了解一下WebAuthn

WebAuthn是由万维网联盟发布的网页标准。该标准定义了一个标准Web API,用户可以通过这个API在Web上进行安全认证。Google、Microsoft以及Mozilla均在其研发的浏览器中支持WebAuthn标准。 (--摘自Wiki)

开始实验吧

这里直接使用WP-WebAuthn插件,安装好后进行首次配置。绑定好认证器后就可以正常使用了。

可以看到非常方便,即便没有Windows Hello摄像头或者指纹,也可以使用PIN,毕竟他认的是认证器而不是某个具体的生物信息。

对于手机设备而言,只要浏览器支持那就能很方便地使用指纹进行绑定,这里就不配图了

担心验证失败?也有提供一个测试的选项:

也就是说,当所有用户都绑定好认证器后关闭非认证器登录,某种意义上能把安全性拉满(?)

为什么又不用了捏

如果有在本站投稿的伙伴应该会发现前段时间还存在这个功能,但还是撤了。

事实上这个功能算是难得兼顾了安全性和便捷性,但是作为一个实验性的功能最终还是决定放弃。主要是以下几点原因

  • 认证器相关的问题:只能在已经绑定认证器的设备上登录,如果关掉了其他登录方式就不能在新的设备得到授权。
  • 还是认证器的问题:绑定的是认证器而不是里面的个体,对于一部手机而言,这个手机内的任何指纹都能通过认证,因为他只识别认证器本身。
  • 一些兼容性问题:和captcha之类的有一定互相干扰的地方,想要解决只能分别发个issue或是自己做整合。

前景无限,期待它成为一个新的安全标准,只是今时今日还不适宜在生产环境使用。