Das W3C verstärkt die Sicherheit im World Wide Web
Web-Authentication-Verfahren als sicherere und flexiblere Alternativen zu passwortbasierten Logins im Web
16. Februar 2016 – Das World Wide Web Consortium (W3C) ist sich der großen Bedeutung von starker Authentifizierung bewusst, die für den reibungslosen und sicheren Zugriff auf das Internet notwendig ist. Das W3C hat heute die Gründung einer neuer Arbeitsgruppe im Bereich Web Authentication angekündigt. Diese neuen Standardisierungstätigkeiten werden eine sicherere und flexiblere Alternative zu passwortbasierten Logins im Web bieten.
Für viele Internetnutzer sind Passwörter lästig und bieten nur wenig Schutz ihrer Online-Aktivitäten – oft werden sie vergessen oder es werden unsichere, einfach zu erratende Kombinationen gewählt. Sogar sichere Passwörter können durch Datenpannen verloren gehen oder dem Diebstahl durch Phishing-Attacken zum Opfer fallen. Die Arbeit der neuen W3C Web Authentication Working Group beruht auf der FIDO 2.0 Web API, die von der FIDO Alliance als W3C-Mitglied eingereicht wurde. Sie wird die Nutzung sicherer kryptographischer Operationen anstelle von Passwortaustausch ermöglichen.
„Wenn die sichere Authentifizierung ohne großen Aufwand möglich ist, machen wir das Web sicherer für den täglichen Gebrauch, privat wie kommerziell“, sagt Sir Tim Berners-Lee, Web-Erfinder und Direktor des W3C. „Mit zunehmender Häufigkeit und größerem Ausmaß der Online-Angriffe ist es für das W3C unerlässlich, neue Standards und best practices zu entwicklen um das Internet sicherer zu machen.“
Web Authentication begünstigt aktuelle Web-Security-Aktivitäten des W3C
Laut Aussage des W3C-CEO Dr. Jeff Jaffe wird das Schaffen neuer Web-Authentication-Verfahren die bisherige Arbeit des W3C an einer Web Cryptography API sowie die fortlaufende Arbeit an Web-Application-Security-Spezifikationen ergänzen. Die WebCrypto API besitzt derzeit den Status Candidate Recommendation. Sie stellt eine Javascript-Programmierschnittstelle zu einer browser-übergreifenden Standard-Suite von kryptographischen Operationen dar. Die Arbeit an WebAppSec umfasst Verbesserungen am HTTPS-Standard und Updates für die Content Security Policy (CSP). Mit diesen können Anwendungsentwickler Richtlinien bestimmen, welche aktiven Inhalte auf ihren Webseiten zugelassen sind, um diese so vor Einspeisung unerwünschten oder bösartigen Codes zu beschützen.
„Unser Ziel ist es, die gesamte Open-Web-Plattform auf einen höheren Standard an Sicherheit zu heben und mit Industrie, akademischen Experten und anderen Standardisierungsorganisationen zusammenzuarbeiten um sicherzustellen, dass spezifische Bedürfnisse an die Web-Sicherheit erfüllt werden“, so Jaffe. „Wir würden uns über eine rege Teilnahme freuen um zusammen an dieser wichtigen Aufgabe zu arbeiten. Lassen Sie uns das Web für jetzt und die absehbare Zukunft so sicher wie möglich gestalten.“
Wendy Seltzer, Technology and Society Domain Lead, erwartet, dass die Arbeit an neuen Web-Authentication-Verfahren eine wichtige Lücke in der Web-Plattform schließt. „Es gibt bereits wesentlich bessere Authentifizierungsmethoden als Passwörter, aber immer noch benutzen zu viele Webseiten passwortbasierte Log-ins. Standardisierte Web APIs werden konsistente Implementierungen im gesamten Webumfeld ermöglichen. Der neue Ansatz wird Passwörter durch sicherere Arten des Einloggens auf Webseiten ersetzen, darunter die Nutzung von USB Keys oder Aktivieren mittels Smartphones. Sichere Authentifizierung ist unabdingbar für jede Web-Anwendung, die eine nachhaltige Beziehung zu seinen Nutzern aufbauen und fortführen will“, kommentiert Seltzer.
FIDO 2.0 Web APIs bringen die Web-Authentication-Arbeit in Fahrt
Mitglieder der FIDO Alliance haben durch das Einreichen der FIDO 2.0 Web API als W3C-Mitglieder die technische Arbeit des W3C an Web Authentication vorangebracht. Die eingereichten APIs haben das Ziel, standardsbasierte sichere Authentifizierung über alle Web-Browser und verwandte Infrastruktur der Web-Plattform hinweg sicherzustellen.
„Unser Auftrag ist die Revolutionierung der Authentifizierung im Internet, indem wir technische Spezifikationen entwickeln und anschließend global einführen, die die weltweite Abhängigkeit von Passwörtern durch interoperable sichere Authentifizierung ersetzt“, sagt Brett McDowell, Geschäftsführer der FIDO Alliance. „Durch W3Cs Übernahme der FIDO 2.0-Einreichung und durch die Gründung dieser neuen Web Authentication Working Group sind wir auf gutem Weg, diesen Auftrag zu erfüllen.“
Das erste Treffen der neuen Web Authentication Working Group wird am 4. März 2016 in San Francisco stattfinden. Zeit und Ort sind passend für jene gewählt, die auch an der RSA USA Conference teilnehmen werden. Sämtliche Standardisierungsaktivitäten finden in Working Groups statt, deren Teilnahme jedem W3C-Mitglied offensteht. Working Groups stellen zudem öffentliche Mailinglisten und Repositorys bereit, um öffentlichen Diskurs und Kommentare zu ermöglichen.
„Die Enwickler und Ingenieure, die an der Arbeit des W3Cs zur Erhöhung der Internetsicherheit beteiligt sind, sind sich deutlich der Wichtigkeit dessen bewusst, bestehende Protokolle zu verbessern und dabei das Internet, auf das Milliarden von Menschen täglich angewiesen sind, intakt zu lassen“, sagt Seltzer. „Wir möchten ausdrücklich jene zur Mitarbeit animieren, die daran interessiert sind, das Internet sicherer zu machen.“
Über das World Wide Web Consortium
Das World Wide Web Consortium (W3C) ist ein internationales Konsortium, in dem Mitgliederorganisationen und -unternehmen, W3C-Angestellte sowie die Öffentlichkeit zusammenarbeiten, um die Standards für das World Wide Web zu entwickeln. Das W3C führt seinen Auftrag primär durch Erstellung von Web-Standards und -Richtlinien durch, die darauf ausgelegt sind, langfristiges Wachstum und eine nachhaltige Verwaltung des Webs sicherzustellen. Mehr als 400 Organisationen und Unternehmen sind Mitglieder des Konsortiums.
Das W3C wird in Zusammenarbeit vom MIT Computer Science and Artificial Intelligence Laboratory (MIT CSAIL) in den Vereinigten Staaten, dem European Research Consortium for Informatics and Mathematics (ERCIM) mit Hauptsitz in Frankreich, der Keio University in Japan und der Beihang University in China geleitet. Das W3C unterhält Büros in Australien, den Benelux-Staaten, Brasilien, Deutschland und Österreich, Finnland, Frankreich, Griechenland, Indien, Italien, Korea, Marokko, Russland, Schweden, Spanien, Südafrika, Ungarn sowie dem Vereinigten Königreich und Irland. Weitere Informationen finden Sie unter http://www.w3.org.
Medienkontakt
Karen Myers, W3C <w3t-pr@w3.org>
Georg Rehm, W3C Deutschland/Österreich <georg.rehm@w3.org>