三大浏览器承诺支援FIDO2身分验证免输密码不是梦

W3C

专门推动线上快速身分验证的FIDO Alliance与负责制定网路标準的全球资讯网路联盟（World Wide Web Consortium，W3C）周二（4/10）宣布，包括Google Chrome、Microsoft Edge与Mozilla Firefox等浏览器都已承诺将支援FIDO2身分验证规格，未来藉由浏览器存取网路服务将有除了输入密码以外的其它身分验证服务。FIDO2的WebAuthn与CTAP两项核心规格也在周二一併出炉。

FIDO2是由W3C的网路验证（Web Authentication，WebAuthn）规格与FIDO的客户端至验证器协定（ Client-to-Authenticator Protocol，CTAP）所组成，让使用者不论是在桌面或行动环境中都可藉由常见的装置轻易执行网路服务的身分验证。

其中，WebAuthn定义了一个标準化的Web API，该API可被植入浏览器或相关的网路平台架构中，以让网路服能使用FIDO验证；CTAP则允许诸如手机或FIDO安全钥匙等外部装置能搭配WebAuthn使用，以作为桌面应用程式或网路服务的身分验证器。

藉由WebAuthn，使用者将能直接在桌机、笔电或行动装置上以指纹、虹膜或人脸登入服务。若搭配CTAP，使用者可先以手机浏览器注册某个服务，并选择验证机制，这些验证机制可以是PIN码、指纹、虹膜、声音或脸部辨识，当使用者要从桌机或笔电的浏览器登入该服务时，就会看到以手机登入的选项，当于手机上完成使用者最初选择的验证机制时，即可顺利于桌面浏览器上登入服务。

相关标準将能解决单纯使用密码的众多问题，包括忘记密码、网钓攻击、中间人攻击，或是密码遭窃等，强化身分验证的安全性。

FIDO Alliance表示，除了Google、微软与Mozilla都承诺要在浏览器中支援WebAuthn标準之外，相关标準也已开始被导入Windows、macOS、Linux、Chrome OS及Android等平台上，WebAuthn与CTAP规格的问世将有助于开发人员与製造商开始打造支援FIDO2的服务或产品。

WebAuthn目前仍处于W3C的推荐标準阶段（Candidate Recommendation，CR），意谓着它已通过W3C成员组织与公众的评审，只差一步就能成为正式标準。而Google、微软与Mozilla皆已準备就绪，Google计画让WebAuthn成为Chrome 67的预设功能，Mozilla也决定于Firefox 60中让WebAuthn成为预设功能，微软亦已开始于Microsoft Edge中部署WebAuthn，并将整合微软的Windows Hello生物辨识服务。

FIDO Alliance近期内即会展开互通性测试，以认证那些符合FIDO2规格的伺服器、用户端与验证器。