WebAuthn vil eliminere behovet for en adgangskode ved at flytte til metoder til godkendelse, såsom biometri, siger web-standarder controller
Wed, 11 Apr 2018 13.17 BST
Sidst opdateret den Ons 11 Apr 2018 13.22 BST
WebAuthn løfter om at beskytte brugere mod phishing-angreb og brugen af stjålne legitimationsoplysninger.
Foto: Steven Puetzer/Getty Images
En ny web-standarden og forventes at dræbe passwords, hvilket betyder at brugerne vil ikke længere nødt til at huske svært logins for hver eneste hjemmeside eller service, de bruger.
Web-Godkendelse (WebAuthn) standard er designet til at erstatte den adgangskode med biometri og enheder, som brugerne allerede ejer, som en sikkerhedsnøgle, en smartphone, en fingeraftryksscanner eller webcam.
I stedet for at skulle huske en stadig lange streng af tegn, brugere kan godkende deres login med deres krop, eller noget, de har i deres besiddelse, og som kan kommunikere direkte med hjemmesiden via Bluetooth, USB eller NFC.
“WebAuthn vil ændre den måde, som mennesker har adgang til Internettet,” sagde Jeff Jaffe, administrerende direktør for World Wide Web Consortium (W3C), det organ, der styrer web-standarder.
Et eksempel på, hvordan WebAuthn vil virke, er, at når en bruger besøger et websted, de vil logge ind, skal de indtaste et brugernavn, og derefter få en besked på deres smartphone. At trykke på alarmen på deres telefon, så logger dem ind på hjemmesiden, uden at skulle bruge en adgangskode.
WebAuthn løfter om at beskytte brugere mod phishing-angreb og brugen af stjålne legitimationsoplysninger, som der vil være noget at stjæle, godkendelse token er genereret, og brugt en gang, ved deres specifikke enhed, hver gang brugeren logger på.
“Efter flere år med stadig mere alvorlige brud på datasikkerheden og password id-tyveri, nu er det tid for udbydere til at ende deres afhængighed af sårbare adgangskoder og engangs-adgangskoder og vedtage phishing-resistente FIDO-Godkendelse for alle websites og applikationer,” sagde Brett McDowell, administrerende direktør for FIDO Alliance, en af de organer, der skubber den nye standard.
WebAuthn bør også hjælpe folk med at bruge unikke login-oplysninger for hver og service, de bruger, i stedet for at bruge det samme login og password for hvert websted, som mange mennesker stadig ikke at efterlade dem sårbare over for yderligere angreb, hvis et site er hacket.
W3C har flyttet WebAuthn til, hvad der kaldes den “kandidat henstilling” fase – den næstsidste trin, før det bliver en godkendt web standard – indbydende-websteder og-tjenester til at begynde at implementere det. Web-standarder krop annonceret, at Google, Microsoft og Mozilla havde forpligtet sig til at støtte WebAuthn, hvilket betyder, at alle de store web-browsere kort af Apple ‘ s Safari vil implementere den nye standard.
“Mens der er mange web-sikkerhed problemer, og vi kan ikke løse dem alle, bygger på passwords er en af de svageste led. Med WebAuthn ‘ s multi-faktor-løsninger vi fjerner det svage led,” sagde Jaffe.
Flere websteder og tjenester allerede bruger de lignende metoder til at logge på, herunder Google og Facebook, som både kan være logget ind ved hjælp af en USB-sikkerhedsnøgle. Men et enkelt cross-platform, cross-service standard, der er ratificeret af W3C vil betyde, at mange flere websteder og-tjenester vil være i stand til at dræbe den adgangskode som defacto login-metode.
WebAuthn er kulminationen på mange års arbejde og ændringen vil ikke ske natten over. Men som det ser mere og mere ud uundgåeligt, at vores e-mail eller andre online-tjenester, vil få hacket ind, fjerner adgangskoden, er et vigtigt skridt i forbedringen af online-sikkerhed, og gør brug af websteder og tjenester lettere.
- Adgangskoder og hacking: jargon hashing, saltning og SHA-2 forklaret