W3C home > Mailing lists > Public > public-china@w3.org > March 2019

W3C 与 FIDO 联盟正式推出 Web 认证标准(Web Authentication: An API for accessing Public Key Credentials Level 1)

From: xueyuan <xueyuan@w3.org>
Date: Tue, 5 Mar 2019 15:41:01 +0800
To: public-china <public-china@w3.org>
Message-ID: <33012094-8895-6ad4-4737-90e4c9295554@w3.org>

W3C 中国区成员:
您好!

2019年3月4日,W3C Web认证工作组发布 Web认证(Web Authentication: An API for 
accessing Public Key Credentials Level 1)正式推荐标准(W3C 
Recommendation),简称 WebAuthn:
https://www.w3.org/TR/2019/REC-webauthn-1-20190304/

作为 FIDO2 规范的核心组件,WebAuthn 
是一项推动更加便捷安全的身份认证的浏览器/平台标准。用户可以通过生物识别、移动设备以及 
FIDO 安全秘钥来实现便捷且安全的线上登录。目前 Windows 
10、Android、Chrome、Firefox、Edge 与 Safari 等 Web 浏览器均已实施了对 
WebAuthn 标准的支持。

详情请参阅 W3C 官方新闻稿:
https://www.w3.org/2019/03/pressrelease-webauthn-rec.html.zh

----------------
新闻稿文本内容如下
----------------
【标题】W3C 与 FIDO 联盟正式推出 Web 认证标准推动安全免密登录

【正文】https://www.w3.org/ — 2019年3月4日 — W3C(World Wide Web 
Consortium)与 FIDO 联盟(FIDO Alliance) 联合宣布 Web 认证(Web 
Authentication,简称 WebAuthn)技术标准成为正式 Web 
标准。这为全世界用户提供更加安全的 Web 而向前迈出了重要一步。

   W3C 的 WebAuthn 推荐标准,作为 FIDO 联盟 FIDO2 规范 (1) 
的核心组件,是一项实现更便捷更安全的身份认证的浏览器/平台标准。目前 Windows 
10、 Android、 Google Chrome、 Mozilla Firefox、 Microsoft Edge 与 Apple 
Safari (preview) 等 Web 浏览器均已实现了对 WebAuthn 标准的支持。 WebAuthn 
允许用户使用他们的首选设备登录其互联网帐户。 Web 
服务和应用程序可以(也应该)启用这一功能,用户们可以通过生物识别、移动设备或 
FIDO 安全密钥来实现更便捷也更安全的网站登录。

   W3C CEO Jeff Jaffe 博士表示:“现在正是服务提供商和企业采用 
WebAuthn,避免密码被攻击和泄漏风险,从而提升 web 
用户在线体验安全性的时候。W3C 的推荐标准(Recommendation)建构了 web 
范围的互操作性指南,为 web 用户以及他们访问的站点设置了一致的预期。W3C 
也正在自己的站点上实现这些最佳实践”。

   立足用户:一个针对密码泄漏、网络钓鱼和反复攻击的解决方案

众所周知,密码已经失去了其原有的效力。81%的数据泄露事件背后不仅隐藏着盗取、薄弱或默认密码,同时它们还涉及时间和资源的消耗。根据 
Yubico 
最近的一项研究显示,用户每年花10.9个小时在输入和/或重置密码上,而公司每年要为此付出平均520万美元的代价。虽然传统的多重身份验证 
(MFA)解决方案,例如短信一次性验证码增加了又一层安全性,但它们依然容易受到钓鱼攻击,使用起来并不简单而且选择率也很低。

   利用 FIDO2 和 
WebAuthn,全球的技术社区共同为共享密码问题提供了一个共享解决方案。FIDO2 
几乎解决了传统身份验证的所有问题:

  * 安全性:FIDO2 
加密登录认证在每个网站上都是唯一的,生物识别技术或密码等秘密永远不会离开用户的设备,也不 
会存储在服务器上。这种安全模块消除了网络钓鱼、各种形式的密码窃取和反复攻击的风险。
  * 便捷性:用户可以使用指纹识别器、相机传感器、FIDO 
安全密钥或个人移动设备等便捷方法进行登录。
  * 私密性:由于 FIDO 
密钥对于每个网址都是唯一的,因此它们不能用于跨站点跟踪用户。
  * 可扩展性:网站可以通过简单的 API 
调用,在用户每天使用的数十亿设备上的所有受支持的浏览器和平台上启用 FIDO2。

   FIDO 联盟执行董事 Brett McDowell 表示:“作为正式 web 标准的 WebAuthn 
是多年来业界合作的顶尖之作,它可以为实现 web 
上更强大的身份认证开发实际的解决方案。伴随着这项里程碑式的进展,我们正在逐渐进入一个为每一个使用互联网的人提供普遍的、硬件支持的 
FIDO 身份认证保护的新时代”。

   由此开始

   对于准备好开始使用 FIDO2 规范和浏览器/平台支持的服务提供者和供应商,FIDO 
联盟提供了相应的测试工具并启动了一个认证计划。目前,有许多 FIDO2 
认证的解决方案适用于支持各种各样的用例,包括支持 FIDO2 的 FIDO 
认证通用服务器以及所有之前的 UAF 和 U2F 设备,以完全向后兼容所有经过认证的 
FIDO 身份验证器。请访问 FIDO Alliance 网站获取有关 FIDO2 
的更多信息,或进一步了解开发人员资源以及和产品供应商参与 FIDO 
认证项目相关的内容。

(1)FIDO2 由 W3C 的 Web 认证规范(WebAuthn)和 FIDO 
联盟的客户端到身份验证器协议(CTAP)组成。

「关于 FIDO 联盟(FIDO Alliance)」

线上快速身份验证联盟(Fast IDentity Online Alliance,简称 FIDO 
Alliance),www.fidoalliance.org, 
成立于2012年7月,旨在解决强认证技术之间缺乏互操作性的问题,并致力于解决用户在创建和记忆多个用户名和密码时遇到的问题。在对在线服务进行认证时,FIDO 
身份验证功能使用起来更强大、更私密、更简化。

「关于万维网联盟(World Wide Web Consortium,简称 W3C)」

万维网联盟 (World Wide Web Consortium,简称 
W3C)的使命是通过创立技术标准及指导方针来保障 Web 
长期开放稳定的发展,从而尽展 Web 的潜能。W3C 开发了诸多众所周知的规范,包括 
HTML5、CSS 等。W3C 在开放免费的专利政策指导下构建开放 Web 
平台的同时,致力于隐私及安全领域的标准工作。其无障碍在线视频字幕规范荣获2016年度艾美奖(2016 
Emmy Award)。W3C “一个万维网(One 
Web)”的理念吸引了来自全球400多家会员单位数千名技术专家的参与和贡献。W3C 
主要由设立在美国的麻省理工学院计算机科技与人工智能实验室(MIT 
CSAIL)、法国的欧洲信息与数学研究联盟(ERCIM)、日本庆应大学(Keio 
University)以及中国北京航空航天大学(Beihang University) 
四个全球总部机构联合运营管理。更多信息请见 http://www.w3.org。
----------------

更多内容,欢迎
访问W3C中国官方网站:http://www.chinaw3c.org/
关注W3C中国官方微博:http://weibo.com/w3cchina

祝好!
贾雪远
-- 
Xueyuan Jia - W3C Marketing and Communications
mailto: xueyuan@w3.org; tel: 186 1297 0645
Received on Tuesday, 5 March 2019 07:41:09 UTC

This archive was generated by hypermail 2.3.1 : Tuesday, 5 March 2019 07:41:09 UTC