使用无密码身份验证，让我们离WebAuthn更近了一步

万维网联盟（W3C）和FIDO联盟今天宣布，WebAuthn（“Web认证”）的新规格已被提升到候选推荐阶段，即Web标准流程的倒数第二阶段。

WebAuthn是一项规范，允许浏览器将硬件身份验证设备（USB，蓝牙或NFC）提供给Web上的站点。这些硬件设备使用户能够在不需要用户名和密码的情况下向网站证明自己的身份。该规范是作为开发安全认证系统的行业机构FIDO与负责监督Web标准开发的行业组织W3C共同开发的。

借助支持WebAuthn的浏览器和网站，用户可以使用集成的生物识别硬件（例如广泛部署的指纹和面部识别系统）和外部认证系统（如流行的YubiKey USB硬件）登录。使用WebAuthn，用户凭证永远不会离开浏览器，也不会使用任何密码，从而为防止出现钓鱼网站，中间人攻击和重放攻击，以此提供强有力的保护。

微软，Google和Mozilla都致力于支持WebAuthn。Chrome 67和Firefox 60都将在5月份发布稳定版本，默认情况下都会启用WebAuthn。

WebAuthn建立在以前的FIDO规范上，称为通用认证因子（UAF）。UAF在主流浏览器中的表现并不明显，其说明书中并没有说清楚它如何与移动浏览器配合使用。WebAuthn得到了各大浏览器厂商的大力支持，并且也被设计得更加通用。它能够处理更广泛的身份验证因素，不仅涵盖生物识别和硬件身份验证程序，还包含PIN或甚至更多基本测试，这些测试仅验证用户是否在场，而不会识别该用户的身份。

随着WebAuthn的到来，广泛采用无密码身份验证将更变得为实用。我们当然不会在一夜之间看到密码的终结，但它在被新技术替换之前，这暂时是一项可以信赖的技术。