新闻稿
发表: 二〇二〇年十一月一十六日

新协议可备份webauthn凭据,并可以使所有的网络更安全

bet8官网平台和 yubico,硬件认证的领先提供商 安全密钥,提出了一种新的Web协议,应该为易于使用和安全的在线体验铺平道路。 

多因素身份验证(MFA)已在Web上变得无处不在,并且除了需要密码之外,通过向用户的移动电话发送一次性代码,最常见的是部署。但是,该技术易于被黑客拦截;此外,没有安全备份,提供商经常依赖于不安全的问题或重置链接,以允许用户重新获得对其帐户的访问权限。 

WebAuthn. 是更强大的Web身份验证的一个相对较新的标准,并已由主要IT公司采用,例如Google,Microsoft和Facebook的,以及包括Gov.uk的政府网站。由于使用公钥加密,WebAuthn解决了许多Web身份验证的存在问题,包括网络钓鱼。然而,WebAuthn还依赖于称为验证器或安全键来管理加密密钥的硬件令牌,并且最近的研究表明,潜在的验证者丢失是影响WebAuthn.采用的最大恐惧之一。

在一份文件中 发表呈现 在众所周知的ACM CCS 2020网络安全会议上, bet8注册中心网络安全 详细介绍了一种用于备份WebAuthn.凭据的新提出的解决方案,该解决方案是由YubiCo的工程师开发的,并分析了其被称为异步远程密钥生成(ARKG)的加密核心。

在研究中,bet8注册和yubico表明,ARKG意味着攻击者无法冒充用户或伪造其WebAuthn.备份凭据。该团队还显示黑客无法确定凭据是否可以链接到同一用户,保留用户隐私。 yubico 最近的博客 提供有关其提案的进一步详细信息。

标记 马努利斯博士和网络安全副主任的联合作用者说:“yubikeys等认证令牌如此小,以至于它们很容易丢失或被盗。ARKG是迈向安全的重要一步,用于WebAuthn.凭据的自动和用户友好的备份解决方案,这将大大提高抵御人类疏忽的恢复力,并保护网络上的用户帐户。“ 

YubiCo工程总监Dain Nilsson表示:“安全性只是它最薄弱的联系。这意味着不仅在yubikey等硬件验证者的帮助下解决安全身份验证的问题,还可以在yubikey等硬件验证者的帮助下解决问题用户的主要登录机制丢失。我们相信提供安全且易于使用的恢复方法,这些方法不会损害核心协议的安全性或隐私方面,这将是持续采用WebAuthn.的关键。“

“备份凭据是WebAuthn生态系统解决的重要问题,ARKG背后的关键生成方法使架构适合于WebAuthn的分散和可互操作的设计,”W3C Web认证合作椅Tony Nadalin和John Fontana在A中陈述。“由马努利斯博士和他的团队执行的ARKG分析证明了这种技术保留了WebAuthn的安全和隐私原则。Web身份验证工作组期待探索ARKG如何利用ARKG以改善WebAuthn.最终用户体验。”

 

分享你读过吗?
媒体联系人

外部沟通和公关团队
电话:+44(0)1483六十八万四千三百八十零/六十八万四千三百七十八分之六十八万八千九百一十四
电子邮件: mediarelations@surrey.ac.uk
出的时间:+44(0)7773 479911