Web開發重磅！FIDO與W3C聯合支持免密認證登錄！

來自專欄 Open Web開發者

今天（2018年4月10號），W3C官方宣布：

FIDO聯盟與W3C聯合取得Web認證標準的里程碑式進展，在全球實現更簡單更強大的Web認證方式。

在Google Chrome、Microsoft Edge和Mozilla Firefox的支持下，FIDO2項目以保護全球互聯網用戶為目標，開啟了一個普適、安全、強認證方式的新時代！

——這將打通用戶和Web的終極壁壘，給Web的體驗帶來質的飛躍。

W3C官方全文

https://www.w3.org/ and Mountain View, Calif. — 2018年4月10日— FIDO聯盟（FIDO Alliance）與W3C（World Wide Web Consortium）聯合取得了Web認證標準的重大進展，為全球用戶帶來更簡單、更強大的Web認證方式。

由FIDO提交的文檔Web Authentication（以下稱WebAuthn），已經正式進入W3C候選推薦標準（Candidate Recommendation，簡稱CR）階段。這份規範文檔由W3C Web認證工作組（Web Authentication Working Group）發布，該組由30 多位來自不同組織的會員單位代表組成。進入CR階段意味著該規範將最終成為W3C正式標準 （Recommendation，簡稱REC），W3C在此階段邀請在線服務商和Web應用開發者對WebAuthn 進行技術實現。

WebAuthn在瀏覽器和跨站點設備上，定義了一個可以合併到瀏覽器中的標準Web API，以及相關的Web平台基礎設施，為用戶提供在Web上進行安全認證的新方法。 WebAuthn由W3C與FIDO聯盟合作開發，它連同FIDO的客戶端到認證器協議規範（Client to Authenticator Protocol，CTAP），構成了FIDO2 項目的核心組件。CTAP啟用外部認證器（例如安全秘鑰或手機）通過USB、藍牙、或者NFC向用戶的互聯網接入設備（電腦或手機）局部傳遞強認 證證書。FIDO2規範可以讓用戶能夠輕鬆且安全地通過桌面或移動設備驗證在線服務。

FIDO聯盟執行理事Brett McDowell說：

「隨著今天宣布FIDO2規範及Web瀏覽器對其的支持，我們正朝著FIDO身份驗證普適於所有平台及設備上這一目標邁出了一大步，經歷多年日益嚴重 的數據泄露和密碼憑證被盜用等問題，現在正是服務供應商所面臨的重要時機，來結束對易受攻擊的密碼和一次性密碼的依賴，並為所有網站和應用程序採用防網路釣魚的FIDO身份驗證。」

Google、Microsoft以及Mozilla都已承諾在其瀏覽器中支持WebAuthn標 准，並已經開始在Windows、Mac、Linux、Chrome OS以及Android平台上進行實現。WebAuthn和CTAP規 范的出現，使開發人員和供應商能夠迅速將對下一代FIDO身份驗證的支持切實部署到其產品和服務中。

W3C首席執行官Jeff Jaffe說：「網路安全一直是無法規避的問題，它阻撓著網路對社會的諸多積極影響。當今網路安全隱患眾多，其中對密碼的依賴是最薄弱的環節之一。藉助WebAuthn的 多因素解決方案，我們正在逐步消除這一薄弱環節，WebAuthn將改變人們訪問網路的方式。」

FIDO2標準化工作的完成，W3C WebAuthn標準的推進，以及瀏覽器供應商對實現這一標準的承諾，都預示著一個新時代的開啟，一個為所有互聯網用戶提供普適的、硬體支持FIDO身份驗證保護的時代。

企業和在線服務提供者希望保護自己和他們的客戶免於遭受密碼風險—包括網路釣魚，中間人攻擊和濫用竊 取憑證—可以通過瀏覽器或通過外部認證器，快速部署基於標準的強認證。通過部署FIDO身份驗證，在線服務可以在用戶每天使用的互動操作系統（如手機和安全密鑰）中為用戶提供選擇。

新的FIDO2規範在瀏覽器和操作系統中的標準化將進一步擴大FIDO身份驗證的範圍，FIDO身份 驗證被全球監管機構和標準制定機構引用，並通過Google、Facebook、NTT DOCOMO、美國銀行等企業所提供的服務，在全球範圍內用於數億台設備，用戶超過35億。 新規範對現有的無密碼FIDO UAF和第二因素FIDO U2F用例進行了補充，並擴展了FIDO認證的可用性。FIDO2網路瀏覽器和在線服務完全向後兼容所有之前獲得認證的FIDO安全密鑰。

FIDO即將啟動互操作性測試，並將為符合FIDO2規範的伺服器、客戶端和認證器頒發認證憑證。人們可以在FIDO的網站上 找到一致性測試工具。 此外，FIDO將為與所有FIDO認證器類型（FIDO UAF，FIDO U2F，WebAuthn，CTAP）互操作的伺服器引入新的通用伺服器認證。

WebAuthn和FIDO2項目帶來的益處

W3C的WebAuthn API是一種可融入瀏覽器和相關Web平台基礎架構的標準WebAPI，可為每個站點提供強大、唯一且基於公鑰的憑證，消除了從某一站點竊取密碼後被用於其他站點的風險。 使用FIDO身份驗證器載入到設備上的在瀏覽器中運行的Web應用程序，可以通過密碼操作代替密碼交換，或除了密碼交換之外，還可為服務提供者和用戶帶來諸多益處：

• 更簡單的身份驗證：用戶只需使用一種手勢登錄
• PC、筆記本電腦和/或移動設備中的內部或內置認證器（如指紋或面部生物識別技術）
• 使用CTAP進行設備到設備認證的外部認證器（如安全密鑰和移動設備），一個由FIDO聯盟開發的用於補充WebAuthn的外部認證器協議
• 更強的身份驗證：FIDO身份驗證比單純依賴密碼和相關身份驗證方式要強大得多，並具有以下優點
• 用戶證書和生物識別模板永遠不會離開用戶的設備，也不會存儲在伺服器上
• 帳戶可以免受網路釣魚，中間人攻擊和使用被盜密碼的反覆攻擊
• 開發人員可以開始在FIDO新的開 發者資源頁面上創建利用FIDO身份驗證的應用程序和服務。

關於FIDO聯盟（FIDO Alliance）

線上快速身份驗證聯盟（Fast IDentity Online Alliance，簡稱FIDO Alliance），http://www.fidoalliance.org， 成立於2012年7月，旨在解決強 認證技術之間缺乏互操作性的問題，並致力於解決用戶在創建和記憶多個用戶名和密碼時遇到的問題。FIDO聯盟正在改變身份驗證的性質，採用更簡 單、更強大的身份驗證標準，定義了一組開放、可擴展、可互操作的機制，以減少對密碼的依賴。在向在線服務進行身份驗證時，FIDO身份驗證功能更強大、更私 密、更簡化。

關於萬維網聯盟（World Wide Web Consortium，簡稱W3C）

萬維網聯盟 （World Wide Web Consortium，簡稱W3C），http://www.w3.org， 是由會員組織、全職工作人員、以及公眾共同組成的致力於發展互聯網標準的國際化組織。W3C通過創立互聯網標準及指導方針來保障互聯網長期穩定的發展，開放萬 維網平台（Open Web Platform）是萬維網聯盟目前的核心工作。W3C制定了包括HTML5、CSS 等構建Web站點與Web應用的基礎技術協議，並因為在無障礙在線視頻字 幕等工作，獲得2016年的艾美獎（2016 Emmy Award）。

W3C 「一個萬維網（One Web）」的理念吸引了全球400多家會 員單位數千名技術專家共同工作。W3C主要由如下機構聯合管理：美國 麻省理工學院計算機科技與人工智慧實驗室(MIT CSAIL)、法國的歐洲信 息與數學研究聯盟(ERCIM)、日本慶應大學(Keio University)以及中國北京航空航天大學(Beihang University)，並在全球範圍內設有辦事處。更多信息請見http://www.w3.org。

Brilliant Open Web

BOW（Brilliant Open Web）團隊，是一個專門的Web技術建設小組，致力於推動 Open Web 技術的發展，讓Web重新成為開發者的首選。BOW 關注前端，關注Web；剖析技術、分享實踐；談談學習，也聊聊管理。關注 OpenWeb開發者（ID：BrilliantOpenWeb）公眾號，回復「加群」，讓我們一起推動 OpenWeb技術的發展！

尾尾：前端生態混亂，AMP&MIP在努力做標準化工作?

zhuanlan.zhihu.com
推薦閱讀：