WebAuthn离流行还有多远?
By Forsaken
2013 年 2 月,一个专注于在线验证技术的联盟 FIDO (Fast IDentity Online)成立,致力于建立各种各样的在线技术标准,包括相关生物技术等。2016 年 5 月,W3C (万维网联盟)发布了新一代的 Web 身份验证标准 WebAuthn。WebAuthn 是 FIDO2 的核心组件之一,解决的是 Web 端身份验证以及公钥加密的需求。
简单来说,就是登陆的时候插上一个特殊的 U 盘,至于还要不要再手工输一个密码,那取决于网站设计者的想法。所谓特殊的 U 盘,其实是经过特殊安全加固的 USB 设备。
如果你用过网银的 U 盾,那大概已经明白怎么个意思了。然而网银 U 盾有自己的技术标准,针对 Web 登陆的 FIDO2 目前并不被广大银行所接受,目前已知能支持 FIDO 设备(比如 YubiKey)的大银行貌似只有美国银行。
WebAuthn 好处之一是可以防止钓鱼攻击,密码泄漏的几率将大幅度降低。另一方面,WebAuthn 可以方便地进行授权管理。最近 CloudFlare 针对其零信任服务开始推广 YubiKey,给其顾客 10 刀的优惠价,还是有点吸引力的。
另外,YubiKey 也可以用于一些特殊场景,比如在香港反送中运动时,YubiKey 的主要供应商 Yubico 曾提供了 500 套 YubiKey 给示威者,用于加强特殊人群的信息安全。
目前来说,手工密码登陆仍然是 Web 的主流,一些用户信任 Lastpass 等服务,那么就是必须完全信任其背后的服务商。当然,命运最终还是得掌握在自己手里,WebAuthn 的推广还是需要网站开发者和用户的共同努力。
Twitter: @fossflow
All rights reserved by FossFlow CC4.0-BY-SA-NC
其他事件
© Copyright FossFlow team, all rights reserved.
HTML template:
© Copyright 2016-Tech News . Design by: uiCookies Technology News Magazine