2018年4月10日— FIDO聯(lián)盟（FIDO Alliance）與W3C（World Wide Web Consortium）聯(lián)合取得了Web認(rèn)證標(biāo)準(zhǔn)的重大進(jìn)展，為全球用戶帶來(lái)更簡(jiǎn)單、更強(qiáng)大的Web認(rèn)證方式。由FIDO提交的文檔Web Authentication（以下稱WebAuthn），已經(jīng)正式進(jìn)入W3C候選推薦標(biāo)準(zhǔn)（Candidate Recommendation，簡(jiǎn)稱CR）階段。這份規(guī)范文檔由W3C Web認(rèn)證工作組（Web Authentication Working Group）發(fā)布，該組由30 多位來(lái)自不同組織的會(huì)員單位代表組成。進(jìn)入CR階段意味著該規(guī)范將最終成為W3C正式標(biāo)準(zhǔn)（Recommendation，簡(jiǎn)稱REC），W3C在此階段邀請(qǐng)?jiān)诰�服務(wù)商和Web應(yīng)用開發(fā)者對(duì)WebAuthn 進(jìn)行技術(shù)實(shí)現(xiàn)。

　　WebAuthn在瀏覽器和跨站點(diǎn)設(shè)備上，定義了一個(gè)可以合并到瀏覽器中的標(biāo)準(zhǔn)Web API，以及相關(guān)的Web平臺(tái)基礎(chǔ)設(shè)施，為用戶提供在Web上進(jìn)行安全認(rèn)證的新方法。 WebAuthn由W3C與FIDO聯(lián)盟合作開發(fā)，它連同F(xiàn)IDO的客戶端到認(rèn)證器協(xié)議規(guī)范（Client to Authenticator Protocol，CTAP），構(gòu)成了FIDO2 項(xiàng)目的核心組件。CTAP啟用外部認(rèn)證器（例如安全秘鑰或手機(jī)）通過USB、藍(lán)牙、或者NFC向用戶的互聯(lián)網(wǎng)接入設(shè)備（電腦或手機(jī)）局部傳遞強(qiáng)認(rèn)證證書。FIDO2規(guī)范可以讓用戶能夠輕松且安全地通過桌面或移動(dòng)設(shè)備驗(yàn)證在線服務(wù)。

　　FIDO聯(lián)盟執(zhí)行理事Brett McDowell說：“隨著今天宣布FIDO2規(guī)范及Web瀏覽器對(duì)其的支持，我們正朝著FIDO身份驗(yàn)證普適于所有平臺(tái)及設(shè)備上這一目標(biāo)邁出了一大步，經(jīng)歷多年日益嚴(yán)重的數(shù)據(jù)泄露和密碼憑證被盜用等問題，現(xiàn)在正是服務(wù)供應(yīng)商所面臨的重要時(shí)機(jī)，來(lái)結(jié)束對(duì)易受攻擊的密碼和一次性密碼的依賴，并為所有網(wǎng)站和應(yīng)用程序采用防網(wǎng)絡(luò)釣魚的FIDO身份驗(yàn)證”。

　　Google、Microsoft以及Mozilla都已承諾在其瀏覽器中支持WebAuthn標(biāo)準(zhǔn)，并已經(jīng)開始在Windows、Mac、Linux、Chrome OS以及Android平臺(tái)上進(jìn)行實(shí)現(xiàn)。WebAuthn和CTAP規(guī)范的出現(xiàn)，使開發(fā)人員和供應(yīng)商能夠迅速將對(duì)下一代FIDO身份驗(yàn)證的支持切實(shí)部署到其產(chǎn)品和服務(wù)中。

　　W3C首席執(zhí)行官Jeff Jaffe說：“網(wǎng)絡(luò)安全一直是無(wú)法規(guī)避的問題，它阻撓著網(wǎng)絡(luò)對(duì)社會(huì)的諸多積極影響。當(dāng)今網(wǎng)絡(luò)安全隱患眾多，其中對(duì)密碼的依賴是最薄弱的環(huán)節(jié)之一。借助WebAuthn的多因素解決方案，我們正在逐步消除這一薄弱環(huán)節(jié)，WebAuthn將改變?nèi)藗冊(cè)L問網(wǎng)絡(luò)的方式”。

　　FIDO2標(biāo)準(zhǔn)化工作，W3C WebAuthn標(biāo)準(zhǔn)的推進(jìn)，以及瀏覽器供應(yīng)商對(duì)實(shí)現(xiàn)這一標(biāo)準(zhǔn)的承諾，都預(yù)示著一個(gè)新時(shí)代的開啟，一個(gè)為所有互聯(lián)網(wǎng)用戶提供普適的、硬件支持FIDO身份驗(yàn)證保護(hù)的時(shí)代。

　　企業(yè)和在線服務(wù)提供者希望保護(hù)自己和他們的客戶免于遭受密碼風(fēng)險(xiǎn)—包括網(wǎng)絡(luò)釣魚，中間人攻擊和濫用竊取憑證—可以通過瀏覽器或通過外部認(rèn)證器，快速部署基于標(biāo)準(zhǔn)的強(qiáng)認(rèn)證。通過部署FIDO身份驗(yàn)證，在線服務(wù)可以在用戶每天使用的互動(dòng)操作系統(tǒng)（如手機(jī)和安全密鑰）中為用戶提供選擇。

　　新的FIDO2規(guī)范在瀏覽器和操作系統(tǒng)中的標(biāo)準(zhǔn)化將進(jìn)一步擴(kuò)大FIDO身份驗(yàn)證的范圍，F(xiàn)IDO身份驗(yàn)證被全球監(jiān)管機(jī)構(gòu)和標(biāo)準(zhǔn)制定機(jī)構(gòu)引用，并通過Google、Facebook、NTT DOCOMO、美國(guó)銀行等企業(yè)所提供的服務(wù)，在全球范圍內(nèi)用于數(shù)億臺(tái)設(shè)備，用戶超過35億。 新規(guī)范對(duì)現(xiàn)有的無(wú)密碼FIDO UAF和第二因素FIDO U2F用例進(jìn)行了補(bǔ)充，并擴(kuò)展了FIDO認(rèn)證的可用性。FIDO2網(wǎng)絡(luò)瀏覽器和在線服務(wù)完全向后兼容所有之前獲得認(rèn)證的FIDO安全密鑰。

　　FIDO即將啟動(dòng)互操作性測(cè)試，并將為符合FIDO2規(guī)范的服務(wù)器、客戶端和認(rèn)證器頒發(fā)認(rèn)證憑證。人們可以在FIDO的網(wǎng)站上找到一致性測(cè)試工具。 此外，F(xiàn)IDO將為與所有FIDO認(rèn)證器類型（FIDO UAF，F(xiàn)IDO U2F，WebAuthn，CTAP）互操作的服務(wù)器引入新的通用服務(wù)器認(rèn)證。

　　W3C的WebAuthn API是一種可融入瀏覽器和相關(guān)Web平臺(tái)基礎(chǔ)架構(gòu)的標(biāo)準(zhǔn)WebAPI，可為每個(gè)站點(diǎn)提供強(qiáng)大、唯一且基于公鑰的憑證，消除了從某一站點(diǎn)竊取密碼后被用于其他站點(diǎn)的風(fēng)險(xiǎn)。 使用FIDO身份驗(yàn)證器加載到設(shè)備上的在瀏覽器中運(yùn)行的Web應(yīng)用程序，可以通過密碼操作代替密碼交換，或除了密碼交換之外，還可為服務(wù)提供者和用戶帶來(lái)諸多益處：

　　線上快速身份驗(yàn)證聯(lián)盟（Fast IDentity Online Alliance，簡(jiǎn)稱FIDO Alliance），www.fidoalliance.org， 成立于2012年7月，旨在解決強(qiáng)認(rèn)證技術(shù)之間缺乏互操作性的問題，并致力于解決用戶在創(chuàng)建和記憶多個(gè)用戶名和密碼時(shí)遇到的問題。FIDO聯(lián)盟正在改變身份驗(yàn)證的性質(zhì)，采用更簡(jiǎn)單、更強(qiáng)大的身份驗(yàn)證標(biāo)準(zhǔn)，定義了一組開放、可擴(kuò)展、可互操作的機(jī)制，以減少對(duì)密碼的依賴。在向在線服務(wù)進(jìn)行身份驗(yàn)證時(shí)，F(xiàn)IDO身份驗(yàn)證功能更強(qiáng)大、更私密、更簡(jiǎn)化。

　　萬(wàn)維網(wǎng)聯(lián)盟 （World Wide Web Consortium，簡(jiǎn)稱W3C），www.w3.org， 是由會(huì)員組織、全職工作人員、以及公眾共同組成的致力于發(fā)展互聯(lián)網(wǎng)標(biāo)準(zhǔn)的國(guó)際化組織。W3C通過創(chuàng)立互聯(lián)網(wǎng)標(biāo)準(zhǔn)及指導(dǎo)方針來(lái)保障互聯(lián)網(wǎng)長(zhǎng)期穩(wěn)定的發(fā)展，開放萬(wàn)維網(wǎng)平臺(tái)（Open Web Platform）是萬(wàn)維網(wǎng)聯(lián)盟目前的核心工作。W3C制定了包括HTML5、CSS 等構(gòu)建Web站點(diǎn)與Web應(yīng)用的基礎(chǔ)技術(shù)協(xié)議，并因?yàn)樵跓o(wú)障礙在線視頻字幕等工作，獲得2016年的艾美獎(jiǎng)（2016 Emmy Award）。

　　W3C “一個(gè)萬(wàn)維網(wǎng)（One Web）”的理念吸引了全球400多家會(huì)員單位數(shù)千名技術(shù)專家共同工作。W3C主要由如下機(jī)構(gòu)聯(lián)合管理：美國(guó)麻省理工學(xué)院計(jì)算機(jī)科技與人工智能實(shí)驗(yàn)室(MIT CSAIL)、法國(guó)的歐洲信息與數(shù)學(xué)研究聯(lián)盟(ERCIM)、日本慶應(yīng)大學(xué)(Keio University)以及中國(guó)北京航空航天大學(xué)(Beihang University)，并在全球范圍內(nèi)設(shè)有辦事處。更多信息請(qǐng)見http:/www.w3.org。