W3C

万维网联盟(W3C)于今日宣布成立了一个新的网络小组,旨在标准化一项全新的 Web 身份验证机制,以协同或取代经典的密码组合。新成立 Web 身份验证小组将围绕健壮和开放密码,创建出一套通用的身份验证系统。这个新系统必须足够强大,但也要易于实现。以便说服网络管理员拿它作为一种替代方案,然后取代今时常用的用户名/密码验证。

尽管密码确实提供了一些防护,但人为的因素还是削弱了它们的数据安保能力,比如在不同的地方使用重复的密码字符串、或者被攻击者拿到了哈希后的密码格式。

有鉴于此,2013 年的时候,PayPal 和联想发起了 FIDO(线上快速身份验证联盟)。随着时间的推移,阿里巴巴、美国银行、Google、英特尔、ING、MasterCard、微软、高通、RSA、三星、Visa 等企业也纷纷加盟。

在过去的 2 年时间里,该组织已经完成了很多重要的工作,比如一套新的 API(易于对用户进行无密码的身份验证)。这些 API 是专门精心设计的,可以在支持插件架构的不同浏览器上跨越使用。

当前,FIDO 2.0 Web APIs 允许开发者们通过生物特征(比如语音、虹膜、指纹)和加密解决方案(比如带加密密钥的便携式 USB 介质)来验证用户,但其它方案也随时可以加入。

2015 年 11 月的时候,FIDO 联盟将这套 API 捐赠给了 W3C,后者现也宣布了将它作为即将到来的 Web 身份验证 API 的基础的计划。