對於我們現代的網站和網絡應用來說,密碼並不適用:它們不安全,難以記憶,並且只能管理它們提供的基本帳戶保護。現在,Chrome和Firefox正在領先收取網絡上密碼的好處。
通過FIDO(快速身份在線)聯盟提出的用於身份驗證協議的Web身份驗證標準,以及萬維網聯盟(W3C)這一標準組織負責大量的身份驗證,這一最新推動使登錄無縫,安全和流暢。什麼構成了互聯網。它在Firefox 60和Chrome 67中受到支持,以下是它的工作原理。
生物識別比密碼更好
Web身份驗證(簡稱WebAuthn)背後的想法是,您可以使用各種選項代替密碼:指紋,網絡攝像機,插入計算機的USB記憶棒等。這些登錄方法已經存在多年,但Web身份驗證旨在讓它們在整個Web上實現標準化,並更加無縫地集成到在線登錄中。
與密碼登錄一樣,該協議允許網站向用戶提出挑戰以證明其身份。在這種情況下,儘可能地鎖定和保護所有內容 - 它只能在HTTPS上運行,並且不會傳輸任何個人信息,所以沒有人在你的肩上看著或者坐在咖啡廳的五張桌子上,竊取您的憑據。
實際上,這可能有幾種不同的方式,但一種情況是使用手機在網站上註冊一個新帳戶。與其輸入另一個用戶名或密碼,系統會詢問您是否要註冊當前設備 - 選擇是,用指紋或PIN碼確認您的身份(就像您從應用商店購買某件商品時一樣) 。
如果您在筆記本電腦上登錄,則可能會提示您使用手機登錄 - 然後,您可以使用手機的指紋或臉部登錄方法來證明您是誰,並通過NFC或藍牙進行通信。或者,該網站可以檢查先前註冊到筆記本電腦的USB記憶棒,而不是提示輸入密碼。
它實際上是瀏覽器已經做到的邏輯擴展:記住你的密碼,並在彈出的時候自動填充登錄字段。我們中的許多人已經將所有登錄憑證安全地存儲在瀏覽器中,例如Windows或MacOS帳戶密碼等,阻止他人訪問瀏覽器並打開他們喜歡的任何網站。
使用WebAuthn,這個想法變得更加簡單,在很多情況下只需要一次點擊。一個額外的好處是,當下一批密碼洩漏到網絡上時,您不必擔心太多,因為您仍然有其他的安全手段保護您的賬號。
如果您在Chromebook上使用Smart Lock或使用Apple Watch 解鎖您的Mac,則幾乎與此類似。當出現桌面登錄屏幕時,如果已驗證的設備靠近,登錄過程會自動啟動 - 無需選擇用戶帳戶或輸入密碼。WebAuthn想要做的是讓訪問網站變得簡單。
還有一些問題需要解決,比如擁有強大的恢復系統以防萬一被黑客攻擊,並確保在升級時可以輕鬆地從舊手機切換到新手機。但是,考慮到100個密碼和用戶名,甚至必須在每次想要登錄新的地方時啟動雙因素身份驗證應用程序,這在便利性和安全性方面都是顯著提升。
正如我們所提到的,Mozilla Firefox和Google Chrome的穩定版本現在支持該技術,並且即將在微軟Edge上推出。到目前為止,蘋果還沒有在Safari中支持WebAuthn發表過很多評論 - 該公司是W3C的成員,但不是FIDO的成員,所以你會這麼做。
我什麼時候可以使用它?
即使有了這種瀏覽器支持技術,它仍然是一種實驗性技術,W3C建議網站只採用一種標準 - 而不是要求。
尚未看到任何流行的消費類網站都在使用這項新技術,儘管業界大腕在未來支持它時會發出正確的聲音。
一種選擇是FIDO Universal 2nd Factor(U2F)標準,它是Web認證的先行者 - Gmail是一個支持U2F的站點,因此您可以使用經過驗證的USB記憶棒代替使用認證應用程序。該技術也適用於Facebook。這並不是取代你的密碼,而是增加了一個雙重保障。
當我們等待WebAuthn技術時,您至少應該儘可能安全地存儲您的密碼。我們一直倡導使用有信譽的密碼管理器來關注您的登錄憑證,而最好的軟件包甚至會為新網站提供難以破解的密碼。
大多數現代瀏覽器都會為您執行大量的密碼管理,如果您尚未打開該功能,則在等待WebAuthn終結密碼時代時,這樣做非常值得 - 在Chrome中,您可以找到該選項例如,高級和管理設置中的密碼 ; 在Firefox中,它屬於隱私和安全,然後是首選項中的表單和密碼。
藉助iCloud Keychain,Safari的密碼管理功能超越了瀏覽器,這是一款用於在多個設備上記住用戶名和密碼的全功能系統(只要這些設備由Apple生產) - 您可以通過iCloud選項進行設置在iOS設置的帳戶頁面上。蘋果公司正在通過提供代表你生成強密碼並存儲它們的方式,在iOS 12和MacOS 10.14 Mojave中提升這一功能。
為了不甘示弱,Google擴展了Smart Lock,以便在您擁有的每臺設備上記錄您的密碼和登錄憑據(只要這些設備正在運行Google軟件)。當您使用相同的Google帳戶註冊Android設備時,Google Chrome和Chrome操作系統中存儲的密碼會自動帶出,從而輕鬆訪問您的應用。您也可以在網上查看您的所有密碼。
這些最現代化的服務的用戶體驗與WebAuthn將帶來的相似,但密碼仍然支撐著這一過程 - 這些工具使管理這些密碼變得更加容易。
Web身份驗證所要做的就是完全清除密碼,使登錄網站變得像用手指觸摸解鎖手機一樣簡單。
閱讀更多 摩爾說 的文章
