WebAuthn kommer att eliminera behovet av lösenord genom att flytta till metoder för autentisering som biometriska kännetecken, säger webbstandarder controller
Ons 11 Apr 2018 13.17 BST
Senast ändrad: Ons 11 Apr 2018 13.22 BST
WebAuthn lovar att skydda användarna mot phishing-attacker och användning av stulna inloggningsuppgifter.
Foto: Steven Puetzer/Getty Images
En ny webb-standard förväntas att döda lösenord, vilket innebär att användarna inte längre kommer att ha svårt att komma ihåg inloggningar för varje webbplats eller service som de använder.
Webben Autentisering (WebAuthn) standard är framtagen för att ersätta lösenord med biometri och enheter som användarna redan äger, till exempel en säkerhetsnyckel, en smartphone, en fingeravtrycksläsare eller en webbkamera.
Istället för att behöva komma ihåg en allt lång sträng av tecken, kan användare autentisera sina inloggning med sin kropp eller något som de har i sin besittning, att kommunicera direkt med webbplatsen via Bluetooth, USB eller NFC.
“WebAuthn kommer att förändra sättet som människor tillgång till internet,” säger Jeff Jaffe, vd för World Wide Web Consortium (W3C), det organ som styr webbstandarder.
Ett exempel på hur WebAuthn kommer att fungera är att när en användare besöker en webbplats de vill logga in, de mata in ett användarnamn och sedan få en varning på sin smartphone. Knacka på larm på sin telefon sedan loggar in dem till webbplatsen utan behovet av ett lösenord.
WebAuthn lovar att skydda användarna mot phishing-attacker och användning av stulna inloggningsuppgifter som det kommer att finnas något att stjäla, autentiseringstoken genereras och användas en gång av sin enhet varje gång användaren loggar in.
“Efter år av allt allvarligare dataintrång och lösenord referens stöld, nu är det dags för tjänsteleverantörer att avsluta sitt beroende av sårbara lösenord och en-gång-lösenord och anta phishing-resistenta FIDO Verifiering för alla webbplatser och applikationer”, säger Brett McDowell, verkställande direktör för FIDO Alliance, en av de organ som driver den nya standarden.
WebAuthn bör också hjälpa människor att använda unika inloggningsuppgifter för varje tjänst de använder, istället för att använda samma användarnamn och lösenord för varje webbplats, vilket många människor gör det fortfarande, att lämna dem sårbara för ytterligare attacker om en sajt är hackad.
W3C har flyttat WebAuthn till vad som kallas “kandidat rekommendation” – stadiet – den näst sista steg innan det blir ett godkänt web standard – inbjudande-platser och tjänster för att börja genomföra det. The web standards kroppen meddelade att Google, Microsoft och Mozilla hade åtagit sig att stödja WebAuthn, vilket innebär att alla större webbläsare kort av Apples Safari kommer att tillämpa den nya standarden.
“Även om det finns många web security problem och vi kan inte fixa dem alla, att förlita sig på lösenord, är en av de svagaste länkarna. Med WebAuthn multi-faktor-lösningar vi eliminera denna svaga länken”, sade Jaffe.
Flera webbplatser och tjänster som redan använder liknande metoder för att logga in, bland annat Google och Facebook, vilket kan både vara inloggad för att använda en USB-säkerhetsnyckel. Men en enda plattformsoberoende, cross-service standard ratificerats av W3C kommer att innebära att många fler webbplatser och tjänster kommer att kunna döda lösenord som defacto inloggning.
WebAuthn är resultatet av många års arbete och förändringen kommer inte att ske över en natt. Men som det allt verkar oundvikligt att vår e-post eller andra online-tjänster kommer att få hacka till, ta bort lösenord, är ett viktigt steg i att förbättra online-säkerhet och att använda webbplatser och tjänster enklare.
- Lösenord och dataintrång: jargong av hash, saltning och SHA-2 förklarade