Firefox60推出支援无密码认证新标准WebAuthn

Firefox 60 日前推出，除了修正几个高危以至严重的漏洞外，更重要的是正式开始支援新一代认证标准 WebAuthn ，将来使用支援 Firefox 来登入支援 WebAuthn 的网络服务，就无需要记住密码，也不担心密码漏泄、钓鱼网和中间人攻击的风险。

先说说修正部分，今次 Firefox 60 修正了两项被列为“严重”的内存安全性问题，恶意利用的话可以执行任何程式码，另外亦有两项关于 SVG 动画和 PDF 的“高危”漏洞修正，所以各位用户应该立即更新。

WebAuthn —— 未来网络认证新标准

在未介绍 WebAuthn (Web Authentication API) 是什么神奇把戏之前，大家可能会怀疑这东西会不会又是小众游戏。首先， WebAuthn 是由 W3C 组织与 FIDO 联盟共同开发的技术，于上月中正式被 W3C 列为候选推荐标准，目的是要解决倚赖密码的网络认证方式，和钓鱼网、中间人攻击及使用盗取来的认证来进行重播攻击。它是 FIDO 联盟制订的 FIDO2 认证技术中的核心部分，得到主要科技巨企和银行支持，包括 Google 、 Microsoft 、 Mozilla 、 Intel 、 ARM 、 Amazon 、 VISA 、 Mastercard 、 美国运通 、NTTDocomo 、 KDDI 、 三星 、华为等，而且 Facebook 、 Google 和 PayPal 等主流网络服务均已支援，绝非小众游戏（但就只欠 Apple ）。

WebAuthn 支持用不同的装置和方式进行认证，而且得到主流浏览器和网站支持，是日后网络服务认证的标准。

WebAuthn 是运用公开键认证的方式，支援指纹认证、人脸认证、外置验证器等各种验证方式，用户可以自己选择验证方式，而不用记住烦琐的密码，又怕一个密码用在多个网站时，万一一个网站泄漏，其他网站账号都遭殃的问题。

WebAuthn 的认证过程是这样的：

1. 假设你决定使用手机的指纹认证为你的验证器，登录指纹时，手机就会产生一对金钥——公开钥和私密钥。私密钥存放在手机的安全地方，公开钥就会按要求传送到网站去；
2. 登入网站时，你先要用指纹向你的手机验证身份；
3. 网站会向你的手机发送一段资料，手机会用你的私密钥签署那段资料，然后把它送回去；
4. 网站收回资料后，就用你的公开键验证签名是否你本人，验证成功就完成登入程序。

由于传送的是公开钥和每次不同的签署过资料，所以完全不怕中间人人截取。而且全个验证过程中你的指纹都没有离开过手机，也不担心网站会存下你的验证资料。

除了 Firefox 之外， Chrome 和 Edge 都会陆续加入对 WebAuthn 的支援，相信不久将来，主流网站都会改用新登入方式。

像 YubiKey 这种外置一次性密码令牌将也可以用来作为验证器，而不用将验证资料存放在电脑。