Fido

World Wide Web Consortium (W3C) 宣布 Web Authentication API (WebAuthn) 成为正式的 Web 标准。WebAuthn 现在是一项无密码登录验证的开放标准，为 Web 应用和服务提供了无密码的公钥身份认证接口，获得了 Airbnb、阿里巴巴、Apple、Google、IBM、Intel,、Microsoft、Mozilla、PayPal、SoftBank、腾讯和 Yubico 等公司的支持，允许用户使用生物识别、移动设备等登录在线账号。主流浏览器如 Google Chrome、Mozilla Firefox 和 Microsoft Edge 都已经在去年加入了对 WebAuthn 的支持，苹果的 Safari 浏览器则在预览版中加入了对 WebAuthn 的支持。 W3C的WebAuthn推荐FIDO 联盟的 FIDO2 规范集的核心组成部分。FIDO2是支持公钥加密和多因素身份验证的标准 - 特别是通用身份验证框架（UAF）和通用第二因子（U2F）协议。为了促进采用，FIDO联盟提供测试工具和 认证计划 。 FIDO2尝试以四种方式解决传统身份验证问题： 安全性：FIDO2加密登录凭证在每个网站都是唯一的；生物识别或密码等其他机密永远不会离开用户的设备，也永远不会存储在服务器上

剑桥，英国 -- (美国商业资讯) -- 移动设备和应用安全领导者 Trustonic 扩大了与 LG 电子移动通信公司的合作， Trustonic Secured Platform (TSP™) 将部署在 LG 智能手机中。这包括引入 Trusted User Interface (TUI) 功能，对于手机银行、移动支付、mPOS、数字汽车钥匙和基于身份的移动应用来说，要采用新一代应用保护技术，这个功能至关重要。 TSP 可在制造智能手机时就集成 Trustonic 的可信身份和可信执行环境*（TEE），并通过经认证的、硬件支持的安全性在设备的整个生命周期中提供保护。TSP已部署在全球20多亿台智能设备中，通过与芯片（SoC）合作伙伴进行集成，TSP使得更多的智能手机具有了更高的安全性。Trustonic 的 TEE 还可以在密钥管理、数字版权管理（DRM）、生物识别和 FIDO 认证方面提供保护。 Trustonic 的 Asset Lifecycle Protection Service (ALPS™) 也将在LG智能手机上预启用，以满足移动运营商的设备保护需求。移动运营商正采用这项服务在整个生命周期内保护设备，使其能够为更多客户提供创新的金融方案，并减少整个供应链中的智能手机盗窃、欺诈和非法交易行为。 Trustonic Application Protection

官方地址： 规则 缩进使用两个空格。 eslint: indent function hello ( name) { console. log( 'hi', name) } 字符串使用单引号，除非是为了避免转义。 eslint: quotes console. log( 'hello there') $( "<div class='box'>") 1 无未使用的变量。 eslint: no-unused-vars function myFunction ( ) { var result = something() // ✗ avoid } 1 2 3 关键字后面要有一个空格。 eslint: keyword-spacing if (condition) { ... } // ✓ ok if(condition) { ... } // ✗ avoid 1 2 函数参数列表括号前面要有一个空格。 eslint: space-before-function-paren function name ( arg) { ... } // ✓ ok function name( arg) { ... } // ✗ avoid run( function ( ) { ... }) // ✓ ok run( function ( ) { ... }) // ✗ avoid 1 2 3 4 5

定义和用法 array_multisort() 函数返回一个排序数组。您可以输入一个或多个数组。函数先对第一个数组进行排序，接着是其他数组，如果两个或多个值相同，它将对下一个数组进行排序。 注释： 字符串键名将被保留，但是数字键名将被重新索引，从 0 开始，并以 1 递增。 注释： 您可以在每个数组后设置排序顺序和排序类型参数。如果没有设置，每个数组参数会使用默认值。 语法 array_multisort( array1,sorting order,sorting type,array2,array3... ) 参数 描述 array1 必需。规定数组。 sorting order 可选。规定排列顺序。可能的值： SORT_ASC - 默认。按升序排列 (A-Z)。 SORT_DESC - 按降序排列 (Z-A)。 sorting type 可选。规定排序类型。可能的值： SORT_REGULAR - 默认。把每一项按常规顺序排列（Standard ASCII，不改变类型）。 SORT_NUMERIC - 把每一项作为数字来处理。 SORT_STRING - 把每一项作为字符串来处理。 SORT_LOCALE_STRING - 把每一项作为字符串来处理，基于当前区域设置（可通过 setlocale() 进行更改）。 SORT_NATURAL - 把每一项作为字符串来处理，使用类似

导读 随着移动设备涌入企业，物联网(IoT)的扩张，以及网络罪犯数量和复杂程度的增长，许多安全专家认为零信任是抵御不断变化网络和数据安全威胁的较好方法。 网络安全漏洞往往会在最不可能的地方被发现。例如，彭博商业周刊(BloombergBusinessWeek)中的一个案例，在酒店房间的窗帘电动遥控上有一个互联网端口，可以访问酒店的内部计算机系统。网络安全承包商在一次安全审计中发现了该漏洞。这个案例说明了：在当今的互联世界中，后门漏洞几乎随处可见。 什么是“零信任”安全 “零信任”一词是由Forrester Research的分析师在2013年提交给国家标准与技术研究所(NIST)的一份报告中提出的，该研究所是美国政府网络安全方案的一部分。因为移动和大数据使‘建造更坚固的墙’成为一场昂贵的闹剧，无法充分保护网络安全，Forrester提出了零信任的概念。 零信任指的是一种网络设计理念，“要求通过态势感知和强大的漏洞事件管理能力，将安全性构建到IT架构的DNA中。”简言之，零信任是将“信任但需要验证”方法转化为“验证而不信任”。 三步构建零信任安全网络 根据Forrester的说法，组织应该“从内到外”理想地重建网络，从“我们需要保护的系统资源和数据存储库”开始。但是，重建网络可能需要很长的时间。下面三个步骤，您可以将零信任安全原则引入已有网络中。 1. 加强身份验证

单点登录 (SSO) 可减少弱密码风险和账户访问管理开销。本文介绍顶级单点登录解决方案提供商。 另外，推荐国内 IDaaS 新秀 Authing.cn 的SSO方案： 用 Authing 10 分钟实现 SSO 单点登录 (SSO) 集中了会话和用户身份验证服务，仅需一组凭证即可登录多个应用。用户体验、IT 管理效率和安全程度都有所提升。密码丢失或弱密码风险也可藉由 SSO 加以缓解，与账户访问管理有关的开销更是能得到大幅降低。 如果您尚未实现任何 SSO 或身份管理工具，亦或正在寻求升级，下面的 SSO 工具大盘点可带领您对 SSO 市场有个初步了解。今天的威胁环境中，密码管理的分量越来越重，有必要让用户抛弃重复使用老旧密码的恶劣习惯。 SSO 五大基本策略 1. 企业密码管理器 如果开销和 IT 支持都成问题，1Password 或 Lastpass（如今归属 LogMeln）这样的企业密码管理器是个不错的开始。此类产品很适合集中保存所有密码，便于在需要时插入登录进程中。而且各种应用场景都适用，比如浏览器和智能手机登录。但除了访问密码库，这种产品一般不支持多因子身份验证 (MFA)。费率大约在每月每用户 8 美元左右。 2. 全方位 SSO 解决方案 该方案比使用静态密码要好一些。如果员工数量超 100 人，IT 支持水平也过得去，上述密码管理工具的局限性就很明显了

基于用户行为的身份验证新技术终将宣告口令退出历史舞台吗？ **FIDO联盟（线上快速身份验证联盟）和万维网联盟(W3C)**最近公布了一个新的技术标准，可以让用户用安全密钥或智能手机之类的外部验证因子免口令登录网站，这是口令消除渐进过程中的一块重大里程碑。口令不仅用户体验糟糕，安全性更是饱受诟病。若设备智能到可即时识别用户身份，基于可信信息而不是口令提供一种个性化的安全体验，会有什么样的效果呢？该名为“零登录”的新技术可能将永绝口令后患。 我们大多数人都用过指纹或人脸识别来解锁智能手机，但很快，可能连这一步都不需要了。用户的行为，比如划过屏幕或输入字符的方式、位置情况、常规工作时段等等，都是特定于用户个体的。新技术就是基于这些因素进行用户身份识别，让用户什么都不用做就能登录所有应用。 想要骗过零登录技术，身份窃贼们可能需要花费几个月时间并投入数千美元的设备。因而，**零登录技术基本上意味着身份窃贼的失业。不过，还是有一些负面的东西需要新的规则和标准来监管，保护用户的边界、信息与隐私。**比如： 用户如何知晓自己什么时候是被监视着的？ 用户怎么知道自己什么时候登出了？ 这些行为数据的受保护情况如何？ 身份验证的未来 零登录或许听起来还有些科幻小说的未来感，但其实其理念已经投入实践。一些银行可以识别出用户用新手机登录或用从未到过的咖啡店的WiFi连接网银的情况。一旦检测到这种“异常”

IoT、移动性和紧迫的安全需求，意味着每个节点都必须有可信身份和连接网络服务的安全通道。 现在每个人都在谈论IoT，理由充分：已有数十亿设备接入全球互联网，有些研究人员预测到2020年联网设备数量将达 500亿 。仅此一项，就让CISO的工作更难开展了，但安全高管还要面临其它相关挑战，包括： 员工移动办公，倾向于利用各种设备访问公司应用； 应用、工作负载和容器存在于私有或公共云，甚至在二者之间转换； 更多设备、云应用和移动用户的增加，大幅扩大了攻击界面； CISO被迫以人手不足兼技能不够的网络安全团队，保护这不断增长的IT资产。 传统安全过程、控制措施和技术手段，无法扩展满足当今IoT移动世界的安全挑战。 这正是身份（例如：设备身份、用户身份、资产身份等等）大展拳脚的地方。源和目的之间，必须通过2/3层协议和用户名及口令连接。更进一步， 互联网上所有东西都必须有个可信身份，这些可信身份将用于引导并监视安全连接。 这一趋势被称为“ 身份互联网(IoI) ”，符合我们目前跟踪的多个安全趋势。比如说， 可信身份，就处于微分隔和软件定义边界(SDP)之类联网趋势的中心。 只要知道设备或人的身份，以及该设备或人想连接的应用或服务的身份，就可以验证各实体，检查策略引擎以确保这是授权连接；分隔并加密源和目的之间的流量，并维护对连接甚至俩节点间所有数据包的审计日志。 基本上

企业和消费者身份的融合，为黑客创建了一个巨大的攻击界面。我们应探讨二者趋同的各种方式，以及安全社区应做出的响应。 多因子同化现象 一些双因子身份验证方法，是为消费者创建而随后被企业采用的；另外一些，则是为企业创建而被个人用户采纳的。 1. 生物特征识别 包含嵌入原生App中的指纹扫描器和虹膜扫描器，供消费者和企业身份验证使用。用心率验证身份的Nymi腕带就是其中一个极好的例子。 2. 基于上下文的身份验证 最为消费者熟知的，是“在此设备上记住我”勾选框，或者Visa验证和MasterCard安全码(McSc)。从陌生设备登录时，用户就会被要求用额外的因子(如一次性口令(OTP))验证自身身份。 3. 单击身份验证 通过点击移动设备上的按钮进行用户身份验证，消费者服务和企业都有提供。 工作场所和家中的单点登录 相信都听说过口令疲劳吧？我们日常生活中总是需要记住很多口令，登录流行应用的时候难免焦虑。 在任何可行的地方实现单点登录解决方案(SSO)，可以仅验证一次，后续就能在访问各种资源的时候自动验证，有效消除这种沮丧和焦虑。 企业世界中，SSO体验通过使用口令存储库或联合身份验证协议(如Kerberos、SAML和Open ID Connect)创建。消费者世界中，尽管也有面向消费者的口令存储库，却是SSO的前身——联合身份验证协议，一统江湖。当你点击“用谷歌账户登录”按钮时，就是