1. 聚能聊>
  2. 话题详情

三大浏览器承诺支援FIDO2身分验证,免输密码不是梦?

2018 年 4 月 10 号,W3C 官方宣布: FIDO 联盟与 W3C 联合取得 Web 认证标准的里程碑式进展,在全球实现更简单更强大的 Web 认证方式。在 Google Chrome、Microsoft Edge 和 Mozilla Firefox 的支持下,FIDO2 项目以保护全球互联网用户为目标,开启了一个普适、安全、强认证方式的新时代! —— 这将打通用户和 Web 的终极壁垒,给 Web 的体验带来质的飞跃。

W3C 官方全文
2018年4月10日— FIDO联盟(FIDO Alliance)与W3C(World Wide Web Consortium)联合取得了Web认证标准的重大进展,为全球用户带来更简单、更强大的Web认证方式。
由FIDO提交的文档Web Authentication(以下称WebAuthn),已经正式进入W3C候选推荐标准(Candidate Recommendation,简称CR)阶段。这份规范文档由W3C Web认证工作组(Web Authentication Working Group)发布,该组由30多位来自不同组织的会员单位代表组成。进入CR阶段意味着该规范将最终成为W3C正式标准 (Recommendation,简称REC),W3C在此阶段邀请在线服务商和Web应用开发者对WebAuthn进行技术实现。
image
WebAuthn在浏览器和跨站点设备上,定义了一个可以合并到浏览器中的标准Web API,以及相关的Web平台基础设施,为用户提供在Web上进行安全认证的新方法。 WebAuthn由W3C与FIDO联盟合作开发,它连同FIDO的客户端到认证器协议规范(Client to Authenticator Protocol,CTAP),构成了FIDO2 项目的核心组件。
CTAP启用外部认证器(例如安全秘钥或手机)通过USB、蓝牙、或者NFC向用户的互联网接入设备(电脑或手机)局部传递强认证证书。FIDO2规范可以让用户能够轻松且安全地通过桌面或移动设备验证在线服务。
Google、Microsoft以及Mozilla都已承诺在其浏览器中支持WebAuthn标 准,并已经开始在Windows、Mac、Linux、Chrome OS以及Android平台上进行实现。WebAuthn和CTAP规范的出现,使开发人员和供应商能够迅速将对下一代FIDO身份验证的支持切实部署到其产品和服务中。
FIDO2标准化工作的完成,W3C WebAuthn标准的推进,以及浏览器供应商对实现这一标准的承诺,都预示着一个新时代的开启,一个为所有互联网用户提供普适的、硬件支持FIDO身份验证保护的时代。
企业和在线服务提供者希望保护自己和他们的客户免于遭受密码风险—包括网络钓鱼,中间人攻击和滥用窃 取凭证—可以通过浏览器或通过外部认证器,快速部署基于标准的强认证。通过部署FIDO身份验证,在线服务可以在用户每天使用的互动操作系统(如手机和安全密钥)中为用户提供选择。
新的FIDO2规范在浏览器和操作系统中的标准化将进一步扩大FIDO身份验证的范围,FIDO身份 验证被全球监管机构和标准制定机构引用,并通过Google、Facebook、NTT DOCOMO、美国银行等企业所提供的服务,在全球范围内用于数亿台设备,用户超过35亿。 新规范对现有的无密码FIDO UAF和第二因素FIDO U2F用例进行了补充,并扩展了FIDO认证的可用性。FIDO2网络浏览器和在线服务完全向后兼容所有之前获得认证的FIDO安全密钥。
FIDO即将启动互操作性测试,并将为符合FIDO2规范的、客户端和认证器颁发认证凭证。人们可以在FIDO的网站上 找到一致性测试工具。 此外,FIDO将为与所有FIDO认证器类型(FIDO UAF,FIDO U2F,WebAuthn,CTAP)互操作的服务器引入新的通用服务器认证。
WebAuthn 和 FIDO2 项目带来的益处
W3C的WebAuthn API是一种可融入浏览器和相关Web平台基础架构的标准WebAPI,可为每个站点提供强大、唯一且基于公钥的凭证,消除了从某一站点窃取密码后被用于其他站点的风险。 使用FIDO身份验证器加载到设备上的在浏览器中运行的Web应用程序,可以通过密码操作代替密码交换,或除了密码交换之外,还可为服务提供者和用户带来诸多益处:
更简单的身份验证:用户只需使用一种手势登录
PC、笔记本电脑和/或移动设备中的内部或内置认证器(如指纹或面部生物识别技术)
使用CTAP进行设备到设备认证的外部认证器(如安全密钥和移动设备),一个由FIDO联盟开发的用于补充WebAuthn的外部认证器协议
更强的身份验证:FIDO身份验证比单纯依赖密码和相关身份验证方式要强大得多,并具有以下优点
用户证书和生物识别模板永远不会离开用户的设备,也不会存储在服务器上
帐户可以免受网络钓鱼,中间人攻击和使用被盗密码的反复攻击
开发人员可以开始在FIDO新的开 发者资源页面上创建利用FIDO身份验证的应用程序和服务。

那么
1、你知道哪些记住密码功能的实现或支持方式?是否存在安全问题、担忧?

2、你有多久没有输入过密码了?如何记忆、存储众多的密码?

3、你对FIDO了解多少?看好 FIDO2 身分验证技术吗?为什么?

参与话题

奖品区域 活动规则 已 结束

  • 奖品一

    阿里云代金券 x 5

  • 奖品二

    手机话费 x 3

  • 奖品三

    品牌U盘 x 1

54个回答

0

学长_

1、你知道哪些记住密码功能的实现或支持方式?是否存在安全问题、担忧?
简单不太重要的密码用浏览器记住密码保存,稍微重要点的用LastPass、1password,目前没发生过安全事件,不过安全隐患肯定是有的,出去一趟,别人过来我电脑旁...

2、你有多久没有输入过密码了?如何记忆、存储众多的密码?
有一些跟财务相关的基本都是记在心里的,熟的不能再熟了,其余的基本存在1password里,还有部分放在加密的excel里

3、你对FIDO了解多少?看好 FIDO2 身分验证技术吗?为什么?
只知道FIDO是关于快速身份验证的,其他不太了解。如果能够实现文中所说的既简单又强大的身份验证是再好不过了,不用每次一开1password,出来一堆密码,有点吓人...

1

巴洛克上校 已获得品牌U盘 复制链接去分享

收集u盘来了

1、你知道哪些记住密码功能的实现或支持方式?是否存在安全问题、担忧?

要说记住密码的话,最常见的是Cookies吧一旦用户勾选了“记住密码”选项,那么服务器就会生成一个cookie,其中保存了三样东西:

1. 用户名:明文存放
2. 登录序列:一个被MD5散列过的随机数。这个登录序列就代替了密码的功能,因为密码是不能存放在cookie中的。这样每次登录的时候浏览器会自动将cookie中的用户名和登录序列发送给服务器,验证是否与服务器中的cookie内容相同)
3. 登录token:一个被MD5散列过的随机数。仅在一个登录session内有效,新的登录session会更新它。

如果说是是浏览器或者手机带的保存密码,的话还真不是特别了解,我感觉是通过记录用户访问的网站url和输入的内容加密后保存到对应服务器,之后通过你在访问,识别url找到对应name自动进行填充,我记得苹果的是加密保存在手机的一个特定芯片,密钥保存在服务器里,具体记不太清了。安全性还可以吧,重要的密码还是别保存的好。

要说支付方式,扫码支付,人脸识别,近场支付,指纹支付,声波支付,安全性可以不然谁还用。就像飞机最安全的交通工具也有出事情的时候。

2、你有多久没有输入过密码了?如何记忆、存储众多的密码?

刚刚还在输密码,密码记忆当然死记硬背啊,不重要的保存啊,我上学弄过一个加密工具,用户名加密当密码用,一大堆乱码,每次用都要去翻译,太费劲后来不用了

3、你对FIDO了解多少?看好 FIDO2 身分验证技术吗?为什么?

不太了解,苹果的密码应该属于这种吧,看好 FIDO2 身分验证技术安全高效省去记密码环节,好奇如果用区块链进行验证,一个人id绑定其他人无法使用会如何

微wx笑 回复

欣赏你这份自信!

评论
1

小可同学 已获得手机话费 复制链接去分享

1、你知道哪些记住密码功能的实现或支持方式?是否存在安全问题、担忧?
指纹支付,人脸支付!!指纹支付是很不安全的其实,手机丢了,屏幕上全都是指纹,用那个指纹软套,分分种搞定!!人脸支付相对来说还是比较安全的。

2、你有多久没有输入过密码了?如何记忆、存储众多的密码?
我密码有固定前缀比如:92s,o-xxxxx
xxxx是某个产品的全拼或者半拼,比如华为密码。就是hw或者huawei。当然密码对于我来说也分重要和不重要,重要的比如前缀某个字母大写或者小写之类的!!我所有的密码都是这么记住的。

3、你对FIDO了解多少?看好 FIDO2 身分验证技术吗?为什么?
以后登入网路服务不再只能输入密码,也可以其他手机或指纹、人脸、声音、虹膜等方式登入。我可以理解成这个样子吗?
这种类似于多端登录,不过这样也好!!但是密码也是很安全的!加入生物验证吧!!!高级一点,dna录入把!!哈哈

1

sinb520 已获得阿里云代金券 复制链接去分享

1、你知道哪些记住密码功能的实现或支持方式?是否存在安全问题、担忧?
答:常见的就是浏览器的Cookies吧,是有点担心安全问题,但是还好,毕竟特别重要的密码不会选择记住密码。
2、你有多久没有输入过密码了?如何记忆、存储众多的密码?
答:每天都在输啊,我一般把账号密码记在一个专门的本子上,放在书包里随身携带,本科的时候参加学校组织的创新创业项目还开发过一个安卓APP专门用来生成和管理复杂的密码。
3、你对FIDO了解多少?看好 FIDO2 身份验证技术吗?为什么?
答:以前从来没听说过,今天看到聊主的详细介绍算是长知识了,还是挺看好的吧,毕竟技术在不断进步,生活也在变得越来越方便。

1

海阔天空yy 已获得手机话费 复制链接去分享

1、你知道哪些记住密码功能的实现或支持方式?是否存在安全问题、担忧?
现在大部分都是吧,网银,支付宝,微信支付
现在大部分手机可以找回密码或修改密码,假如说手机丢了,很可能密码也能被人修改。这是个大问题

2、你有多久没有输入过密码了?如何记忆、存储众多的密码?
现在手机支付这么流行,密码应该是经常会用的
密码有多种方式,但为了好记,一般最好是有一套密码生成规则,这个规则只能自己知道,并且每个应用的密码还不一样
这样即安全又好记。

3、你对FIDO了解多少?看好 FIDO2 身分验证技术吗?为什么?
原来不知道,现在大该知道一些,
应该看好吧,越这全越方便的技术,总会是有市场的

1

guoshengtao 已获得阿里云代金券 复制链接去分享

1、你知道哪些记住密码功能的实现或支持方式?是否存在安全问题、担忧?
Cookies啊,localstorage啊,登录网站常用的。肯定存在安全问题。

2、你有多久没有输入过密码了?如何记忆、存储众多的密码?
银行密码倒是经常输,看工资有多少有没有到账啥的,其他的很少输密码,包括支付宝全程指纹,非常方便啊。我一般注册的密码什么的,都会放到手机中的备忘录。

3、你对FIDO了解多少?看好 FIDO2 身分验证技术吗?为什么?
看了这个才知道;看好,很先进,很安全,有不错的前景。

1

sqtnbyy 已获得阿里云代金券 复制链接去分享

1、你知道哪些记住密码功能的实现或支持方式?是否存在安全问题、担忧?
浏览器保存密码用的最多,确实担忧,可是没办法密码太多哪里记得住!

2、你有多久没有输入过密码了?如何记忆、存储众多的密码?
几乎天天输入密码,需要许多账号之间切换那,浏览器也记不过来。
使用相近的密码,甚至多个账号使用同一个密码,建个txt记录密码,都有!

3、你对FIDO了解多少?看好 FIDO2 身分验证技术吗?为什么?
初次听说,希望可以解决身份校验的问题。

0

浮生递归 已获得阿里云代金券 复制链接去分享

1、你知道哪些记住密码功能的实现或支持方式?是否存在安全问题、担忧?
很有名的密码管理工具keepass和谷歌浏览器自带密码保存功能都不错。当然,身为程序员,我是不会用这些产品的,毕竟只要数据在别人手里,就有被蹂躏的可能。特别是重要的密码。必须是用自己的算法加密后,保存在自己的系统里。万一被脱裤,泄漏的也是无法破解的乱码。

2、你有多久没有输入过密码了?如何记忆、存储众多的密码?
基本都靠输的,很少有靠自动登录。倒是手机端指纹解锁习惯了,有些密码还真快忘记了。密码确实很多,到现在至少有100多套了。所以不得不自己做了个密码管理工具来保存。能记就记,忘记了就在工具里查一下。

3、你对FIDO了解多少?看好 FIDO2 身分验证技术吗?为什么?
线快速身份认证标准,主要包含UAF和U2F两套协议,以非对称算法为基础,支持多种验证方式,如指纹、蓝牙设备等。现在密码的记忆问题让大众越来越感觉到难受,所以这种便捷的认证方式,一定会让大众欣喜若狂的。

0

aoteman675 已获得阿里云代金券 复制链接去分享

1、你知道哪些记住密码功能的实现或支持方式?是否存在安全问题、担忧?
手势识别、指纹识别、人脸识别。现在一般都是这三种。指纹识别不怎么可靠,之前报道有一种破解方法。人脸识别,都需要配合一定的动作来验证是否为活体。
2、你有多久没有输入过密码了?如何记忆、存储众多的密码?
一般在自己的个人电脑上都是记住密码的,很多网站都是默认登录,什么密码都不知道,如果记不得了就用手机号找回修改密码。
3、你对FIDO了解多少?看好 FIDO2 身分验证技术吗?为什么?
身份验证需要更多的硬件传感支持吗?FIDO是对目前身份验证技术的改进,很大的程度上可以验证为本人操作。

1

嘉德game 复制链接去分享

不知道讲的对不对,欢迎指正。用生物识别代替密码,就如同指纹解锁,指纹支付,但背后,还是需要输入一个秘密,如手机,支付宝,不能完全脱离密码。设置一个安全性高的秘密,每个网站不同密码,平时不用输入,要用的时候,却容易忘记,都是现场重置。

0

红桃皇后 复制链接去分享

诚信为本 信用中国
ce3e4e4a1c0046efbf958362323acf21_888a040cf6e74fc78883d7d64b8a0bb4.jpg

0

1496217544221305 复制链接去分享

免密最重要的是安全,有密又怕记错或者忘记

0

1730351745576651 复制链接去分享

密码全靠脑来记,所以有时候太久不用的账号会忘掉密码。这个感觉就比较好。

0

djmanson 复制链接去分享

这个可以有

0

1921624138597020 复制链接去分享

不错

0

1921624138597020 复制链接去分享

科技发展很快

0

l-折木 复制链接去分享

互联网是越来越强大了

0

1574814262971946 复制链接去分享

我也不是很清楚

0

1419823064647295 复制链接去分享

不错

0

风景8 复制链接去分享

不错

3