更多

    踏入無密碼時代 W3C 正式確認 WebAuthn 成為新認證標準

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    【iOS14 升級精讀】停止第三方程式追踪

    早前 Facebook 向開發人和廣告商發出警告,指 iOS 14 新加入的追踪提示會嚴重影響廣告收益。這追踪提示會在程式想將自己收集到的資料與第三方程式的資料作比對來追踪用戶時發出警告,讓用戶決定是否願意被追踪。大家亦可以一律拒絕追踪。

    【iOS14 升級精讀】監察密碼安全

    很多人喜歡在不同程式和網站使用同一密碼,但如果其中一個網站被駭客入侵,其他使用同一密碼的服務都有可能受到威脅。 iOS 14 就加入了「保安級別建議」,比對已知被駭客截取的密碼,向用戶發出提示。

    PS5 訂購一空拍賣網站炒風熾熱 Sony 呼籲賣家「高抬貴手」

    PS5 今日開訂,毫無懸念地在數分鐘內訂購一空。想當然「炒單」情況激烈,首日訂單在各大拍賣平台被炒高幾倍轉賣。在日本也出現相似情況,Sony 就呼籲各位賣家店主高抬貴手,不要高價出貨。

    去年我們曾經報道過 Firefox 、 Chrome 等瀏覽器相繼支援由 FIDO 聯盟提出的新一代網站認證標準 WebAuthn ,而制訂互聯網標準的組織 W3C 就在美國時間 3 月 4 日宣布 WebAuthn 正式成為 無密碼認證的保安新標準,各網站和裝置只要整合有關 API 之後,用戶就可以透過生物認證、手機或 FIDO 保安鍵等方式,來進行無密碼身分認證。

    WebAuthn 是 FIDO 聯盟制訂的 FIDO2 認證技術中的核心部分,聯盟由 Google 、 Microsoft 、 Mozilla 、 Intel 、 ARM 、 Amazon 、 VISA 、 Mastercard 、三星、 Huawei 等科技及金融企業組成。而 WebAuthn API 就運用密鑰、簽章等技術,來打造嚴謹而不用擔心中間人及釣魚網攻擊的認證流程。

    WebAuthn 可以讓用戶選擇任意方式登入網站,各主流瀏覽器將陸續支援。
    WebAuthn 可以讓用戶選擇任意方式登入網站,各主流瀏覽器將陸續支援。

    在使用 WebAuthn 認證時,用戶可以任意選擇生物認證、手機或 FIDO 保安鍵等方式來認證,而過程中用戶的生物認證資料是不會被傳遞出去的。現時主流的瀏覽器都已支援,或已進入功能預覽階段。

    隨著 W3C 確認 WebAuthn 為互聯網標準,接下來就只待網站陸續整合 WebAuthn API 到自己的網站。現時 Dropbox 已經率先接受 WebAuthn 登入,而後來 Microsoft 帳戶也加入支援 。相信今後還會有更多網絡服務會陸續整合有關認證方式。

    WebAuthn 註冊流程示範

    在支援 WebAuthn 的網站註冊,只需設定登入名稱,毋需設定密碼。
    在支援 WebAuthn 的網站註冊,只需設定登入名稱,毋需設定密碼。

    如果用戶所用的瀏覽器不支援 WebAuthn ,網站是可以檢測得到,並作出相應處理的,例如彈出警告字句。
    如果用戶所用的瀏覽器不支援 WebAuthn ,網站是可以檢測得到,並作出相應處理的,例如彈出警告字句。

    按註冊掣後,瀏覽器會列出可用的認證方式,用戶可以按自己的方便來選擇。
    按註冊掣後,瀏覽器會列出可用的認證方式,用戶可以按自己的方便來選擇。

    如果選擇電腦內建的認證方式的話,以筆者所用的 MacBook Pro 來說,就會要求用戶用指紋認證。
    如果選擇電腦內建的認證方式的話,以筆者所用的 MacBook Pro 來說,就會要求用戶用指紋認證。

    認證後,瀏覽器會要求取用以你的公鑰傳送到網站,以便登入時驗證之用,期間不會將指紋資料傳送給對方。
    認證後,瀏覽器會要求取用以你的公鑰傳送到網站,以便登入時驗證之用,期間不會將指紋資料傳送給對方。

    延伸閱讀

    https://www.pcmarket.com.hk/2018/05/11/firefox-60%e6%8e%a8%e5%87%ba-%e6%94%af%e6%8f%b4%e7%84%a1%e5%af%86%e7%a2%bc%e8%aa%8d%e8%ad%89%e6%96%b0%e6%a8%99%e6%ba%96webauthn/

    您會感興趣的內容

    相關文章