无需输入密码即可浏览网页,这是“WebAuthn”的承诺,这是一种刚刚获得认可的身份验证技术。“候选人推荐”来自 W3C。这使其非常有可能成为未来的通用网络标准。
事实上,WebAuthn 并不是全新的。它是一个 Web API,源自称为 FIDO 的更广泛标准化工作2014年在网络巨头和某些高科技厂商的主导下出现。 FIDO 是一种身份验证技术,其目标是通过使用电子证书摆脱密码,同时消除用户的所有复杂性。另一个优点:它将使得依赖当今广泛使用的智能手机的生物识别系统成为可能。
FIDO第一个版本未能突破,这也是FIDO联盟联盟相对较快出现的原因FIDO2其中的一部分——WebAuthn API——于 2015 年提交给 W3C。这是一个明显的获胜策略,因为大多数浏览器发行商此后都表示了他们的支持。 WebAuthn API 已经集成到 Firefox 60 Nightly 版本中。它应该很快就会集成到 Chrome 和 Edge 中。该技术还兼容视窗和安卓。苹果是唯一尚未加入这一运动的参与者。
公钥和私钥
身份验证如何与 FIDO2 和 WebAuthn 配合使用?互联网用户首先必须选择一个“验证器系统”。这可能是一个关键尤比奇、联网手表、USB 适配器、智能手机的指纹识别器、面部或语音识别系统等。 FIDO2 将依赖所选的身份验证器来生成公钥和私钥。第一个将被发送到网站,该网站将其存储在数据库中。第二个仍然由互联网用户拥有,并且永远不会传达给第三方。
将来,当互联网用户想要登录时,他将激活他的指纹识别器或 Yubikey 密钥,这将起到向在线服务发送使用私钥签名的身份验证消息的作用。该签名将使用公钥进行验证,这将允许访问在线服务。
这种系统的优点是多方面的,首先是安全性。首先,网站不再需要存储用户的密码,而只需要存储他们的公钥。因此,不再有任何凭证泄露的风险,就像我们近年来在雅虎、Linkedin、Adobe 等公司所经历的那样。该技术对于中间人拦截攻击也非常有弹性。要冒充用户,攻击者必须拥有私钥和身份验证器系统,否则他将无法向 Web 服务发送有效签名。网络钓鱼攻击也很难实施,因为网站的域名与 FIDO2 生成的密钥以加密方式链接在一起。面对假冒网站,验证器系统不会发送签名。
就易用性而言,各有利弊。当然,用户将不再需要绞尽脑汁去寻找一个他必须记住的好密码。另一方面,它将依赖于连接的身份验证系统。如果是智能手机的指纹识别器,他必须随身携带才能访问在线服务。因此,我们将一个约束替换为另一个约束。但考虑到安全性方面的收益,这款游戏显然是值得的。现在,球落在了网站出版商的手中,他们必须实施这项技术,以便互联网用户能够使用它。
