三大瀏覽器承諾支援FIDO2身分驗證，免輸密碼不是夢

專門推動線上快速身分驗證的FIDO Alliance與負責制定網路標準的全球資訊網路聯盟（World Wide Web Consortium，W3C）周二（4/10）宣布，包括Google Chrome、Microsoft Edge與Mozilla Firefox等瀏覽器都已承諾將支援FIDO2身分驗證規格，未來藉由瀏覽器存取網路服務將有除了輸入密碼以外的其它身分驗證服務。FIDO2的WebAuthn與CTAP兩項核心規格也在周二一併出爐。

FIDO2是由W3C的網路驗證（Web Authentication，WebAuthn）規格與FIDO的客戶端至驗證器協定（ Client-to-Authenticator Protocol，CTAP）所組成，讓使用者不論是在桌面或行動環境中都可藉由常見的裝置輕易執行網路服務的身分驗證。

其中，WebAuthn定義了一個標準化的Web API，該API可被植入瀏覽器或相關的網路平台架構中，以讓網路服能使用FIDO驗證；CTAP則允許諸如手機或FIDO安全鑰匙等外部裝置能搭配WebAuthn使用，以作為桌面應用程式或網路服務的身分驗證器。

藉由WebAuthn，使用者將能直接在桌機、筆電或行動裝置上以指紋、虹膜或人臉登入服務。若搭配CTAP，使用者可先以手機瀏覽器註冊某個服務，並選擇驗證機制，這些驗證機制可以是PIN碼、指紋、虹膜、聲音或臉部辨識，當使用者要從桌機或筆電的瀏覽器登入該服務時，就會看到以手機登入的選項，當於手機上完成使用者最初選擇的驗證機制時，即可順利於桌面瀏覽器上登入服務。

相關標準將能解決單純使用密碼的眾多問題，包括忘記密碼、網釣攻擊、中間人攻擊，或是密碼遭竊等，強化身分驗證的安全性。

FIDO Alliance表示，除了Google、微軟與Mozilla都承諾要在瀏覽器中支援WebAuthn標準之外，相關標準也已開始被導入Windows、macOS、Linux、Chrome OS及Android等平台上，WebAuthn與CTAP規格的問世將有助於開發人員與製造商開始打造支援FIDO2的服務或產品。

WebAuthn目前仍處於W3C的推薦標準階段（Candidate Recommendation，CR），意謂著它已通過W3C成員組織與公眾的評審，只差一步就能成為正式標準。而Google、微軟與Mozilla皆已準備就緒，Google計畫讓WebAuthn成為Chrome 67的預設功能，Mozilla也決定於Firefox 60中讓WebAuthn成為預設功能，微軟亦已開始於Microsoft Edge中部署WebAuthn，並將整合微軟的Windows Hello生物辨識服務。

FIDO Alliance近期內即會展開互通性測試，以認證那些符合FIDO2規格的伺服器、用戶端與驗證器。