Firefox 60 推出　支援无密码认证新标准 WebAuthn

Firefox 60 日前推出，除了修正几个高危以至严重的漏洞外，更重要的是正式开始支援新一代认证标准 WebAuthn ，将来使用支援 Firefox 来登入支援 WebAuthn 的网络服务，就无需要记住密码，也不担心密码漏泄、钓鱼网和中间人攻击的风险。

先说说修正部分，今次 Firefox 60 修正了两项被列为"严重"的内存安全性问题，恶意利用的话可以执行任何程式码，另外亦有两项关于 SVG 动画和 PDF 的"高危"漏洞修正，所以各位用户应该立即更新。

WebAuthn -- 未来网络认证新标准

在未介绍 WebAuthn (Web Authentication API) 是什么神奇把戏之前，大家可能会怀疑这东西会不会又是小众游戏。首先， WebAuthn 是由 W3C 组织与 FIDO 联盟共同开发的技术，于上月中正式被 W3C 列为候选推荐标准，目的是要解决倚赖密码的网络认证方式，和钓鱼网、中间人攻击及使用盗取来的认证来进行重播攻击。它是 FIDO 联盟制订的 FIDO2 认证技术中的核心部分，得到主要科技巨企和银行支持，包括 Google 、 Microsoft 、 Mozilla 、 Intel 、 ARM 、 Amazon 、 VISA 、 Mastercard 、 美国运通 、NTTDocomo 、 KDDI 、 三星 、华为等，而且 Facebook 、 Google 和 PayPal 等主流网络服务均已支援，绝非小众游戏（但就只欠 Apple ）。

WebAuthn 是运用公开键认证的方式，支援指纹认证、人脸认证、外置验证器等各种验证方式，用户可以自己选择验证方式，而不用记住烦琐的密码，又怕一个密码用在多个网站时，万一一个网站泄漏，其他网站账号都遭殃的问题。

WebAuthn 的认证过程是这样的：

1. 假设你决定使用手机的指纹认证为你的验证器，登录指纹时，手机就会产生一对金钥--公开钥和私密钥。私密钥存放在手机的安全地方，公开钥就会按要求传送到网站去；
2. 登入网站时，你先要用指纹向你的手机验证身份；
3. 网站会向你的手机发送一段资料，手机会用你的私密钥签署那段资料，然后把它送回去；
4. 网站收回资料后，就用你的公开键验证签名是否你本人，验证成功就完成登入程序。

由于传送的是公开钥和每次不同的签署过资料，所以完全不怕中间人人截取。而且全个验证过程中你的指纹都没有离开过手机，也不担心网站会存下你的验证资料。

你可以到这个网站去体验一下 WebAuthn 注册和登入程序，不过可能因为 Apple 没有加入联盟， MacBook Pro 上的 Touch ID 暂时还不能用来登入网站。

开始注册程序时，地址列会出现指纹标志，网站会向你的装置请求一些验证器资料。

收到验证器资料后，网站就会要求你在验证器（你的电脑、手机或者外置验证器）验证。

除了 Firefox 之外， Chrome 和 Edge 都会陆续加入对 WebAuthn 的支援，相信不久将来，主流网站都会改用新登入方式。