萬維網聯盟和Fido聯盟宣布WebAuthn：這意味著什麼？

通常，在創建新的在線帳戶時，沒有太多選擇。顯然，您必須創建一個密碼，對於大多數人來說，這意味著您必須採用以下兩種方法之一-一種簡單，易於記憶和/或重複使用的密碼，這會使他們的帳戶處於危險之中；或難以猜測的長密碼，這很麻煩，難以記住。不言而喻，這兩種選擇都不是理想的。那麼，有什麼可以改變目前情況的方式嗎？好吧，有，它實際上可能正在某個地方。

WebAuthn –無密碼替代

WebAuthn是Web身份驗證的縮寫，是一種非專有標準，可促進網站與安全設備之間的通信。互聯網聯盟（WC3）和FIDO聯盟是兩個在線聯盟，在過去的幾年中一直在進行研究，但是這個概念的起源可以追溯到2014年FIDO Alliance的通用身份驗證因子（UAF）API。

WebAuthn和UAF的目標都是提供一種新的安全的登錄在線帳戶的方式，而無需記住或輸入任何密碼。由於各種複雜的原因，UAF未能給我們的日常生活留下深刻的印象，但是WebAuthn似乎與眾不同。

週一，WC3和FIDO 宣布 WebAuthn現在是正式的Web標準。簡單來說，這意味著專家們有足夠的信心開始建議Web和應用程序開發人員將其實施到他們的產品中。要了解所有這些將如何影響我們所有人，我們需要研究一下WebAuthn的工作方式。

WebAuthn如何工作？

從用戶的角度來看，事情非常簡單。我們的想法是，而不用輸入用戶名和密碼，你要么用你的電腦或智能手機上的生物認證機制，或者你使用硬件令牌 ，可在鑰匙環，並適用於USB，NFC，藍牙，或進行類似的通信協議。根本沒有登錄憑據，這聽起來像是一個吸引人的概念。但是安全方面呢？

儘管從表面上看這個過程很簡單，但是在後台，WebAuthn登錄是一個相當複雜的操作。這些都是基於公共密鑰（也稱為非對稱）加密技術的，這意味著涉及到兩個密鑰-公共密鑰和私有密鑰。您的帳戶中的每個帳戶都會獲得一對密碼密鑰，您的計算機或硬件令牌在註冊時會生成一對密碼密鑰。公鑰發送到服務提供商，私鑰存儲在您的設備上。當您嘗試登錄時，服務提供商會發送一個挑戰，您的設備會對其進行簽名並使用私鑰進行加密。解密挑戰並查看簽名的唯一方法是使用公共密鑰，這是服務提供商如何知道您的身份。

此方案有很多安全益處。首先，登錄需要將兩個密鑰存儲在兩個不同的位置。即使騙子設法以某種方式竊取或攔截了您的公共密鑰，但如果沒有您可能永遠不會離開設備的私有密鑰，他們也將無法登錄。

而且，與密碼不同，不能猜測填充 ，重用或偽造了加密密鑰。換句話說，傳統上對密碼起作用的大多數攻擊對WebAuthn方案均無效。

新的Web標準之所以引人注目，是因為它是技術創新的少數例子之一，它不僅可以提高可用性，而且可以帶來更好的安全性。

因此，密碼已失效，對吧？

雖然確實值得期待，但我們認為密碼的消亡距離還有很長的路要走。毫無疑問，WebAuthn背後的技術是可靠的，但仍有一些障礙需要克服。

一方面，WebAuthn是一種網絡標準，聽起來很愚蠢，其經典意義上的“標準”一詞在網絡世界中有些忌諱。以密碼為例。我們已經使用它們作為主要的登錄機制已經有一段時間了，但是即使是現在，在它們首次出現幾十年之後，我們仍然不能就什麼是強密碼和什麼不是強密碼達成共識。同樣，儘管有明顯的優勢，但是在實現WebAuthn的速度方面，供應商似乎並沒有處於同一頁面上。

谷歌的Chrome瀏覽器是第一個支持WebAuthn的瀏覽器，但是直到幾個月後，業界另一個著名的Firefox才實現了它。微軟度過了愉快的時光，將WebAuthn整合到Edge中，而Apple仍在試驗對Safari的支持。在移動環境中情況沒有太大不同。上週，FIDO宣布不久，所有運行Android 7.0或更高版本的手機和平板電腦都將獲得FIDO認證。 WebAuthn是FIDO2協議的核心，這意味著這些設備將有效地支持無密碼登錄。不幸的是，我們尚未看到有關何時將標準納入Apple的iOS的任何信息。即使所有供應商都在其較新的設備上採用WebAuthn，您也不能忽略將遺留下來的大量舊系統。

當然，在硬件供應商採用它之後，網站和應用程序開發人員都需要將其實現為登錄機制。換句話說，WebAuthn不太可能在不久的將來完全替換密碼。在此之前，您需要確保您的帳戶受到盡可能好的保護。

使用像Cyclonis Password Manager這樣的密碼管理應用程序是最好的方法。使用它，您可以創建長而復雜的密碼，而不必擔心會記住它們。在當今時代，依靠您的大腦來完成操作根本不是一個好主意，讓Cyclonis Password Manager為您完成所有工作的最好的事情是瀏覽器擴展程序的自動填充和自動登錄功能將帶來更多的便利。 。