日前,W3C(万维网联盟)启动新的工作组专门负责一种新的网络验证机制标准化的运行工作,目的是取代传统的密码组合。
这个新建的网络验证工作组将围绕复杂、开放的加密学创建出一种通用的验证系统。这个新系统必须足够强大但同时也要易于执行,要能够说服网站管理员将其作为一种选择,并且能够替代当前使用用户名和密码组合来验证用户的做法。
虽然密码确实提供了很强大的保护,但很多时候人为因素削弱了它们保护数据的能力。密码的重复使用以及弱密码串能够使攻击者从哈希格式追溯出密码。正因如此,2013年,PayPal和联想开启了一种新的开放行动FIDO(快速身份网络联盟)。随后其它企业也陆续加入如阿里巴巴、美洲银行、谷歌、因特尔、万维卡公司、微软、Qualcomm、RSA、三星、维萨卡公司等等。
FIDO联盟已挑起所有的重头戏
在过去的两年中,FIDO联盟一直都在围绕一系列新的API在默默工作,这些API让通过无需密码的解决方式验证用户变得更加快捷。用户的API经过了特别编制,可在不同浏览器中运行并且有一个可插拔的基础架构。
目前,FIDO 2.0网络API允许开发人员通过生物特征(声音、视力、指纹)和加密解决方案(带有加密密钥的便携式USB电子狗)验证用户,不过如果有其他解决方案的话,这些措施可能会被替代。2015年11月,FIDO联盟将这个API捐赠给W3C,随后W3C宣布以此为基础推出网络验证API。
FIDO联盟指出,“我们的使命是通过技术标准的形成和全球推广来变革网络验证方式,这些技术标准推取代人们对密码验证的依赖。W3C接受了FIDO 2.0的提交,而且通过工作组的成立,我们正行走在完成这个使命的路上。”