W3C和FIDO联盟工作以消除网络密码

这万维网联盟（W3C）最近宣布，它正在启动Web身份验证的新标准工作，该标准将为网络上的基于密码的日志提供更安全，更灵活的替代方案。

W3C的身份验证工作将基于FIDO 2.0 Web API来自FIDO联盟，这将使强大的加密操作能够代替密码交换。

FIDO联盟执行董事Brett McDowell说：“我们的任务是通过开发和全球采用技术规范来彻底改变网络身份验证，这些技术规格取代了世界上对密码的依赖，并具有可互操作的强验证。” “随着W3C接受FIDO 2.0提交，我们正在实现这一任务。”

FIDO 2.0协议采用公共密钥密码学，该密钥密码学依赖用户的设备在注册过程中生成密钥对。用户的设备保留了生成的私钥，并将公共密钥运送到服务提供商。服务提供商保留此密钥，然后将其与用户的帐户关联。当收到登录请求时，系统会发出挑战，必须由私钥持有人签署作为响应。该协议可容纳包含生物识别传感器的嵌入式和外部身份验证设备，例如智能手机和平板电脑。

根据W3C的说法，Web身份验证工作将在Web密码学API上进行以前的W3C工作，以及Web应用程序安全规范的持续工作。

W3C首席执行官Jeff Jaffe博士说：“我们的目标是将整个开放网络平台提高到更高的安全标准，并与行业，学术专家和其他标准组织合作，以确保满足特定的Web安全需求。” “我们邀请广泛的参与以在这个首要任务上共同努力，以使网络在今天和可预见的将来尽可能安全。”

W3C已经形成了一个新的网络身份验证工作组这将集中在身份验证工作上。该工作组的第一次会议将于3月4日在旧金山举行，方便地参加参加RSA美国会议的人们。

Wendy Seltzer, Technology and Society Domain Lead at W3C, says she expects the new Web authentication work to close an important gap in Web security methods: “We've seen much better authentication methods than passwords, yet too many Web sites still use password-based log-ins. Standard Web APIs will make consistent implementations work across the Web ecosystem. The new approach will replace passwords with more secure ways of logging into Web sites, such as using a USB key or激活智能手机，对于任何想要与用户保持持续关系的Web应用程序都是有用的。”

Seltzer鼓励行业利益相关者活跃于工作组。 Seltzer说：“参与W3C提高网络安全努力的开发人员和工程师敏锐地意识到需要升级协议的必要性，而不会破坏数十亿人依赖的网络。” “我们非常鼓励那些有兴趣帮助W3C建立更安全的网络以参与其中的人。”

生物识别部门的公司已开始接听该电话。 Ramesh Kesanupalli，创始人足够的实验室noted: “The W3C's new Web Authentication work, based upon the FIDO Alliance submission of FIDO 2.0 Web APIs, is a huge step towards realizing our vision of strong authentication using strong cryptographic operations instead of passwords. The W3C work drives us towards standards-based adoption by major browsers and enables consumers and organizations to achieve both an improved user experience and improved security. As a founder of the FIDO Alliance and one of the organizations to submit FIDO 2.0 Web API到W3C，很高兴看到提交的内容从标准路径上移动。”

文章主题

生物识别技术|网络安全|FIDO联盟|足够的实验室|在线身份验证|密码|安全