各大浏览器和平台都内置了 支持新的 Web 标准,可通过生物识别技术、移动设备轻松安全地登录 设备和 FIDO 安全密钥
加利福尼亚州山景城和 https://www.w3.org/,2019 年 3 月 4 日 – 万维网联盟 (W3C) 和 FIDO 联盟今天宣布 Web 身份验证 (WebAuthn) 规范现已成为官方 Web 标准。 这一进步是使网络对全球用户更加安全和可用的重要一步。
W3C 的 WebAuthn Recommendation 是 FIDO 联盟的 FIDO2 规范集
的核心组件[i]
,是一种浏览器/平台标准,用于更简单、更强大的身份验证。 Windows 10、Android 和 Google Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari(预览版)Web 浏览器已经支持它。 WebAuthn 允许用户使用他们喜欢的设备登录他们的互联网帐户。 Web 服务和应用程序可以(也应该)启用此功能,让用户能够更轻松地通过生物识别、移动设备和/或 FIDO 安全密钥登录,并且比单独的密码具有更高的安全性。
“现在 是 Web 服务和企业采用 WebAuthn 以超越 易受攻击的密码,帮助网络用户提高其在线安全性 体验,“W3C 首席执行官 Jeff Jaffe 说。 “W3C 的建议确立了 Web 范围的互操作性指南,为 Web 设定一致的期望 用户和他们访问的网站。 W3C 正在努力实现这一最佳实践 在它自己的网站上。
针对密码盗窃、网络钓鱼和重放攻击的用户友好型解决方案
众所周知,密码已经过时了。 81%的数据泄露事件背后不仅有被盗、弱密码或默认密码,而且还会浪费时间和资源。 根据 Yubico 最近的一项研究,用户每年花费 10.9 小时输入和/或重置密码,平均每年花费公司 520 万美元。 虽然传统的多因素身份验证 (MFA) 解决方案(如 SMS 一次性代码)增加了另一层安全性,但它们仍然 容易受到网络钓鱼攻击,使用起来并不简单,并且选择加入率低。
借助 FIDO2 和 WebAuthn,全球技术社区齐心协力,为共享密码问题提供共享解决方案。 FIDO2 解决了传统身份验证的所有问题:
- 安全性:FIDO2 加密登录凭据在每个网站上都是唯一的,生物识别或其他机密(如密码)永远不会离开用户的设备,也永远不会存储在服务器上。 这种安全模式消除了网络钓鱼、各种形式的密码盗窃和重放攻击的风险。
- 便利性:用户使用指纹识别器、摄像头、FIDO 安全密钥或个人移动设备等简单方法登录。
- 隐私:由于 FIDO 加密密钥对于每个 Internet 站点都是唯一的,因此它们不能用于跨站点跟踪用户。
- 可扩展性:网站可以通过简单的 API 调用在消费者每天使用的数十亿台设备上跨所有支持的浏览器和平台启用 FIDO2。
FIDO 联盟执行董事 Brett McDowell 表示:“FIDO2 的 Web 身份验证组件现在是 W3C 的官方 Web 标准,这是一项重要的成就,代表了多年来行业合作,为网络上的防网络钓鱼身份验证开发实用的解决方案。 “有了这个里程碑,我们将进入我们共同使命的下一阶段,即为当今和未来几年使用互联网的每个人提供更简单、更强大的身份验证。”
发推文: #WebAuthn 是通过 @w3c @FIDOAlliance 的官方 Web 标准。 这是在使网络对全球用户更安全和更可用方面迈出的重要一步 https://fidoalliance.org/w3c-and-fido-alliance-finalize-web-standard-for-secure-passwordless-logins
开始
对于准备开始使用 FIDO2 规范和浏览器/平台支持的服务提供商和供应商,FIDO 联盟提供了测试工具并启动了 认证计划。 目前,有许多 FIDO2 认证解决方案可用于支持各种用例。 其中包括支持 FIDO2 的 FIDO 认证通用服务器,以及所有先前的 FIDO UAF 和 FIDO U2F 设备,可完全向后兼容各种认证的 FIDO 身份验证器。
有关 FIDO2 的更多信息,请访问 FIDO 联盟网站,包括为有兴趣参与 FIDO 认证计划的开发人员和产品供应商提供的资源。
关于FIDO联盟
FIDO(Fast IDentity Online)联盟成立于2012年7月, fidoalliance.org 旨在解决 强身份验证 技术之间缺乏互操作性的问题,并解决用户在创建和记住多个用户名和密码时面临的问题。 FIDO 联盟正在通过更简单、更强大的身份验证标准改变身份验证的本质,这些标准定义了一套开放、可扩展、可互操作的机制,从而减少了对密码的依赖。 在对联机服务进行身份验证时,FIDO 身份验证更强大、更私密且更易于使用。
关于 W3C
万维网联盟 (W3C) 的使命是通过创建技术标准和指南来充分发挥 Web 的潜力,以确保 Web 对全球每个人保持开放、可访问和可互操作。 W3C 开发了众所周知的规范,如 HTML5、CSS 和开放 Web 平台,以及安全和隐私方面的工作,所有这些都是在开放中创建的,并在独特的 W3C 专利政策下免费提供。 W3C 致力于通过字幕和字幕使在线视频更易于访问,因此获得了 2016 年艾美奖。
W3C 的“One Web”愿景汇集了代表 400 多个 成员组织 和数十个行业领域的数千名敬业技术人员。 W3C由美国 麻省理工学院计算机科学与人工智能实验室 (MIT CSAIL)、总部位于法国的 欧洲信息与数学研究联盟 (ERCIM)、日本 庆应义塾 大学和中国 北京航空航天大学 联合主办。 有关详细信息,请参阅 https://www.w3.org/。
FIDO联盟公关联系人
梅根·沙马斯
蒙特纳科技公关
203-226-9290
press@fidoalliance.org
W3C 公关联系人
艾米·范德希尔
W3C 媒体关系协调员
w3t-pr@w3.org
1.617.253.5628(美国东部时间)
客户感言
二重唱 安全 (Cisco)
“WebAuthn 规范是一个 在更简单、更强大的用户进化中实现重大的协作飞跃 认证。 作为身份验证领域的先驱,Duo Security 深知 为了使安全性有效,它必须简单。 WebAuthn 的安全性和 隐私保护、内置的抗网络钓鱼功能和易用性使其具有 推动企业和消费者市场广泛采用的潜力, 因此,让每个人都更安全。 真正的无密码身份验证已经 寻求了很长时间 – 今天,我们更接近实现这个目标 WebAuthn.“ – James Barclay,思科 Duo Security 高级研发工程师 业务部门
谷歌
“用户被网络钓鱼的事实并不是他们的失败。 正是互联网基础设施的差距使他们容易受到攻击。 随着今天的宣布,互联网社区正在缩小这一差距。 互联网基础设施现在拥有大规模提供用户友好型防网络钓鱼身份验证的工具。 Google 从一开始就参与了这一旅程,我们在 2014 年推出了基于安全密钥的身份验证,在 2017 年推出了高级保护计划,并在 2017 年推出了 Titan 安全密钥 在这一年里 2018.现在,随着 W3C WebAuthn 和 FIDO2 客户端支持跨所有主要客户端平台,启用了一组扩展的功能。我们期待利用这些优势为我们的用户提供额外的新的、直观的、抗网络钓鱼的登录体验。 – Sam Srinivas,Google 产品管理总监兼 FIDO 联盟总裁
Microsoft
“我们与W3C和FIDO联盟的合作,以及对FIDO2标准的贡献,一直是Microsoft从2015年开始对无密码世界的承诺的关键部分。如今,带有 Microsoft Edge 的 Windows 10 完全支持 WebAuthn 标准,数百万用户可以在不使用密码的情况下登录他们的 Microsoft 帐户。 – Alex Simons,Microsoft Identity Division 项目管理公司副总裁
Mozilla的
“在所有多因素中 据我所知,Web 身份验证解决方案是我们最好的技术 应对网络钓鱼的祸害。 保护个人隐私和 安全性是 Mozilla 的基础,而 Web 身份验证在 这种保护。 Mozilla 支持 Web 身份验证的发展,以及 它的最终目标是为所有网络创造一个无网络钓鱼的未来。 Mozilla密码学工程师
诺克诺克实验室
“提供替代方案 适用于跨设备、应用程序、 浏览器和网站一直是 Nok Nok Labs 的使命,因为我们 初始。 Web 身份验证 API 是实现以下目标的重要一步 在我们日常使用的设备上启用简单而强大的身份验证 生活。 当务之急是整个行业继续增加支持 将 FIDO 身份验证添加到所有平台中,以更好地保护我们的消费者 数字世界“——Rolf Lindemann,Nok Nok Labs 高级产品总监
尤比科
“今天 W3C 的 WebAuthn 标准化标志着开放身份验证标准和互联网安全历史上的一个里程碑。我们一起实现了几乎不可能的目标:创建一个所有平台和浏览器都支持的全球标准。Yubico很高兴能成为这一旅程的一部分,我们期待着这将为所有互联网用户提供无缝、无处不在的安全性。
[i] FIDO2 由 W3C 的 Web 身份验证规范 (WebAuthn) 和 FIDO 联盟的相应客户端到身份验证器协议 (CTAP) 组成