­　　2018 年 4 月 10 號，W3C 官方宣布： FIDO 聯盟與 W3C 聯合取得 Web 認證標準的里程碑式進展，在全球實現更簡單更強大的 Web 認證方式。在 Google Chrome、Microsoft Edge 和 Mozilla Firefox 的支持下，FIDO2 項目以保護全球互聯網用戶為目標，開啟了一個普適、安全、強認證方式的新時代！ —— 這將打通用戶和 Web 的終極壁壘，給 Web 的體驗帶來質的飛躍。

­　　W3C 官方全文

­　　2018年4月10日— FIDO聯盟(FIDO Alliance)與W3C(World Wide Web Consortium)聯合取得了Web認證標準的重大進展，為全球用戶帶來更簡單、更強大的Web認證方式。

­　　由FIDO提交的文檔Web Authentication（以下稱WebAuthn），已經正式進入W3C候選推薦標準（Candidate Recommendation，簡稱CR）階段。這份規(guī)范文檔由W3C Web認證工作組(Web Authentication Working Group)發(fā)布，該組由30多位來自不同組織的會員單位代表組成。進入CR階段意味著該規(guī)范將最終成為W3C正式標準 （Recommendation，簡稱REC），W3C在此階段邀請在線服務商和Web應用開發(fā)者對WebAuthn進行技術實現。

­　　WebAuthn在瀏覽器和跨站點設備上，定義了一個可以合并到瀏覽器中的標準Web API，以及相關的Web平臺基礎設施，為用戶提供在Web上進行安全認證的新方法。 WebAuthn由W3C與FIDO聯盟合作開發(fā)，它連同FIDO的客戶端到認證器協議規(guī)范(Client to Authenticator Protocol，CTAP)，構成了FIDO2 項目的核心組件。

­　　CTAP啟用外部認證器（例如安全秘鑰或手機）通過USB、藍牙、或者NFC向用戶的互聯網接入設備（電腦或手機）局部傳遞強認證證書。FIDO2規(guī)范可以讓用戶能夠輕松且安全地通過桌面或移動設備驗證在線服務。

­　　Google、Microsoft以及Mozilla都已承諾在其瀏覽器中支持WebAuthn標 準，并已經開始在Windows、Mac、Linux、Chrome OS以及Android平臺上進行實現。WebAuthn和CTAP規(guī)范的出現，使開發(fā)人員和供應商能夠迅速將對下一代FIDO身份驗證的支持切實部署到其產品和服務中。

­　　FIDO2標準化工作的完成，W3C WebAuthn標準的推進，以及瀏覽器供應商對實現這一標準的承諾，都預示著一個新時代的開啟，一個為所有互聯網用戶提供普適的、硬件支持FIDO身份驗證保護的時代。

­　　企業(yè)和在線服務提供者希望保護自己和他們的客戶免于遭受密碼風險—包括網絡釣魚，中間人攻擊和濫用竊 取憑證—可以通過瀏覽器或通過外部認證器，快速部署基于標準的強認證。通過部署FIDO身份驗證，在線服務可以在用戶每天使用的互動操作系統（如手機和安全密鑰）中為用戶提供選擇。

­　　新的FIDO2規(guī)范在瀏覽器和操作系統中的標準化將進一步擴大FIDO身份驗證的范圍，FIDO身份 驗證被全球監(jiān)管機構和標準制定機構引用，并通過Google、Facebook、NTT DOCOMO、美國銀行等企業(yè)所提供的服務，在全球范圍內用于數億臺設備，用戶超過35億。 新規(guī)范對現有的無密碼FIDO UAF和第二因素FIDO U2F用例進行了補充，并擴展了FIDO認證的可用性。FIDO2網絡瀏覽器和在線服務完全向后兼容所有之前獲得認證的FIDO安全密鑰。

­　　FIDO即將啟動互操作性測試，并將為符合FIDO2規(guī)范的服務器、客戶端和認證器頒發(fā)認證憑證。人們可以在FIDO的網站上 找到一致性測試工具。 此外，FIDO將為與所有FIDO認證器類型（FIDO UAF，FIDO U2F，WebAuthn，CTAP）互操作的服務器引入新的通用服務器認證。

­　　WebAuthn 和 FIDO2 項目帶來的益處

­　　W3C的WebAuthn API是一種可融入瀏覽器和相關Web平臺基礎架構的標準WebAPI，可為每個站點提供強大、唯一且基于公鑰的憑證，消除了從某一站點竊取密碼后被用于其他站點的風險。 使用FIDO身份驗證器加載到設備上的在瀏覽器中運行的Web應用程序，可以通過密碼操作代替密碼交換，或除了密碼交換之外，還可為服務提供者和用戶帶來諸多益處：

­　　更簡單的身份驗證：用戶只需使用一種手勢登錄

­　　PC、筆記本電腦和/或移動設備中的內部或內置認證器（如指紋或面部生物識別技術）

­　　使用CTAP進行設備到設備認證的外部認證器（如安全密鑰和移動設備），一個由FIDO聯盟開發(fā)的用于補充WebAuthn的外部認證器協議

­　　更強的身份驗證：FIDO身份驗證比單純依賴密碼和相關身份驗證方式要強大得多，并具有以下優(yōu)點

­　　用戶證書和生物識別模板永遠不會離開用戶的設備，也不會存儲在服務器上

­　　帳戶可以免受網絡釣魚，中間人攻擊和使用被盜密碼的反復攻擊

­　　開發(fā)人員可以開始在FIDO新的開 發(fā)者資源頁面上創(chuàng)建利用FIDO身份驗證的應用程序和服務。