提升安全性,主流浏览器将迎来新的Web认证标准

谷歌,微软和Mozilla的网络浏览器很快将为用户提供由FIDO联盟和万维网联盟(W3C)构建的新的无密码认证标准,目前正处于最终审批阶段。

W3C已将新的认证标准WebAuthn推进到候选推荐标准(CR)阶段,这是最终批准Web标准之前的最后一步。预计将为全球用户提供更强大的Web身份验证,它已经在Windows,Mac,Linux,Chrome OS和Android平台上实施。

W3C的WebAuthn API为每个站点提供强大的,唯一的基于公钥的证书,从而消除了一个站点上的密码被盗用在另一个站点上的风险。WebAuthn可以集成到浏览器和Web平台基础架构中,为用户提供新的方法进行安全认证。

与FIDO的客户端到验证器协议(CTAP)规范一起,它是FIDO2项目的核心组件,它使“用户能够通过具有钓鱼安全性的桌面或移动设备轻松验证在线服务。”

CTAP使外部身份验证者能够通过USB,蓝牙或NFC将更安全的身份验证凭证传输到可访问Internet的设备(PC或手机)。

WebAuthn和CTAP都可以在今天使用,这样开发人员和供应商就可以在他们的产品和服务中实现对新认证方法的支持。有了主流的浏览器供应商提供支持,新标准应为所有互联网用户提供安全性更高、有硬件支持的FIDO身份验证保护。

“经历多年来越来越严重的数据泄露和密码凭证被盗,现在是时候终止服务提供商对易受攻击密码和一次性密码的依赖性,并为所有网站和应用程序采用网页仿冒FIDO身份验证”,FIDO联盟执行董事Brett McDowell说。

企业和在线服务提供商可以很快部署新的Web认证标准,以保护自己和他们的客户免受与密码相关的风险。新的FIDO2规范补充了现有的无密码FIDO UAF和第二因子FIDO U2F用例。所有FIDO2网络浏览器和在线服务均向后兼容经过认证的FIDO安全密钥。

这些标准目前正在主流的Web浏览器中实施,包括Chrome,Firefox和Microsoft Edge。FIDO表示,Android和Windows 10将具有对FIDO身份验证的内置支持。

该联盟表示,它很快将推出互用性测试,并计划为服务器,客户端和认证机构颁发符合FIDO2规范的认证。一致性测试工具已经在FIDO的网站上提供。

针对与所有FIDO认证器类型(FIDO UAF,FIDO U2F,WebAuthn和CTAP)互用性的服务器的新的Universal Server认证也正在进行中。

在具有FIDO身份验证器的设备上的浏览器中运行的Web应用程序可以调用公共API来启用用户的FIDO身份验证。开发人员可以在FIDO的新开发人员资源页面上了解更多信息。

使用FIDO2,用户可以从两个简单的方面受益,他们可以使用内部/内置身份验证器(例如PC,笔记本电脑和/或移动设备中的指纹或面部生物测定学)或外部身份验证器(安全密钥和移动设备),同时享受更安全的身份验证机制,凭据和生物识别模板永远不会离开用户的设备,帐户也不会受到使用被盗密码的网络钓鱼、中间人攻击和重放攻击。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-04-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏吴逸翔的专栏

海量服务实践:手 Q 游戏春节红包项目设计与总结(下篇)

本篇文章接上篇,主要讲解了手 Q 游戏春节红包项目系统保障、演戏验证和总结三个部分。团队从系统容灾/过载保护/柔性可用/立体监控方面做的一些工作,为了保障项目顺...

72500
来自专栏FreeBuf

复用代码引发悲剧:含漏洞的安卓ROM致10万用户受中间人攻击(MITM)影响

关于CyanogenMod CyanogenMod(发音:sigh-AN-oh-jen-mod。简称CM):Cyanogen团队是目前全球最大的Android第...

21450
来自专栏杨建荣的学习笔记

Oracle和MySQL的高可用方案对比(一)

关于Oracle和MySQL的高可用方案,其实一直想要总结了,就会分为几个系列来简单说说。通过这样的对比,会对两种数据库架构设计上的细节差异有一个基本的认识。O...

47270
来自专栏FreeBuf

PRMitM:一种可重置账号密码的中间人攻击,双因素认证也无效

在今年的IEEE研讨会上,来自以色列管理学术研究学院的研究人员展示了一种新的攻击方法。这种攻击方法被命名为PRMitM,意为“密码重置中间人攻击(Passwor...

32850
来自专栏安恒信息

存在漏洞的Java及Flash版本使用者众多

众所周知的是Java和Flash历来被攻击者所青睐,这多亏了它们巨大的装机量和众多的安全问题。但与此同时被攻击者所定为目标的用户们却没有这么乐观,...

21030
来自专栏安智客

TEE相关专利信息 (中篇,涵盖TEE各个方面)

[061] [发明公布] 双执行环境之间双向访问应用的方法 申请公布号:CN105592019A 申请公布日:2016.05.18 申请号:201410613...

28570
来自专栏深度学习那些事儿

win10系统崩溃(unexpected_store_exception)原因以及修复办法

博主使用的windows电脑为: 机械革命(MECHREVO)深海泰坦 X6Ti 多彩版 15.6英寸游戏本i7-6700HQ 8G 128GSSD+1T G...

1.2K40
来自专栏QQ会员技术团队的专栏

海量服务实践──手Q游戏春节红包项目设计与总结

1. 需求背景 1.1.红包类别 2017年的手Q春节游戏红包共有刷一刷/AR地图/扫福三种,如下图所示: ? 1.2.体验流程 虽然红包分三种,但在游戏业务...

29280
来自专栏腾讯架构师的专栏

让互联网更快的协议,QUIC 在腾讯的实践及性能优化

本文将主要介绍 QUIC 协议在腾讯内部及腾讯云上的实践和性能优化。

1.2K80
来自专栏安智客

TUI设计概要

TUI是TEE的一个重要基础模块。最初人们认识了解TEE最直观的展示就是TUI,早在指纹识别成为手机的标配之前,TEE的主要应用是围绕着TUI进行,但由于普适性...

20640

扫码关注云+社区

领取腾讯云代金券