早在2018年4月,我们就报道了Fire fox开始支持一种名为WebAuthn的无密码认证新标准..其他主要浏览器遵循Chrome,Edge,然后Safari所有测试和实现它在2018年年底之前。认证标准现已由万维网联合会(W3C)和FIDO联盟宣布定稿并正式生效。
Web身份验证或WebAuthn规范允许用户无需记住密码即可登录网站。相反,用户可以使用指纹、USB安全密钥或智能手机或手表等移动设备等生物识别数据。W3C声称,这将使网站更加安全。
W3C在其新闻稿中说:“这一进展是在使世界各地的用户更加安全和可用方面迈出的重要一步。”
该联合会敦促网站和服务开始实施该功能,以创造一个更安全的环境,并允许其用户不必输入凭据。
W3C CEO杰夫(Jeff Jaffe)表示:“现在是时候让Web服务和企业采用WebAuthn,超越易受攻击的密码,帮助网络用户提高在线体验的安全性了。”W3C的建议建立了全网互操作性指南,为网络用户及其访问的网站设定了一致的期望。W3C正在努力在自己的网站上实施这一最佳做法。
关于生物识别技术比密码更安全的争论很少。几乎所有的智能手机制造商都将生物识别技术作为默认的认证方法。我们定期报告被窃取或泄露的密码和其他用户信息。尽管一再发出警告,但一些用户仍然使用“密码”或“123456”等弱密码。
W3C认为WebAuthn将消除与传统身份验证方法相关的许多问题。
“众所周知,密码已经失效。81%的数据泄露背后不仅有被盗、弱密码或默认密码,还有时间和资源的流失。虽然传统的多因素认证(MFA)解决方案,如SMS一次性代码增加了另一层安全性,但它们仍然容易受到钓鱼攻击,使用起来并不简单,而且选择率很低。有了WebAuthn,全球技术界走到了一起,为共享密码问题提供了一个共享解决方案。
WebAuthn还允许工人更快地工作。根据Yubico今年1月公布的一项研究,员工每年平均花费10.9小时,要么输入凭证,要么更换凭证。这一次计算出公司的平均年成本为520万美元。
不过,不要指望立即开始使用该标准。网站仍然必须将其纳入其认证协议。由于没有像特定的安全威胁那样紧迫的紧迫性,许多网站可能会花时间采用该标准。