Веб-разработка — это тяжело! FIDO и W3C совместно поддерживают вход в систему без пароля!

внешний интерфейс сервер Безопасность браузер
Веб-разработка — это тяжело! FIDO и W3C совместно поддерживают вход в систему без пароля!

Сегодня (10 апреля 2018 г.) W3C официально объявил:

Альянс FIDO и W3C совместно добились значительного прогресса в стандарте веб-сертификации.Внедряйте более простые и мощные методы веб-аутентификации по всему миру.

При поддержке Google Chrome, Microsoft Edge и Mozilla Firefox проект FIDO2 направлен на защиту пользователей Интернета по всему миру, открывая новую эру всеобъемлющих, безопасных и надежных методов аутентификации!

—— Это разрушит главный барьер между пользователями и Интернетом и совершит качественный скачок в использовании Интернета.

Официальный полный текст W3C

https://www.w3.org/ и Маунтин-Вью, Калифорния — 10 апреля 2018 г. — Альянс FIDO и Консорциум Всемирной паутины (W3C) совместно добились значительного прогресса в стандартах веб-сертификации для глобальных пользователей. мощные методы веб-аутентификации.

Документ Web Authentication (далее именуемый WebAuthn), представленный FIDO,Официально вошел в стадию рекомендаций кандидатов (CR) W3C.. Этот документ спецификации был опубликован Рабочей группой W3C по веб-аутентификации (Web Authentication Working Group), в состав которой входят более 30 представителей подразделений-членов из различных организаций. Переход на стадию CR означает, что спецификация со временем станет официальным стандартом W3C (сокращенно «Рекомендация», REC).На этом этапе W3C предлагает поставщикам онлайн-услуг и разработчикам веб-приложений поддержать WebAuthn. Выполнить техническую реализацию.

В браузерах и межсайтовых устройствах WebAuthn определяет стандартный веб-API, который может быть встроен в браузеры, а также связанную инфраструктуру веб-платформы, чтобы предоставить пользователям новые способы безопасной аутентификации в Интернете. WebAuthn, разработанный W3C в сотрудничестве с FIDO Alliance, вместе со спецификацией FIDO Client to Authenticator Protocol (CTAP) составляют основной компонент проекта FIDO2. CTAP позволяет внешнему средству проверки подлинности (например, ключу безопасности или мобильному телефону) локально доставлять надежный сертификат проверки подлинности на устройство пользователя с доступом в Интернет (компьютер или мобильный телефон) через USB, Bluetooth или NFC. Спецификация FIDO2 позволяет пользователям легко и безопасно аутентифицировать онлайн-сервисы с настольных или мобильных устройств.

Исполнительный директор FIDO Alliance Бретт Макдауэлл сказал:

"

С сегодняшним объявлением о спецификации FIDO2 и ее поддержке веб-браузером мы делаем большой шаг к тому, чтобы сделать аутентификацию FIDO повсеместной на всех платформах и устройствах, после многих лет растущих утечек данных и учетных данных паролей. Такие проблемы, как взлом, сейчас важный момент чтобы поставщики услуг перестали полагаться на уязвимые пароли и одноразовые пароли и внедрили устойчивую к фишингу аутентификацию FIDO для всех веб-сайтов и приложений.

"

Google, Microsoft и Mozilla обязались поддерживать стандарт WebAuthn в своих браузерах и начали внедрять его на платформах Windows, Mac, Linux, Chrome OS и Android.. Появление спецификаций WebAuthn и CTAP позволило разработчикам и поставщикам быстро и практически внедрить поддержку аутентификации FIDO нового поколения в свои продукты и услуги.

Генеральный директор W3C Джефф Джаффе сказал:

"

Cybersecurity всегда был неизбежной проблемой, который помешает многие положительные последствия Интернета на общество. Сегодня существует множество скрытых опасностей в области сети безопасности, из которых зависимость от паролей является одной из самых слабых ссылок. Мы постепенно удаляем эту слабую связь с многофакторным решением Webauthn, Webauthn изменит, как люди получают доступ к сети.

"

Завершение работы по стандартизации FIDO2, совершенствование стандарта W3C WebAuthn и приверженность производителей браузеров внедрению этого стандарта — все это предвещает начало новой эры, обеспечивающей повсеместную аппаратную защиту аутентификации FIDO для всех пользователей Интернета. , эпоха.

Предприятия и поставщики онлайн-услуг, стремящиеся защитить себя и своих клиентов от криптографических рисков, включая фишинг, атаки «человек посередине» и неправомерное использование украденных учетных данных, могут быстро внедрить надежную стандартную аутентификацию через браузер или внешний аутентификатор. Внедряя аутентификацию FIDO, онлайн-сервисы могут предоставить пользователям выбор между интерактивными операционными системами, которые они используют каждый день, такими как мобильные телефоны и ключи безопасности.

Стандартизация новой спецификации FIDO2 для браузеров и операционных систем еще больше расширит охват аутентификации FIDO, на которую ссылаются регулирующие и устанавливающие стандарты органы по всему миру и которая предоставляется Google, Facebook, NTT DOCOMO, Bank of America и другими службами. , используемое на сотнях миллионов устройств по всему миру с более чем 3,5 миллиардами пользователей. Новая спецификация дополняет существующие варианты использования FIDO UAF без пароля и второго фактора FIDO U2F и расширяет доступность аутентификации FIDO. Веб-браузер и онлайн-сервис FIDO2 полностью обратно совместимы со всеми ранее сертифицированными ключами безопасности FIDO.

FIDO собирается начать тестирование совместимости и выдаст учетные данные для аутентификации для серверов, клиентов и аутентификаторов, совместимых с FIDO2. Инструменты тестирования на соответствие можно найти на веб-сайте FIDO. Кроме того, FIDO представит новую общую серверную аутентификацию для серверов, которые взаимодействуют со всеми типами аутентификаторов FIDO (FIDO UAF, FIDO U2F, WebAuthn, CTAP).

Преимущества WebAuthn и проекта FIDO2

W3C WebAuthn API — это стандартный WebAPI, который можно интегрировать в браузеры и соответствующую инфраструктуру веб-платформы, предоставляя надежные, уникальные учетные данные на основе открытого ключа для каждого сайта, устраняя необходимость красть пароли с одного сайта и использовать их для других рисков сайта. . Веб-приложение, работающее в браузере, загруженном на устройство с помощью FIDO Authenticator, может выполнять криптографические операции вместо или в дополнение к криптографическому обмену, предоставляя поставщикам услуг и пользователям многочисленные преимущества:

  • Упрощенная аутентификация:Пользователям нужно использовать только один жест для входа

    • Внутренние или встроенные средства аутентификации (такие как отпечатки пальцев или биометрические данные лица) в ПК, ноутбуках и/или мобильных устройствах.

    • Внешние аутентификаторы (такие как ключи безопасности и мобильные устройства) для аутентификации между устройствами с использованием CTAP, внешнего протокола аутентификации, разработанного Альянсом FIDO в дополнение к WebAuthn.

  • более сильная аутентификация: Аутентификация FIDO намного надежнее, чем использование исключительно паролей и связанных с ними методов аутентификации, и имеет следующие преимущества.

    • Учетные данные пользователя и биометрические шаблоны никогда не покидают устройство пользователя и никогда не сохраняются на сервере.

    • Учетные записи защищены от фишинга, атак типа «человек посередине» и повторных атак с использованием украденных паролей.

  • РазработчикВы можете начать создавать приложения и службы, использующие аутентификацию FIDO, на новой странице ресурсов для разработчиков FIDO.

Об Альянсе ФИДО

Альянс Fast IDentity Online Alliance (сокращенно FIDO Alliance), www.fidoalliance.org, был создан в июле 2012 года для решения проблемы отсутствия функциональной совместимости между технологиями строгой аутентификации и призван решить проблему проблем пользователей с созданием и запоминанием нескольких имена пользователей и пароли. Альянс FIDO меняет характер аутентификации, принимая более простые и надежные стандарты аутентификации и определяя набор открытых, расширяемых и интероперабельных механизмов для снижения зависимости от паролей. Аутентификация FIDO является более мощной, конфиденциальной и упрощенной при аутентификации в онлайн-сервисах.

О Консорциуме всемирной паутины (W3C)

Консорциум World Wide Web (W3C), www.w3.org, является международной организацией, состоящей из организаций-членов, штатных сотрудников и общественности, занимающихся разработкой стандартов Интернета. W3C обеспечивает долгосрочное и стабильное развитие Интернета, создавая интернет-стандарты и руководящие принципы.Открытая веб-платформа является основной работой консорциума World Wide Web. W3C сформулировал основные технические протоколы для создания веб-сайтов и веб-приложений, включая HTML5, CSS и т. д., и получил премию «Эмми» 2016 года (2016 Emmy Award) за свою работу над безбарьерными субтитрами к онлайн-видео. премия).

Концепция W3C «Единая сеть» привлекла к совместной работе тысячи технических экспертов из более чем 400 подразделений-членов по всему миру. W3C находится под совместным управлением следующих учреждений: Лаборатория компьютерных технологий и искусственного интеллекта Массачусетского технологического института (MIT CSAIL), Европейский союз исследований в области информации и математики (ERCIM) во Франции, Университет Кейо в Японии и Beijing Aerospace в Китае. Университет (Beihang University) и офисы по всему миру. См. http://www.w3.org для получения дополнительной информации.

Рекомендуемое чтение

(нажмите на картинку, чтобы прыгнуть)

В эпоху экологического хаоса наше исследование конечного веб-опыта никогда не прекращалось, и любая путаница и споры будут прекращены стандартами. Это худшее и лучшее время для Интернета.

——《 Экология интерфейса хаотична, AMP и MIP усердно работают над стандартизацией

Brilliant Open Web 

Команда BOW (Brilliant Open Web) — это специальная группа разработчиков веб-технологий, занимающаяся продвижением разработки технологии Open Web и превращением Интернета в лучший выбор для разработчиков.

BOW фокусируется на интерфейсе и Интернете, анализирует технологии, делится практикой, рассказывает об обучении и управлении.

Следите за разработчиками OpenWeb, отвечайте на «добавить группу», давайте вместе способствовать развитию технологии OpenWeb!

OpenWeb-разработчик

ID: BrilliantOpenWeb

Технологии соединяют мир, открытость выигрывает будущее

Категории