lswcap
万维网联盟(W3C)是一个促进Web技术标准化的组织,它正式推荐了Web身份验证(WebAuthn.Web身份验证),这是一种没有密码的新Web身份验证API。它与Fast IDentity在线联盟(FIDO Alliance)共同开发,这是一个旨在标准化新的在线认证技术的非营利组织。
通常使用ID和密码登录现有Web服务。但是,在此过程中,安全风险是由密码泄漏或重用引起的。因此,Web身份验证是一种根本不使用密码的新身份验证方法。
Web身份验证类似于使用双管齐下的安全密钥,但它使用生物识别技术,例如设备中嵌入的指纹身份验证和登录时的安全密钥而不是密码。此外,生物识别身份验证并不意味着直接将指纹信息存储在网络服务。
例如,当在服务中注册指纹时,生成由与指纹对应的公钥密码系统生成的秘密密钥和公钥,并且仅将公钥发送到服务侧。如果私钥存储在设备上并使用相应的指纹进行身份验证,则只能删除私钥。因此,即使公共密钥从服务器泄露,如果没有用于注册的设备,也无法登录。
此时使用的设备也必须通过FIDO2认证。对于Android,FIDO2是最新的操作系统,可用于Web身份验证。
它已经配备了Windows 10,Android,Chrome OS,Chrome OS,Firefox,Safari和其他网络浏览器。但是,有效服务的数量仍然有限,因此有必要在未来扩展服务。
81%的数据泄漏事故是由于使用易于猜测的密码或盗用密码造成的。考虑用户输入密码或设置密码的年数很重要。 W3C建议Web服务和公司需要支持比基于密码的安全身份验证更好的Web身份验证,并提高用户安全性和可操作性。
当然,毫无疑问,W3C是否推荐了Web标准建议。这取决于公司和服务。然而,支持W3C的Airbnb,阿里巴巴,苹果,谷歌,IBM,英特尔,微软,Mozilla,PayPal和SoftBank等公司在全球市场占有很高的份额,很可能会改变系统以支持身份验证。欲了解更多信息,请点击这里 。
Add comment