網路服務是現代人生活中不可或缺的一部分,用戶要記住的帳號密碼組合也越來越複雜。太多組帳密記不起來、不時更新密碼嫌麻煩,都用同一組帳號密碼又有安全疑慮。為了讓使用者能方便、安全的登入,「全球資訊網協會」和「線上快速身分認證聯盟」10日公布免密碼,透過生物辨識登入的機制「WebAuthn」。三大網路瀏覽器Google Chrome、Mozilla Firefox、Microsoft Edge也承諾將支援此項新標準,未來指紋不只可以用來解鎖手機、筆電,更能讓用戶以更便利、安全的方式登入網路帳戶。
再見了!密碼
WebAuthn是由掌管全球資訊網(WWW)標準的國際組織全球資訊網協會(W3C),和以解決網路用戶帳號密碼複雜性問題為宗旨的線上快速身分認證聯盟(Fast IDentity Online,FIDO)共同推出的全新網路標準。透過WebAuthn,用戶不再需要記住在個別網站使用的帳號密碼,而是以指紋、聲紋、虹膜、臉部辨識等生物辨識系統,透過智慧型手機的USB、藍芽、NFC功能進行連接,直接登入。 舉例來說,使用者在支援WebAuthn的網站輸入用戶名稱後,手機就會收到提示訊息,只要把訊息點開,就能完成登入。
The #FIDO Alliance and the World Wide Web Consortium (#W3C) have achieved a standards milestone in the global effort to bring simpler yet stronger web authentication to users around the world >https://t.co/oJlx20F2Pp pic.twitter.com/P4yxsagVmk
— Arnaud Vanderroost (@avdrst) 2018年4月11日
WebAuthn登入機制少了輸入密碼的手續,減少密碼被竊取的機會,用戶不僅能免於釣魚網站的攻擊,也能避免過去「一套帳密打天下」,只要其中一個網站遭駭,所有帳戶都被盜用的慘劇。生物辨識不怕遺失、難以複製,用戶更不用擔心帳號遭人盜用。
臉書(Facebook)和Google等網站已經可以採用類似的方式登入,但WebAuthn的里程碑意義在於它是由W3C批准的跨平台、跨服務標準,意味著有更多網站和應用程式能夠捨棄現有的密碼登入機制,改採生物辨識燈入。
W3C已將 WebAuthn納入「候選推薦」階段,建議瀏覽器和網路服務開始使用這個標準,最新版本的Firefox瀏覽器已經支援WebAuthn,Chrome和Edge也宣布將會跟進,根據netmarketshare的統計,這三款瀏覽器全球市佔率約4分之3;但蘋果公司尚未對此表態,旗下瀏覽器Safari是否支援WebAuthn仍不明確。
We'd like to introduce you to #FIDO2. Learn how we're making it even easier for online web services to use FIDO #Authentication with help from @googlechrome @mozillafirefox @MicrosoftEdge @opera https://t.co/P8aUmjBqqh pic.twitter.com/gFXMhnAull
— The FIDO Alliance (@FIDOAlliance) 2018年4月10日
W3C的執行長賈菲(Jeff Jaffe)認為,有許多網路安全問題無法完全解決,而對密碼的仰賴便是其中一個巨大的安全漏洞,WebAuthn的出現可以讓人們和密碼說再見,提升使用網路的安全性和便利性,「WebAuthn將改變人們進入網站的方式」。
