踏入無密碼時代 W3C 正式確認 WebAuthn 成為新認證標準

踏入無密碼時代 W3C 正式確認 WebAuthn 成為新認證標準

去年我們曾經報道過 Firefox 、 Chrome 等瀏覽器相繼支援由 FIDO 聯盟提出的新一代網站認證標準 WebAuthn ,而制訂互聯網標準的組織 W3C 就在美國時間 3 月 4 日宣布 WebAuthn 正式成為 無密碼認證的保安新標準,各網站和裝置只要整合有關 API 之後,用戶就可以透過生物認證、手機或 FIDO 保安鍵等方式,來進行無密碼身分認證。

WebAuthn 是 FIDO 聯盟制訂的 FIDO2 認證技術中的核心部分,聯盟由 Google 、 Microsoft 、 Mozilla 、 Intel 、 ARM 、 Amazon 、 VISA 、 Mastercard 、三星、 Huawei 等科技及金融企業組成。而 WebAuthn API 就運用密鑰、簽章等技術,來打造嚴謹而不用擔心中間人及釣魚網攻擊的認證流程。

WebAuthn 可以讓用戶選擇任意方式登入網站,各主流瀏覽器將陸續支援。

WebAuthn 可以讓用戶選擇任意方式登入網站,各主流瀏覽器將陸續支援。

在使用 WebAuthn 認證時,用戶可以任意選擇生物認證、手機或 FIDO 保安鍵等方式來認證,而過程中用戶的生物認證資料是不會被傳遞出去的。現時主流的瀏覽器都已支援,或已進入功能預覽階段。

隨著 W3C 確認 WebAuthn 為互聯網標準,接下來就只待網站陸續整合 WebAuthn API 到自己的網站。現時 Dropbox 已經率先接受 WebAuthn 登入,而後來 Microsoft 帳戶也加入支援 。相信今後還會有更多網絡服務會陸續整合有關認證方式。

WebAuthn 註冊流程示範

在支援 WebAuthn 的網站註冊,只需設定登入名稱,毋需設定密碼。

在支援 WebAuthn 的網站註冊,只需設定登入名稱,毋需設定密碼。

如果用戶所用的瀏覽器不支援 WebAuthn ,網站是可以檢測得到,並作出相應處理的,例如彈出警告字句。

如果用戶所用的瀏覽器不支援 WebAuthn ,網站是可以檢測得到,並作出相應處理的,例如彈出警告字句。

按註冊掣後,瀏覽器會列出可用的認證方式,用戶可以按自己的方便來選擇。

按註冊掣後,瀏覽器會列出可用的認證方式,用戶可以按自己的方便來選擇。

如果選擇電腦內建的認證方式的話,以筆者所用的 MacBook Pro 來說,就會要求用戶用指紋認證。

如果選擇電腦內建的認證方式的話,以筆者所用的 MacBook Pro 來說,就會要求用戶用指紋認證。

認證後,瀏覽器會要求取用以你的公鑰傳送到網站,以便登入時驗證之用,期間不會將指紋資料傳送給對方。

認證後,瀏覽器會要求取用以你的公鑰傳送到網站,以便登入時驗證之用,期間不會將指紋資料傳送給對方。

延伸閱讀

Firefox 60 推出 支援無密碼認證新標準 WebAuthn