繁中
English繁中

WICG:更安全、更私密的方式來驗證您的電子郵件

作者: /

大大簡化了在線驗證電子郵件地址的過程。您無需單擊收件箱中的驗證連結或輸入發送到您電子郵件的驗證碼。這個新協議允許瀏覽器在您登錄網站時直接處理驗證過程。您的電子郵件提供商將使用您現有的登錄憑據確認您是郵箱的合法所有者,並向網站返回安全令牌。

在當今的網際網路世界中,「電子郵件驗證」幾乎無處不在。註冊帳戶、取回密碼、綁定登錄方法..我們已經習慣了「接收驗證碼→驗證碼」的過程,但它並不那麼麻煩,而是安全:

  • 用戶體驗差:手動跳轉至電子郵件、複製粘貼驗證碼
  • 安全性有限:驗證碼可能被網絡釣魚電子郵件、劫持短信等攻擊
  • 隱私泄露:該網站可以訪問用戶電子郵件地址,並可以向您發送電子郵件次數任意多次

為了改變這種「驗證郵箱的舊方式」,WICG(網絡孵化器社區小組)提出了一份新草案: 電子郵件驗證協議.
它試圖使用 瀏覽器+電子郵件服務提供商+加密證書 允許網站在無需閱讀電子郵件地址或觸及隱私的情況下驗證「此電子郵件是否是您的」。

1.該協議想要解決哪些問題?

傳統的電子郵件驗證方法有顯著缺陷:

1.用戶體驗差

前往郵箱接收驗證碼→返回頁面進入。
一個操作分為三個步驟,中間可能會卡住。

2.安全隱患

驗證碼本質上是「可以被攔截的秘密」。
如果攻擊者可以提前閱讀電子郵件,他們就可以冒充您完成驗證。

3.隱私暴露

該網站可以查看您的電子郵件地址並隨意向您發送電子郵件。

4.缺乏標準化

當前的電子郵件身份驗證完全取決於業務層,而不是網絡標準。
無論是體驗還是安全性,瀏覽器都無法統一提高。

二. WICG的目標:

使用Web標準使電子郵件驗證成為一個自動化、安全和隱私友好的過程

協議設計的基本概念可以用兩句話概括:

  • 收件箱歸因驗證應由系統完成,而不是通過電子郵件驗證碼。
  • 網站只需要「證明」,不需要查看郵箱的內容。

換句話說,
未來的網站可能不再需要向您發送驗證電子郵件。

3.該協議如何運作?(白話版)

整個過程可以理解為「三方對話」:
Particial Web瀏覽器Particial電子郵件服務提供商(例如Gmail、Outlook)

這是一個典型的過程:

(1)用戶在網站上輸入電子郵件地址

例如: [email protected]

(2)網站向瀏覽器發出「驗證請求」

瀏覽器負責與郵箱服務提供商通信。

(3)瀏覽器詢問電子郵件服務提供商:「此電子郵件是否屬於當前用戶?" ”

電子郵件服務提供商檢查當前登錄用戶的狀態。

如果電子郵件地址確實屬於當前登錄的用戶,那麼:

(4)郵箱服務提供商生成加密證書(令牌)

包括:

  • 郵箱確實屬於該用戶
  • 保證簽名不可偽造
  • 它不包含電子郵件內容和電子郵件數據等私人信息

(5)瀏覽器將代幣返回給網站

網站可以驗證簽名以確認電子郵件所有權。

整個過程不需要驗證碼,電子郵件密碼或電子郵件內容也不會被泄露。

用戶的體驗變得類似於「網頁自動驗證手機號碼」:
無跳轉、無驗證碼、無信息泄露。

4.協議技術特徵亮點

1.& nbsp;隱私保護

該網站無法讀取電子郵件,也無法獲取您真實的電子郵件登錄狀態。
該網站只獲得「一次性簽名證書」。

2.& nbsp;更高的安全性

  • 沒有驗證碼|無法釣魚
  • 加密簽名|網站無法偽造身份驗證
  • 瀏覽器參與|網絡平台統一管理安全風險

3.& nbsp;豐富經驗

無需離開當前頁面即可自動驗證。

4.& nbsp;較強的標準化能力

如果得到Chrome / Firefox / Safari的支持,這將成為網絡的基本功能之一,與WebAuthn一樣受歡迎。

5.它和驗證碼之間的核心區別是什麼?

項目傳統驗證碼電子郵件驗證協議
驗證培養基電子郵件內容(可攔截)加密簽名證明
隱私您的電子郵件地址和電子郵件地址可以在網站上看到網站看不到郵件
用戶體驗跳轉至郵箱|複製驗證碼|回填瀏覽器自動完成驗證
團結完全取決於每個網站自己實施Web標準級能力
安全容易捕撈更強的加密性和不可偽造性

本質上:
驗證碼為「您告訴網站您收到了電子郵件」。
新協議是「郵箱服務提供商告訴網站您是郵箱的所有者」。

6.項目當前進展和生態

GitHub上的repo位於 WICG選秀階段.
特點如下:

  • 威脅模型、安全邊界正在討論中
  • 尚未成為W3 C官方標準
  • 瀏覽器製造商和電子郵件製造商正在參與審查
  • 未來可能會包含在HTML/Web API標準系統中

如果將來Gmail和Outlook加入,Chrome和Firefox也支持它,那麼它的普及將會非常快。

7.總結

WICG的 電子郵件驗證協議 是一份試圖用Web標準重新定義郵箱身份驗證的草案:

  • 無需驗證卡即可自動驗證
  • 電子郵件地址的內容不會暴露
  • 更加安全和私密
  • 瀏覽器+電子郵件服務提供商協同完成
  • 有潛力成為新的網絡基礎能力

Github:https://github.com/WICG/email-verification-protocol
網絡孵化器社區小組·W3 C官方網站: https://www.w3.org/community/wicg/
管材:

返回頂端