2018年4月10日— FIDO聯(lián)盟（FIDO Alliance）與W3C（World Wide Web Consortium）聯(lián)合取得了Web認證標準的重大進展，為全球用戶帶來更簡單、更強大的Web認證方式。由FIDO提交的文檔Web Authentication（以下稱WebAuthn），已經(jīng)正式進入W3C候選推薦標準（Candidate Recommendation，簡稱CR）階段。這份規(guī)范文檔由W3C Web認證工作組（Web Authentication Working Group）發(fā)布，該組由30 多位來自不同組織的會員單位代表組成。進入CR階段意味著該規(guī)范將最終成為W3C正式標準（Recommendation，簡稱REC），W3C在此階段邀請在線服務(wù)商和Web應(yīng)用開發(fā)者對WebAuthn 進行技術(shù)實現(xiàn)。

　　WebAuthn在瀏覽器和跨站點設(shè)備上，定義了一個可以合并到瀏覽器中的標準Web API，以及相關(guān)的Web平臺基礎(chǔ)設(shè)施，為用戶提供在Web上進行安全認證的新方法。 WebAuthn由W3C與FIDO聯(lián)盟合作開發(fā)，它連同F(xiàn)IDO的客戶端到認證器協(xié)議規(guī)范（Client to Authenticator Protocol，CTAP），構(gòu)成了FIDO2 項目的核心組件。CTAP啟用外部認證器（例如安全秘鑰或手機）通過USB、藍牙、或者NFC向用戶的互聯(lián)網(wǎng)接入設(shè)備（電腦或手機）局部傳遞強認證證書。FIDO2規(guī)范可以讓用戶能夠輕松且安全地通過桌面或移動設(shè)備驗證在線服務(wù)。

　　FIDO聯(lián)盟執(zhí)行理事Brett McDowell說：“隨著今天宣布FIDO2規(guī)范及Web瀏覽器對其的支持，我們正朝著FIDO身份驗證普適于所有平臺及設(shè)備上這一目標邁出了一大步，經(jīng)歷多年日益嚴重的數(shù)據(jù)泄露和密碼憑證被盜用等問題，現(xiàn)在正是服務(wù)供應(yīng)商所面臨的重要時機，來結(jié)束對易受攻擊的密碼和一次性密碼的依賴，并為所有網(wǎng)站和應(yīng)用程序采用防網(wǎng)絡(luò)釣魚的FIDO身份驗證”。

　　Google、Microsoft以及Mozilla都已承諾在其瀏覽器中支持WebAuthn標準，并已經(jīng)開始在Windows、Mac、Linux、Chrome OS以及Android平臺上進行實現(xiàn)。WebAuthn和CTAP規(guī)范的出現(xiàn)，使開發(fā)人員和供應(yīng)商能夠迅速將對下一代FIDO身份驗證的支持切實部署到其產(chǎn)品和服務(wù)中。

　　W3C首席執(zhí)行官Jeff Jaffe說：“網(wǎng)絡(luò)安全一直是無法規(guī)避的問題，它阻撓著網(wǎng)絡(luò)對社會的諸多積極影響。當(dāng)今網(wǎng)絡(luò)安全隱患眾多，其中對密碼的依賴是最薄弱的環(huán)節(jié)之一。借助WebAuthn的多因素解決方案，我們正在逐步消除這一薄弱環(huán)節(jié)，WebAuthn將改變?nèi)藗冊L問網(wǎng)絡(luò)的方式”。

　　FIDO2標準化工作，W3C WebAuthn標準的推進，以及瀏覽器供應(yīng)商對實現(xiàn)這一標準的承諾，都預(yù)示著一個新時代的開啟，一個為所有互聯(lián)網(wǎng)用戶提供普適的、硬件支持FIDO身份驗證保護的時代。

　　企業(yè)和在線服務(wù)提供者希望保護自己和他們的客戶免于遭受密碼風(fēng)險—包括網(wǎng)絡(luò)釣魚，中間人攻擊和濫用竊取憑證—可以通過瀏覽器或通過外部認證器，快速部署基于標準的強認證。通過部署FIDO身份驗證，在線服務(wù)可以在用戶每天使用的互動操作系統(tǒng)（如手機和安全密鑰）中為用戶提供選擇。

　　新的FIDO2規(guī)范在瀏覽器和操作系統(tǒng)中的標準化將進一步擴大FIDO身份驗證的范圍，F(xiàn)IDO身份驗證被全球監(jiān)管機構(gòu)和標準制定機構(gòu)引用，并通過Google、Facebook、NTT DOCOMO、美國銀行等企業(yè)所提供的服務(wù)，在全球范圍內(nèi)用于數(shù)億臺設(shè)備，用戶超過35億。 新規(guī)范對現(xiàn)有的無密碼FIDO UAF和第二因素FIDO U2F用例進行了補充，并擴展了FIDO認證的可用性。FIDO2網(wǎng)絡(luò)瀏覽器和在線服務(wù)完全向后兼容所有之前獲得認證的FIDO安全密鑰。

　　FIDO即將啟動互操作性測試，并將為符合FIDO2規(guī)范的服務(wù)器、客戶端和認證器頒發(fā)認證憑證。人們可以在FIDO的網(wǎng)站上找到一致性測試工具。 此外，F(xiàn)IDO將為與所有FIDO認證器類型（FIDO UAF，F(xiàn)IDO U2F，WebAuthn，CTAP）互操作的服務(wù)器引入新的通用服務(wù)器認證。

　　W3C的WebAuthn API是一種可融入瀏覽器和相關(guān)Web平臺基礎(chǔ)架構(gòu)的標準WebAPI，可為每個站點提供強大、唯一且基于公鑰的憑證，消除了從某一站點竊取密碼后被用于其他站點的風(fēng)險。 使用FIDO身份驗證器加載到設(shè)備上的在瀏覽器中運行的Web應(yīng)用程序，可以通過密碼操作代替密碼交換，或除了密碼交換之外，還可為服務(wù)提供者和用戶帶來諸多益處：

　　線上快速身份驗證聯(lián)盟（Fast IDentity Online Alliance，簡稱FIDO Alliance），www.fidoalliance.org， 成立于2012年7月，旨在解決強認證技術(shù)之間缺乏互操作性的問題，并致力于解決用戶在創(chuàng)建和記憶多個用戶名和密碼時遇到的問題。FIDO聯(lián)盟正在改變身份驗證的性質(zhì)，采用更簡單、更強大的身份驗證標準，定義了一組開放、可擴展、可互操作的機制，以減少對密碼的依賴。在向在線服務(wù)進行身份驗證時，F(xiàn)IDO身份驗證功能更強大、更私密、更簡化。

　　萬維網(wǎng)聯(lián)盟 （World Wide Web Consortium，簡稱W3C），www.w3.org， 是由會員組織、全職工作人員、以及公眾共同組成的致力于發(fā)展互聯(lián)網(wǎng)標準的國際化組織。W3C通過創(chuàng)立互聯(lián)網(wǎng)標準及指導(dǎo)方針來保障互聯(lián)網(wǎng)長期穩(wěn)定的發(fā)展，開放萬維網(wǎng)平臺（Open Web Platform）是萬維網(wǎng)聯(lián)盟目前的核心工作。W3C制定了包括HTML5、CSS 等構(gòu)建Web站點與Web應(yīng)用的基礎(chǔ)技術(shù)協(xié)議，并因為在無障礙在線視頻字幕等工作，獲得2016年的艾美獎（2016 Emmy Award）。

　　W3C “一個萬維網(wǎng)（One Web）”的理念吸引了全球400多家會員單位數(shù)千名技術(shù)專家共同工作。W3C主要由如下機構(gòu)聯(lián)合管理：美國麻省理工學(xué)院計算機科技與人工智能實驗室(MIT CSAIL)、法國的歐洲信息與數(shù)學(xué)研究聯(lián)盟(ERCIM)、日本慶應(yīng)大學(xué)(Keio University)以及中國北京航空航天大學(xué)(Beihang University)，并在全球范圍內(nèi)設(shè)有辦事處。更多信息請見http:/www.w3.org。