FIDO Alliance发布了一套新的安全凭证交换规范的工作草案,当凭证提供商对其进行标准化和实施时,将使用户能够在提供商之间安全地移动通行密钥和所有其他凭证。这些规范是 FIDO Alliance凭证提供商特别兴趣小组成员承诺和合作的结果,包括来自以下公司的代表:1Password、Apple、Bitwarden、Dashlane、Enpass、Google、Microsoft、NordPass、Okta、Samsung 和 SK Telecom。
安全凭证交换是 FIDO Alliance 的重点,因为它可以帮助进一步加快密钥的采用并增强用户体验。如今,超过 120 亿个在线帐户可以使用通行密钥访问, 其优势显而易见:使用通行密钥登录可减少网络钓鱼并消除凭据重用,同时使登录速度提高 75%,比密码或密码加上第二个因素(如 SMS OTP)成功率提高 20%。
随着这种增长势头, FIDO Alliance 致力于实现一个开放的生态系统,促进用户选择并减少围绕密钥的任何技术障碍。用户能够选择他们喜欢的凭证管理平台,并安全无负担地切换凭证提供商,这一点至关重要。到目前为止,还没有关于凭据安全移动的标准,密码或其他凭据的移动通常是以明文形式完成的。
FIDO Alliance的规范草案 – 凭证交换协议 (CXP) 和凭证交换格式 (CXF) – 定义了一种标准格式,用于将凭证管理器中的凭证(包括密码、密钥等)传输到另一个供应商,以确保传输不是明文进行,并且默认情况下是安全的。
标准化后,这些规范将是开放的,可供凭证提供商实施,以便其用户在选择更换提供商时可以获得安全轻松的体验。
规范工作草案公开接受机构群体的审查和反馈;由于规范可能会发生变化,因此它们尚不打算实施。有兴趣的人可以 在此处阅读工作草案,并在联盟的 GitHub 存储库上提供反馈。草案通常会更新并发布以供公众审查,直到规范获得批准实施。
FIDO Alliance特别感谢凭证提供商特别兴趣组的成员及其负责人,感谢他们推动和促进了这一重要规范。
