Mozilla gaat in Firefox een oudere authenticatiestandaard inschakelen zodat eigenaren van een Google-account met een usb-, nfc- of bluetooth-sleutel kunnen inloggen. Om gebruikers tegen phishing te beschermen en ze zonder een wachtwoord op accounts te laten inloggen is Web Authentication ontwikkeld.

Dit is een open authenticatiestandaard die manieren biedt om zonder wachtwoord op websites in te loggen, bijvoorbeeld via biometrische kenmerken of fysieke beveiligingssleutels. FIDO U2F is de spirituele voorloper van Web Authentication en wordt nog altijd veel meer gebruikt. Zo werken Google-accounts op dit moment alleen nog met FIDO U2F. Google wil wel overstappen naar Web Authentication, maar is afhankelijk van oude Androidtoestellen die deze standaard niet ondersteunen en alleen met FIDO U2F werken.

WebAuthentication is backwards-compatibel met inloggegevens die via FIDO U2F zijn gegenereerd. Inloggegevens die via WebAuthentication zijn geproduceerd werken echter niet met FIDO U2F. Daardoor kunnen deze gegevens nooit worden gebruikt op de Androidtoestellen die alleen FIDO U2F ondersteunen. Pas als deze toestellen van de markt verdwijnen kan Google de overstap naar WebAuthentication maken.

Om ervoor te zorgen dat zoveel mogelijk mensen tijdens deze migratieperiode via beveiligingssleutels kunnen inloggen heeft Mozilla besloten om FIDO U2F standaard in te schakelen. Firefox beschikt al over experimentele ondersteuning van FIDO U2F sinds versie 57, waar het werd gebruikt om de WebAuthentication-implemenatie van Mozilla te valideren.

Vanaf Firefox 68, die op 9 juli uitkomt, zal FIDO U2F standaard bij alle gebruikers worden ingeschakeld. Mozilla heeft het in de Nightly-testversie van de browser inmiddels ingeschakeld en zal dit volgende week ook voor de bètaversie doen. Gebruikers die niet willen wachten tot juli kunnen via about:config de optie "security.webauth.u2f" inschakelen en er zo gebruik van maken.