WebAuthn vil eliminere behovet for passord ved å flytte til metoder for godkjenning, for eksempel biometri, sier web-standarder-kontrolleren
Ons 11 Apr 2018 13.17 BST
Sist endret på Ons 11 Apr 2018 13.22 BST
WebAuthn lover å beskytte brukerne mot phishing-angrep og bruk av stjålet legitimasjon.
Foto: Steven Puetzer/Getty Images
En ny web-standarden, er forventet å drepe passord, som betyr at brukerne slipper å huske vanskelig innlogginger for hver og en av nettsiden eller tjenesten de bruker.
Den Web-Godkjenning (WebAuthn) standarden er utviklet for å erstatte passord med biometri og enhetene som brukerne allerede eier, som en sikkerhetsnøkkel, en smarttelefon, en fingeravtrykkleser eller webkamera.
I stedet for å måtte huske en stadig lang streng av tegn, kan brukere godkjennes i sin logg inn med kroppen sin eller noe de har i sin besittelse, kommunisere direkte med nettstedet via Bluetooth, USB eller NFC.
“WebAuthn vil endre måten som folk får tilgang til Internett,” sa Jonathan Jaffe, daglig leder av World Wide Web Consortium (W3C), kroppen som styrer web-standarder.
Ett eksempel på hvordan WebAuthn vil fungere er at når en bruker besøker et nettsted de ønsker å logge inn, de skriver inn et brukernavn og deretter få et varsel på sin smarttelefon. Å trykke på varselet på telefonen sin, deretter logger dem til nettstedet uten behovet for et passord.
WebAuthn lover å beskytte brukerne mot phishing-angrep og bruk av stjålne legitimasjon som det vil være noe for å stjele, autentisering token genereres og brukes én gang ved deres spesifikke enheten hver gang brukeren logger seg på.
“Etter år med stadig mer alvorlige datainnbrudd og passord credential tyveri, nå er det tid for tjenesteleverandører å avslutte sin avhengighet av sårbare passord og engangs-passord og vedta phishing-resistente FIDO Godkjenning for alle webområder og-programmer,” sa Brett McDowell, direktør for FIDO Alliance, en av de organer presser den nye standarden.
WebAuthn bør også hjelpe folk bruker unike detaljene for hver og en service som de bruker, i stedet for å bruke samme brukernavn og passord for hvert område, som mange mennesker fortsatt ikke forlate dem sårbare for ytterligere angrep hvis én nettside er hacket.
W3C har flyttet WebAuthn til det som er kalt “kandidat anbefaling” scenen – det er nest siste trinn før det blir en godkjent standard web – inviterer-områder og-tjenester for å begynne å gjennomføre den. Web standards kroppen annonsert som Google, Microsoft og Mozilla hadde forpliktet til å støtte WebAuthn, noe som betyr at alle større nettlesere kort av Apples Safari vil implementere den nye standarden.
“Mens det er mange internett-sikkerhet problemer og vi kan ikke fikse dem alle, å stole på passord er en av de svakeste lenkene. Med WebAuthn multi-faktor løsninger vi eliminerer denne svake koblingen,” sa Jaffe.
Flere nettsteder og tjenester som allerede er i bruk lignende metoder for å logge deg på, inkludert Google og Facebook, som kan både være logget inn ved hjelp av en USB-sikkerhetsnøkkel. Men et enkelt kryss-plattform, cross-tjenesten standard ratifisert av W3C vil bety at mange flere nettsteder og tjenester vil være i stand til å drepe passord som defacto logg inn metode.
WebAuthn er et resultat av mange års arbeid og endringen vil ikke skje over natten. Men som det i økende grad synes uunngåelig at våre e-post eller andre elektroniske tjenester vil bli hacket inn, fjerne passordet, er et viktig skritt i å forbedre internett-sikkerhet og gjøre bruk av nettsteder og tjenester enklere.
- Passord og hacking: sjargong av hashing, salting og SHA-2 forklart