這萬維網聯盟(W3C)最近宣布,它正在啟動Web身份驗證的新標準工作,該標準將為網絡上的基於密碼的日誌提供更安全,更靈活的替代方案。
W3C的身份驗證工作將基於FIDO 2.0 Web API來自FIDO聯盟,這將使強大的加密操作能夠代替密碼交換。
FIDO聯盟執行董事Brett McDowell說:“我們的任務是通過開發和全球採用技術規範來徹底改變網絡身份驗證,這些技術規格取代了世界上對密碼的依賴,並具有可互操作的強驗證。” “隨著W3C接受FIDO 2.0提交,我們正在實現這一任務。”
FIDO 2.0協議採用公共密鑰密碼學,該密鑰密碼學依賴用戶的設備在註冊過程中生成密鑰對。用戶的設備保留了生成的私鑰,並將公共密鑰運送到服務提供商。服務提供商保留此密鑰,然後將其與用戶的帳戶關聯。當收到登錄請求時,系統會發出挑戰,必須由私鑰持有人簽署作為響應。該協議可容納包含生物識別傳感器的嵌入式和外部身份驗證設備,例如智能手機和平板電腦。
根據W3C的說法,Web身份驗證工作將在Web密碼學API上進行以前的W3C工作,以及Web應用程序安全規範的持續工作。
W3C首席執行官Jeff Jaffe博士說:“我們的目標是將整個開放網絡平台提高到更高的安全標準,並與行業,學術專家和其他標準組織合作,以確保滿足特定的Web安全需求。” “我們邀請廣泛的參與以在這個首要任務上共同努力,以使網絡在今天和可預見的將來盡可能安全。”
W3C已經形成了一個新的網絡身份驗證工作組這將集中在身份驗證工作上。該工作組的第一次會議將於3月4日在舊金山舉行,方便地參加參加RSA美國會議的人們。
Wendy Seltzer, Technology and Society Domain Lead at W3C, says she expects the new Web authentication work to close an important gap in Web security methods: “We've seen much better authentication methods than passwords, yet too many Web sites still use password-based log-ins. Standard Web APIs will make consistent implementations work across the Web ecosystem. The new approach will replace passwords with more secure ways of logging into Web sites, such as using a USB key or激活智能手機,對於任何想要與用戶保持持續關係的Web應用程序都是有用的。”
Seltzer鼓勵行業利益相關者活躍於工作組。 Seltzer說:“參與W3C提高網絡安全努力的開發人員和工程師敏銳地意識到需要升級協議的必要性,而不會破壞數十億人依賴的網絡。” “我們非常鼓勵那些有興趣幫助W3C建立更安全的網絡以參與其中的人。”
生物識別部門的公司已開始接聽該電話。 Ramesh Kesanupalli,創始人足夠的實驗室noted: “The W3C's new Web Authentication work, based upon the FIDO Alliance submission of FIDO 2.0 Web APIs, is a huge step towards realizing our vision of strong authentication using strong cryptographic operations instead of passwords. The W3C work drives us towards standards-based adoption by major browsers and enables consumers and organizations to achieve both an improved user experience and improved security. As a founder of the FIDO Alliance and one of the organizations to submit FIDO 2.0 Web API到W3C,很高興看到提交的內容從標準路徑上移動。”
