Mozilla谷歌账户Android绊倒了Firefox的无密码登录计划

Firefox将在即将发布的版本中获得对旧版安全登录标准FIDO U2F的支持。Firefox制造商Mozilla希望继续使用新的WebAuthn标准，以实现更安全，更轻松的网站登录。但相反，浏览器制造商决定采取后退措施，并启用传统的安全登录标准 - WebAuthn的前身FIDO U2F。原因?Google帐户尚未完全支持WebAuthn，因为目前使用的数百万台Android设备无法支持它。

WebAuthn上个月才被批准，但谷歌Chrome，微软Edge，Firefox以及Apple Safari的预览版以及Android和Windows 10已经得到了支持。

该标准允许用户使用生物识别ID登录网站，例如存储在PC或智能手机上的指纹或面部扫描。

WebAuthn是FIDO U2F API的继承者，它允许用户使用物理安全密钥(例如Yubikey)登录Google帐户和其他站点。科技行业普遍希望尽快采用新标准来实现这一目标。

正如Mozilla密码学家JC Jones所解释的那样，WebAuthn是“我们对凭证网络钓鱼的最佳技术响应”。

“这就是为什么我们支持它作为一种技术，”他在一篇文章中写道，解释了为什么Mozilla现在要为Firefox中的FIDO U2F API添加向后兼容性，尽管它是一个已弃用的传统标准，标志更有限 -在选项中。

“我们鼓励采用Web身份验证而不是FIDO U2F API。但是，一些大型Web属性在迁移时遇到困难：WebAuthn使用FIDO U2F API生成的安全凭证，”Jones写道。

“但是，WebAuthn生成的凭证不能与FIDO U2F API一起使用。对于受影响的实体，这可能会导致糟糕的用户体验并阻碍这种关键技术的整体采用。”

这些大型网络资源是Gmail等谷歌网站，数十亿用户通过Google帐户登录，目前不支持注册使用WebAuthn创建的安全密钥。

参见：

Jones在Mozilla邮件列表中解释说，主要障碍在于无法使用WebAuthn安全密钥支持进行更新的大量Android设备。

“我们最近了解到，谷歌帐户已经放弃了使用网络身份验证注册新凭据的时间表。这种延迟归因于Android上的安全密钥支持，对于大多数设备而言，不可升级，”该密码学家写道。

“WebAuthn向后兼容FIDO U2F API生成的凭据。但是，WebAuthn生成的凭证不能与FIDO U2F API一起使用。因此，使用WebAuthn创建的凭据永远不会在大多数FIDO U2F上使用Android设备目前正在流通。“

自2017年11月发布的Firefox 57以来，Firefox已经为FIDO U2F API提供了实验支持。但是，由于Android和Google Accounts WebAuthn问题，默认情况下将为所有Firefox用户启用FIDO U2F，从Firefox Nightly 68和Firefox 67开始测试版将于下周发布。

此举是继整个三月份Mozilla开发商之间关于谁有过错以及哪一方应该解决问题的辩论。

Mozilla认为Google帐户对于允许Firefox用户使用WebAuthn进行登录至关重要，因为G Suite和Gmail用户是依赖安全密钥登录的最大用户群。但Jones也指出，Mozilla对FIDO U2F的支持使其无法使用谷歌决定何时支持新标准的怜悯。

安全

黑客组织已经劫持了D-Link路由器上的DNS流量三个月

为什么我们如此难以关注网络安全?

中国公司通过开放式数据库泄露了超过5.9亿份简历

在暴露的AWS服务器上发现了超过5.4亿条Facebook记录

“看来我们让Google帐户的Firefox用户完全能够使用安全密钥的唯一方法是启用FIDO U2F API支持，以便所述用户可以通过FIDO U2F API注册，然后通过......嗯进行身份验证。我们将拥有相信谷歌将为了标准的推进而迅速推出通过WebAuthn进行身份验证。“

由于责备转向谷歌，来自谷歌身份和安全团队的阿列克谢·齐斯基斯(Alexei Czeskis)称，在有足够的老式Android设备不再流通之前，它无法切换到WebAuthn。

Czeskis表示，对WebAuthn的持有与公司的动机水平无关，这是“高”。

“这与已经发货的Android设备上的OEM刻录图像以及现场的这些设备的生命周期有关。没有太多细节，为了不将用户锁定在他们的设备之外，我们无法切换U2F寄存器到WebAuthn create()，直到Android设备有足够的流失。你可以期待WebAuthn get()更快地到来，因为它没有受到影响，“他说。

“再说一遍，这只是因为添加帐户的代码被烧成某些设备的原因。没有任何其他网站，我知道，处于类似的不幸情况。所以我希望(并坚信这一举动不会鼓励U2F的更多用法(通过WebAuthn)。“

Mozilla的Jones指出，他的组织不会解决Firefox实施FIDO U2F的不完整部分。

“随着在设备中使用人脸识别或指纹等生物识别机制的增加，我们将重点放在WebAuthn上。它提供了一系列复杂的验证器和加密技术，可以保护Firefox用户，”他写道。

“重要的是，网络转向Web身份验证，而不是使用已弃用的传统FIDO U2F API构建新功能。”