WebAuthn上个月才被批准,但谷歌Chrome,微软Edge,Firefox以及Apple Safari的预览版以及Android和Windows 10已经得到了支持。
该标准允许用户使用生物识别ID登录网站,例如存储在PC或智能手机上的指纹或面部扫描。
WebAuthn是FIDO U2F API的继承者,它允许用户使用物理安全密钥(例如Yubikey)登录Google帐户和其他站点。科技行业普遍希望尽快采用新标准来实现这一目标。
正如Mozilla密码学家JC Jones所解释的那样,WebAuthn是“我们对凭证网络钓鱼的最佳技术响应”。
“这就是为什么我们支持它作为一种技术,”他在一篇文章中写道,解释了为什么Mozilla现在要为Firefox中的FIDO U2F API添加向后兼容性,尽管它是一个已弃用的传统标准,标志更有限 -在选项中。
“我们鼓励采用Web身份验证而不是FIDO U2F API。但是,一些大型Web属性在迁移时遇到困难:WebAuthn使用FIDO U2F API生成的安全凭证,”Jones写道。
“但是,WebAuthn生成的凭证不能与FIDO U2F API一起使用。对于受影响的实体,这可能会导致糟糕的用户体验并阻碍这种关键技术的整体采用。”
这些大型网络资源是Gmail等谷歌网站,数十亿用户通过Google帐户登录,目前不支持注册使用WebAuthn创建的安全密钥。
参见:
Jones在Mozilla邮件列表中解释说,主要障碍在于无法使用WebAuthn安全密钥支持进行更新的大量Android设备。
“我们最近了解到,谷歌帐户已经放弃了使用网络身份验证注册新凭据的时间表。这种延迟归因于Android上的安全密钥支持,对于大多数设备而言,不可升级,”该密码学家写道。
“WebAuthn向后兼容FIDO U2F API生成的凭据。但是,WebAuthn生成的凭证不能与FIDO U2F API一起使用。因此,使用WebAuthn创建的凭据永远不会在大多数FIDO U2F上使用Android设备目前正在流通。“
自2017年11月发布的Firefox 57以来,Firefox已经为FIDO U2F API提供了实验支持。但是,由于Android和Google Accounts WebAuthn问题,默认情况下将为所有Firefox用户启用FIDO U2F,从Firefox Nightly 68和Firefox 67开始测试版将于下周发布。
此举是继整个三月份Mozilla开发商之间关于谁有过错以及哪一方应该解决问题的辩论。
Mozilla认为Google帐户对于允许Firefox用户使用WebAuthn进行登录至关重要,因为G Suite和Gmail用户是依赖安全密钥登录的最大用户群。但Jones也指出,Mozilla对FIDO U2F的支持使其无法使用谷歌决定何时支持新标准的怜悯。
安全
黑客组织已经劫持了D-Link路由器上的DNS流量三个月
为什么我们如此难以关注网络安全?
中国公司通过开放式数据库泄露了超过5.9亿份简历
在暴露的AWS服务器上发现了超过5.4亿条Facebook记录
“看来我们让Google帐户的Firefox用户完全能够使用安全密钥的唯一方法是启用FIDO U2F API支持,以便所述用户可以通过FIDO U2F API注册,然后通过......嗯进行身份验证。我们将拥有相信谷歌将为了标准的推进而迅速推出通过WebAuthn进行身份验证。“
由于责备转向谷歌,来自谷歌身份和安全团队的阿列克谢·齐斯基斯(Alexei Czeskis)称,在有足够的老式Android设备不再流通之前,它无法切换到WebAuthn。
Czeskis表示,对WebAuthn的持有与公司的动机水平无关,这是“高”。
“这与已经发货的Android设备上的OEM刻录图像以及现场的这些设备的生命周期有关。没有太多细节,为了不将用户锁定在他们的设备之外,我们无法切换U2F寄存器到WebAuthn create(),直到Android设备有足够的流失。你可以期待WebAuthn get()更快地到来,因为它没有受到影响,“他说。
“再说一遍,这只是因为添加帐户的代码被烧成某些设备的原因。没有任何其他网站,我知道,处于类似的不幸情况。所以我希望(并坚信这一举动不会鼓励U2F的更多用法(通过WebAuthn)。“
Mozilla的Jones指出,他的组织不会解决Firefox实施FIDO U2F的不完整部分。
“随着在设备中使用人脸识别或指纹等生物识别机制的增加,我们将重点放在WebAuthn上。它提供了一系列复杂的验证器和加密技术,可以保护Firefox用户,”他写道。
“重要的是,网络转向Web身份验证,而不是使用已弃用的传统FIDO U2F API构建新功能。”