W3C倡导设立标准化无密码登录系统：FIDO是基石

万维网联盟（W3C）于今日宣布成立了一个新的网络小组，旨在标准化一项全新的 Web 身份验证机制，以协同或取代经典的密码组合。新成立 Web 身份验证小组将围绕健壮和开放密码，创建出一套通用的身份验证系统。这个新系统必须足够强大，但也要易于实现。以便说服网络管理员拿它作为一种替代方案，然后取代今时常用的用户名/密码验证。

尽管密码确实提供了一些防护，但人为的因素还是削弱了它们的数据安保能力，比如在不同的地方使用重复的密码字符串、或者被攻击者拿到了哈希后的密码格式。

有鉴于此，2013 年的时候，PayPal 和联想发起了 FIDO（线上快速身份验证联盟）。随着时间的推移，阿里巴巴、美国银行、Google、英特尔、ING、MasterCard、微软、高通、RSA、三星、Visa 等企业也纷纷加盟。

在过去的 2 年时间里，该组织已经完成了很多重要的工作，比如一套新的 API（易于对用户进行无密码的身份验证）。这些 API 是专门精心设计的，可以在支持插件架构的不同浏览器上跨越使用。

当前，FIDO 2.0 Web APIs 允许开发者们通过生物特征（比如语音、虹膜、指纹）和加密解决方案（比如带加密密钥的便携式 USB 介质）来验证用户，但其它方案也随时可以加入。

2015 年 11 月的时候，FIDO 联盟将这套 API 捐赠给了 W3C，后者现也宣布了将它作为即将到来的 Web 身份验证 API 的基础的计划。

编译自：Soft Pedia

来自: cnBeta