不用再輸入帳號密碼!Chrome與微軟Edge宣布支援免密碼登入新標準
普遍來說,每項網路服務與會員都搭配一組帳號加上密碼,當愈多不同服務出現時,單一用戶要管理、記憶的帳號、密碼也愈來愈多。如果疏於管理,駭客一取得某組帳號密碼,通常也能順勢入侵其他帳號、盜取隱私資料。
為了改變現狀、解決用戶帳號密碼複雜性的FIDO聯盟(Fast IDentity Online),與國際標準組織W3C(World Wide Web Consortium)同時聲明,開放標準的快速登入機制WebAuthn,將正式在未來幾個月降臨Chrome與Edge瀏覽器。
Chrome與微軟Edge瀏覽器宣布支援免密碼登入機制WebAnthn,可望帶動新登入方式興起。
根據Netmarketshare資料,目前Chrome瀏覽器全球市占為60%、Firefox為12%、Edge則有4%。換句話說,這項新聲明將為WebAuthn的瀏覽器支援普及率創下重要里程碑,如果加上已經支援的Firefox,WebAuthn已經準備支援全球4分之3的網路流覽應用。
FIDO聯盟推的WebAuthn,強調透過指紋、臉部辨識相機、USB Token的認證方式,來取代密碼登入。另外,FIDO的標準建立於零知識證明系統上,代表用戶帳號並不和任何特定一串文字綁定,讓傳統駭客方式難以突破安全防護。
WebAuthn又是開放標準,任何網路開發者都能夠導入這項機制,有了Chrome瀏覽器的支持,可望見到更多新登入方式來取代既有密碼機制。從裝置來看,也可能看到更多支援指紋辨識感應的PC現身。
至於另一大瀏覽器Safari,並未對此作出任何評論,雖然蘋果也是參與此標準開發者之一,還未知是否會宣布支援WebAuthn。
三大瀏覽器承諾支援FIDO2身分驗證,免輸密碼不是夢
專門推動線上快速身分驗證的FIDO Alliance與負責制定網路標準的全球資訊網路聯盟(World Wide Web Consortium,W3C)周二(4/10)宣布,包括Google Chrome、Microsoft Edge與Mozilla Firefox等瀏覽器都已承諾將支援FIDO2身分驗證規格,未來藉由瀏覽器存取網路服務將有除了輸入密碼以外的其它身分驗證服務。FIDO2的WebAuthn與CTAP兩項核心規格也在周二一併出爐。
FIDO2是由W3C的網路驗證(Web Authentication,WebAuthn)規格與FIDO的客戶端至驗證器協定( Client-to-Authenticator Protocol,CTAP)所組成,讓使用者不論是在桌面或行動環境中都可藉由常見的裝置輕易執行網路服務的身分驗證。
其中,WebAuthn定義了一個標準化的Web API,該API可被植入瀏覽器或相關的網路平台架構中,以讓網路服能使用FIDO驗證;CTAP則允許諸如手機或FIDO安全鑰匙等外部裝置能搭配WebAuthn使用,以作為桌面應用程式或網路服務的身分驗證器。
藉由WebAuthn,使用者將能直接在桌機、筆電或行動裝置上以指紋、虹膜或人臉登入服務。若搭配CTAP,使用者可先以手機瀏覽器註冊某個服務,並選擇驗證機制,這些驗證機制可以是PIN碼、指紋、虹膜、聲音或臉部辨識,當使用者要從桌機或筆電的瀏覽器登入該服務時,就會看到以手機登入的選項,當於手機上完成使用者最初選擇的驗證機制時,即可順利於桌面瀏覽器上登入服務。
相關標準將能解決單純使用密碼的眾多問題,包括忘記密碼、網釣攻擊、中間人攻擊,或是密碼遭竊等,強化身分驗證的安全性。
FIDO Alliance表示,除了Google、微軟與Mozilla都承諾要在瀏覽器中支援WebAuthn標準之外,相關標準也已開始被導入Windows、macOS、Linux、Chrome OS及Android等平台上,WebAuthn與CTAP規格的問世將有助於開發人員與製造商開始打造支援FIDO2的服務或產品。
WebAuthn目前仍處於W3C的推薦標準階段(Candidate Recommendation,CR),意謂著它已通過W3C成員組織與公眾的評審,只差一步就能成為正式標準。而Google、微軟與Mozilla皆已準備就緒,Google計畫讓WebAuthn成為Chrome 67的預設功能,Mozilla也決定於Firefox 60中讓WebAuthn成為預設功能,微軟亦已開始於Microsoft Edge中部署WebAuthn,並將整合微軟的Windows Hello生物辨識服務。
FIDO Alliance近期內即會展開互通性測試,以認證那些符合FIDO2規格的伺服器、用戶端與驗證器。
