去年我們曾經報道過 Firefox 、 Chrome 等瀏覽器相繼支援由 FIDO 聯盟提出的新一代網站認證標準 WebAuthn ,而制訂互聯網標準的組織 W3C 就在美國時間 3 月 4 日宣布 WebAuthn 正式成為 無密碼認證的保安新標準,各網站和裝置只要整合有關 API 之後,用戶就可以透過生物認證、手機或 FIDO 保安鍵等方式,來進行無密碼身分認證。
WebAuthn 是 FIDO 聯盟制訂的 FIDO2 認證技術中的核心部分,聯盟由 Google 、 Microsoft 、 Mozilla 、 Intel 、 ARM 、 Amazon 、 VISA 、 Mastercard 、三星、 Huawei 等科技及金融企業組成。而 WebAuthn API 就運用密鑰、簽章等技術,來打造嚴謹而不用擔心中間人及釣魚網攻擊的認證流程。
在使用 WebAuthn 認證時,用戶可以任意選擇生物認證、手機或 FIDO 保安鍵等方式來認證,而過程中用戶的生物認證資料是不會被傳遞出去的。現時主流的瀏覽器都已支援,或已進入功能預覽階段。
隨著 W3C 確認 WebAuthn 為互聯網標準,接下來就只待網站陸續整合 WebAuthn API 到自己的網站。現時 Dropbox 已經率先接受 WebAuthn 登入,而後來 Microsoft 帳戶也加入支援 。相信今後還會有更多網絡服務會陸續整合有關認證方式。
WebAuthn 註冊流程示範
延伸閱讀
http://staging.pcmarket.com.hk/2018/05/11/firefox-60%e6%8e%a8%e5%87%ba-%e6%94%af%e6%8f%b4%e7%84%a1%e5%af%86%e7%a2%bc%e8%aa%8d%e8%ad%89%e6%96%b0%e6%a8%99%e6%ba%96webauthn/