W3C aprova WebAuthn como o padrão da web para logins sem senhas
7 de março de 2019O World Wide Web Consortium ( W3C ) declarou hoje que a Web Authentication API ( WebAuthn ) é agora um padrão oficial da web. Anunciado pela primeira vez pelo W3C e pela FIDO Alliance em novembro de 2015, o WebAuthn é agora um padrão aberto para logins sem senha na web. É apoiado por colaboradores do W3C, incluindo Airbnb, Alibaba, Apple, Google, IBM, Intel, Microsoft, Mozilla, PayPal, SoftBank, Tencent e Yubico.
A especificação permite que os usuários façam login em contas on-line usando chaves biométricas, dispositivos móveis e / ou chaves de segurança FIDO .
O WebAuthn é suportado pelo Android e Windows 10. No lado do navegador, o Google Chrome , o Mozilla Firefox e o Microsoft Edge adicionaram suporte no ano passado. A Apple tem suportado o WebAuthn em versões prévias do Safari desde dezembro.
Matando a senha
“Agora é a hora de os serviços e empresas da Web adotarem o WebAuthn para ir além das senhas vulneráveis e ajudar os usuários da Web a melhorar a segurança de suas experiências on-line”, disse o CEO do W3C, Jeff Jaffe, em um comunicado.
“A Recomendação do W3C estabelece uma orientação de interoperabilidade para toda a web, estabelecendo expectativas consistentes para os usuários da web e os sites que eles visitam. O W3C está trabalhando para implementar essa melhor prática em seu próprio site. ”
Embora o W3C ainda não tenha adotado sua própria criação, o WebAuthn já está implementado em sites como Dropbox, Facebook, GitHub, Salesforce, Stripe e Twitter. Agora que o WebAuthn é um padrão oficial, a esperança é que outros sites também sejam implementados, levando a mais logins sem senha em toda a web.
Mas não é apenas a web. A Aliança FIDO quer matar a senha em todos os lugares, uma meta na qual vem trabalhando há anos e provavelmente ainda estará trabalhando nos próximos anos.
FIDO2
A recomendação WebAuthn da W3C é um componente central do conjunto de especificações FIDO2 da FIDO Alliance .
O FIDO2 é um padrão que suporta criptografia de chave pública e autenticação multifator – especificamente, os protocolos UAF (Universal Authentication Framework) e U2F (Universal Second Factor). Para ajudar a estimular a adoção, a FIDO Alliance fornece ferramentas de teste e um programa de certificação .
O FIDO2 tenta abordar os problemas de autenticação tradicionais de quatro maneiras:
– Segurança: As credenciais de login criptográfico do FIDO2 são únicas em todos os sites; A biometria ou outros segredos, como senhas, nunca saem do dispositivo do usuário e nunca são armazenados em um servidor. Esse modelo de segurança elimina os riscos de phishing, todas as formas de roubo de senhas e ataques de repetição.
– Conveniência: os usuários fazem login com métodos simples, como leitores de impressão digital, câmeras, chaves de segurança FIDO ou seu dispositivo móvel pessoal.
– Privacidade: Como as chaves FIDO são exclusivas para cada site, elas não podem ser usadas para rastrear usuários em sites.
– Escalabilidade: os sites da Web podem ativar o FIDO2 por meio de uma chamada de API em todos os navegadores e plataformas compatíveis com bilhões de dispositivos que os consumidores usam todos os dias.
“O componente Web Authentication do FIDO2 é agora um padrão oficial da Web do W3C, uma conquista importante que representa muitos anos de colaboração no setor para desenvolver uma solução prática para autenticação resistente a phishing na web”, disse o diretor executivo da FIDO Alliance, Brett McDowell. declaração.”Com este marco, estamos nos movendo para a próxima fase de nossa missão compartilhada de fornecer autenticação mais simples e mais forte para todos que usam a Internet hoje e nos próximos anos”.
Identidade digital: Unisys lança software de gerenciamento de identidade multi-biométrico
Sistema de reconhecimento facial identifica homicida em Salvador
Especialista em Assinatura Digital recebe Prêmio RSA de Excelência no Campo da Matemática
David Inácio do Washington Post conversa com Tim Berners-Lee
Idec notifica Hering por coleta de dados faciais para publicidade
No segundo dia da RSA acontece o painel dos criptógrafos
Facebook quer adicionar criptografia e privacidade às mensagens