一直以來,在網站或服務上認證個人身分的方式多以輸入帳號、密碼為大勢主流,但也由於帳密外流事件頻繁,也讓這最原始的個人身分保全功能安全性越來越薄弱,在這個各種服務都上網的時代引發的隱私問題令人堪憂,日前萬維網聯盟與 FIDO 聯盟宣布 WebAuthn 將成為瀏覽器與平台的最新身分驗證標準。
※圖片來源:Pixabay
掰掰密碼? WebAuthn 成為新的網路身分認證標準
就在昨天,萬維網聯盟所發布的新聞稿中指出,眾所皆知地密碼已經失去它的作用,81% 的數據洩漏事件中多半是密碼太薄弱或一般,不僅是帳號被盜,也浪費不少資源與時間。根據 Yubico 最近的一項研究中,使用者每年花費 10.9 小時進入或(和)重置密碼,雖然傳統的多方驗證解決方案(MFA)增加了另一層安全性,但仍容易受到網路釣魚攻擊的影響,使用起來也較麻煩,所以很多使用者會選擇放棄。
※圖片來源:Pixabay
萬維網聯盟 (World Wide Web Consortium,簡稱 W3C )與 FIDO 聯盟正式宣布,Web 身分驗證(Web Authentication,簡稱 WebAuthn)規範已成為官方標準,而此一標準適用於各平台與瀏覽器,具備簡單和強大的認證能力,允許使用者選擇主要設備、生物識別或 FIDO 安全密鑰來登入線上帳戶。WebAuthn 已支援包含 Windows 10、Android、Google Chrome、Mozilla Firefox、Microsoft Edge 和 Apple Safari 瀏覽器,現在它是一個官方統一的 Web 標準,應該鼓勵更廣泛地於各網站採用 WebAuthn 而不是傳統密碼。
FIDO2 和 WebAuthn 的主要特點在於:
1. 安全性:FIDO2 加密登錄憑證在每個網站都是唯一的,生物識別或其他隱私(如密碼)永遠不會離開用戶的設備,也永遠不會存儲在服務器上。此安全模式消除了網絡釣魚,所有形式的密碼被盜和重複攻擊的風險。
2. 便利性:使用者透過指紋識別器、相機、FIDO 安全密鑰或個人移動設備等便捷方法登錄。
3. 隱私:由於 FIDO 密鑰對於每個網路站點具備特殊的唯一性,因此它們不能用於跨站點追踪你的使用行為。
4. 可擴展性:網站可以通過簡單的 API 調用,在消費者每天使用的數十億部設備上支援所有已加入的瀏覽器和平台。
Google 在 2 月份表示 Android 已通過 FIDO2 認證,這表示設備可以使用指紋和安全密鑰登錄帳戶而非密碼,這一變化會影響那些運行 Android 7 及更高版本的 Android 使用者,影響範圍大約有 10 億台裝置。