万维网联盟和Fido联盟宣布WebAuthn：这意味着什么？

通常，在创建新的在线帐户时，没有太多选择。显然，您必须创建一个密码，对于大多数人来说，这意味着您必须采用以下两种方法之一-一种简单，易于记忆和/或重复使用的密码，这会使他们的帐户处于危险之中；或难以猜测的长密码，这很麻烦，难以记住。不言而喻，这两种选择都不是理想的。那么，有什么可以改变目前情况的方式吗？好吧，有，它实际上可能正在某个地方。

WebAuthn –无密码替代

WebAuthn是Web身份验证的缩写，是一种非专有标准，可促进网站与安全设备之间的通信。互联网联盟（WC3）和FIDO Alliance这两个在线联盟在过去的几年中一直在努力工作，但是这个概念的起源可以追溯到2014年FIDO Alliance的通用身份验证因子（UAF）API。

WebAuthn和UAF的目标都是提供一种新的安全的登录在线帐户的方式，而无需记住或输入任何密码。由于各种复杂的原因，UAF未能给我们的日常生活留下深刻的印象，但是WebAuthn似乎与众不同。

周一，WC3和FIDO 宣布 WebAuthn现在是正式的Web标准。简单来说，这意味着专家们有足够的信心开始建议Web和应用程序开发人员将其实施到他们的产品中。要了解所有这些将如何影响我们所有人，我们需要研究一下WebAuthn的工作方式。

WebAuthn如何工作？

从用户的角度来看，事情非常简单。我们的想法是，而不用输入用户名和密码，你要么用你的电脑或智能手机上的生物认证机制，或者你使用硬件令牌 ，可在钥匙环，并适用于USB，NFC，蓝牙，或进行类似的通信协议。根本没有登录凭据，这听起来像是一个吸引人的概念。但是安全方面呢？

尽管从表面上看这个过程很简单，但是在后台，WebAuthn登录是一个相当复杂的操作。它们全部基于公共密钥（也称为非对称）加密，这意味着涉及两个密钥-公共密钥和私有密钥。您的帐户中的每个帐户都会获得一对密码密钥，您的计算机或硬件令牌在注册时会生成一对密码密钥。公钥发送到服务提供商，私钥存储在您的设备上。当您尝试登录时，服务提供商会发送一个挑战，您的设备会对其进行签名并使用私钥进行加密。解密挑战并查看签名的唯一方法是使用公共密钥，这是服务提供商如何知道您的身份。

此方案有很多安全益处。首先，登录需要将两个密钥存储在两个不同的位置。即使骗子设法以某种方式窃取或拦截了您的公钥，但如果没有您记得永远不会离开设备的私钥，他们也将无法登录。

而且，与密码不同，不能猜测加密密钥被塞满 ，重用或被盗用 。换句话说，传统上对密码起作用的大多数攻击对WebAuthn方案均无效。

新的Web标准之所以引人注目，是因为它是技术创新的少数例子之一，它不仅可以提高可用性，而且可以带来更好的安全性。

因此，密码已失效，对吧？

虽然确实值得期待，但我们认为密码的消亡距离还有很长的路要走。毫无疑问，WebAuthn背后的技术是可靠的，但仍有一些障碍需要克服。

一方面，WebAuthn是一种网络标准，听起来很愚蠢，其经典意义上的“标准”一词在网络世界中有些忌讳。以密码为例。我们已经使用它们作为主要的登录机制已经有一段时间了，但是即使是现在，在它们首次出现几十年之后，我们仍然不能就什么是强密码和什么不是强密码达成共识。同样，尽管有明显的优势，但是在实现WebAuthn的速度方面，供应商似乎并没有处于同一页面上。

谷歌的Chrome浏览器是第一个支持WebAuthn的浏览器，但是直到几个月后，业界另一个著名的Firefox才实现了它。微软度过了愉快的时光，将WebAuthn整合到Edge中，而Apple仍在试验对Safari的支持。在移动环境中情况没有太大不同。上周，FIDO宣布不久，所有运行Android 7.0或更高版本的手机和平板电脑都将获得FIDO认证。 WebAuthn是FIDO2协议的核心，这意味着这些设备将有效地支持无密码登录。不幸的是，我们尚未看到有关何时将标准纳入Apple的iOS的任何信息。即使所有供应商都在其较新的设备上采用WebAuthn，您也不能忽略将遗留下来的大量旧系统。

当然，在硬件供应商采用它之后，网站和应用程序开发人员都需要将其实现为登录机制。换句话说，WebAuthn不太可能在不久的将来完全替换密码。在此之前，您需要确保您的帐户受到尽可能好的保护。

使用像Cyclonis Password Manager这样的密码管理应用程序是最好的方法。使用它，您可以创建长而复杂的密码，而不必担心会记住它们。在当今时代，依靠您的大脑来完成操作根本不是一个好主意，让Cyclonis Password Manager为您完成所有工作的最好的事情是浏览器扩展程序的自动填充和自动登录功能将带来更多的便利。 。