Trình duyệt Chrome, Edge và Firefox sắp hỗ trợ hàm API Web Authentication (xác thực web) mới, nhằm tăng khả năng bảo vệ chống lại lừa đảo qua mạng, không phải sử dụng mật mã.
Tiêu chuẩn WC3 Web Authentication API gọi tắt là WebAuthn, hứa hẹn sẽ là một phương thức đơn giản và an toàn hơn để đăng ký và đăng nhập vào các website. Thay vì đăng ký theo cách thông thường - Tức đòi hỏi một username và password, người dùng sẽ chỉ cần đăng ký một vân tay, võng mạc, hay các loại thông tin sinh trắc học khác đang được lưu trữ trong smartphone.
Hệ thống này dựa vào kỹ thuật mã hóa khóa chung (public-key) và đảm bảo mỗi website mà người dùng đăng ký sẽ có các cặp khóa của riêng nó, tránh tình trạng sử dụng lại mật mã khá phổ biến hiện nay.
Chrome 67 và Firefox 60 sẽ được mặc định tích hợp và kích hoạt hàm API WebAuthn khi bản stable của chúng được tung ra vào tháng 5.
Một khi hàm API này có hiệu lực, người dùng sẽ có thể ghé thăm một website trên laptop, bấm nút đăng nhập, sau đó nhận được một lời nhắc trên smartphone đề nghị họ đăng ký.
Người đăng ký sẽ phải cung cấp một "cử chỉ xác nhận" - Có thể là mã PIN hay một vân tay mà sau đó sẽ liên kết đến tài khoản này. Trong tương lai, cá nhân đó sẽ có thể đăng nhập trở lại bằng chính cử chỉ đã cung cấp ban đầu. Hàm API sẽ cho phép các nhà phát triển ứng dụng tích hợp loại hình đăng nhập mà Google và Microsoft đã tung ra từ lâu dành cho người dùng các nền tảng của hãng.
Theo Nick Steele của Duo Security thì tiêu chuẩn WebAuthn xuất phát từ một chuẩn trước đó của FIDO Alliance gọi là UAF (Universal Authentication Factor), nhưng được cải tiến với nhiều ưu điểm kỹ thuật mới, và quan trọng nhất là WebAuthn được chống lưng bởi Google, Microsoft và Mozilla, qua đó đảm bảo được yếu tố lâu dài của API này.
Tiêu chuẩn mới đã được chuyển sang giai đoạn Candidate Recommendation (CR) nhằm chuẩn bị thông qua như một tiêu chuẩn mới từ tháng Một vừa qua. Dù trình duyệt Safari của Apple không hỗ trợ WebAuthn, nhưng khá nhiều nhân sự phát triển trình duyệt này lại đang nằm trong nhóm phát triển của Web Authentication.