無需輸入單一密碼即可瀏覽網頁是「WebAuthn」的承諾,這是一種剛剛獲得認可的身份驗證技術“候選人推薦”來自 W3C。這使其非常有可能成為未來的通用網路標準。
事實上,WebAuthn 並不是全新的。它是一個 Web API,源自稱為 FIDO 的更廣泛標準化工作2014年在網路巨頭和某些高科技廠商的主導下出現。 FIDO 是一種身份驗證技術,其目標是透過使用電子證書擺脫密碼,同時消除使用者的所有複雜性。另一個優點:它將使得依賴當今廣泛使用的智慧型手機的生物識別系統成為可能。
FIDO第一個版本未能突破,這也是FIDO聯盟聯盟相對較快出現的原因FIDO2其中的一部分——WebAuthn API——於 2015 年提交給 W3C。 WebAuthn API 已經整合到 Firefox 60 Nightly 版本中。該技術還相容視窗和安卓。蘋果是唯一尚未加入這項運動的參與者。
公鑰和私鑰
身份驗證如何與 FIDO2 和 WebAuthn 配合使用?網路使用者必須先選擇一個「驗證器系統」。這可能是關鍵尤比奇、連網手錶、USB 轉接器、智慧型手機的指紋辨識器、臉部或語音辨識系統等。 FIDO2 將依賴所選的身份驗證器來產生公鑰和私鑰。第一個將被發送到網站,該網站將其儲存在資料庫中。第二個仍然由網路使用者擁有,並且永遠不會傳達給第三方。
將來,當網路使用者想要登入時,他將啟動他的指紋辨識器或 Yubikey 金鑰,這將起到向線上服務發送使用私鑰簽署的身份驗證訊息的作用。該簽名將使用公鑰進行驗證,這將允許存取線上服務。
這種系統的優點是多方面的,首先是安全性。首先,網站不再需要儲存使用者的密碼,而只需要儲存他們的公鑰。因此,不再有任何識別碼外洩的風險,正如我們近年來在雅虎、Linkedin、Adobe 等公司所經歷的那樣。該技術對於中間人攔截攻擊也非常有彈性。要冒充用戶,攻擊者必須擁有私鑰和身份驗證器系統,否則他將無法向 Web 服務發送有效簽章。網路釣魚攻擊也很難實施,因為網站的網域名稱與 FIDO2 產生的金鑰以加密方式連結在一起。面對假網站,驗證器系統不會發送簽名。
就易用性而言,各有利弊。當然,使用者將不再需要絞盡腦汁去尋找一個他必須記住的好密碼。另一方面,它將依賴連接的身份驗證系統。如果是智慧型手機的指紋辨識器,他必須隨身攜帶才能存取線上服務。因此,我們將一個約束替換為另一個約束。但考慮到安全性方面的收益,這款遊戲顯然是值得的。現在,球落在了網站出版商的手中,他們必須實施這項技術,以便網路使用者能夠使用它。
