜力,以确保 Web 对全球每个人保持开放、可访问和可互操作。 W3C 开发了众所周知的规范,如 HTML5、CSS 和开放 Web 平台,以及安全和隐私方面的工作,所有这些都是在开放中创建的,并在独特的 W3C 专利政策下免费提供。
W3C 的“One Web”愿景汇集了代表 400 多个 成员组织 和数十个行业领域的数千名敬业技术人员。 W3C由美国 麻省理工学院计算机科学与人工智能实验室 (MIT CSAIL)、总部位于法国的 欧洲信息与数学研究联盟 (ERCIM)、日本 庆应义塾 大学和中国 北京航空航天大学 联合主办。
FIDO联盟公关联系人
迈克·史密斯或阿德里安·洛斯
蒙特纳科技公关
203-226-9290
fidopr@montner.com
W3C 公关联系人
艾米·范德希尔
W3C 媒体关系协调员
w3t-pr@w3.org
+1.617.253.5628(美国东部时间)