W3C snabbar på arbetet med en säker webb
Startar arbete med autentisering på webben, baserat på specifikationer från FIDO Alliance, för mer säkert och flexibelt alternativ till inloggning med lösenord för webben
http://www.w3.org/ -- 17 februari, 2016 -- Det är viktigt att använda stark autentisering för att säkra webbanvändning, och därför kan nu World Wide Web Consortium (W3C) meddela att den startar ett nytt standardiseringsarbete om autentisering på webben, ett arbete som kommer att ge ett säkrare och flexiblare alternativ till dagens inloggning med lösenord på webben. För många webbanvändare är lösenord ett besvär att använda, och ger svagt skydd för interaktion på webben -- lösenord glöms ofta bort eller består av alltför enkla och lättgissade tecken. Även starka lösenord kan stjälas vid intrång på webbplatser, eller fångas upp med nätfiske. W3C:s nya arbete med webbautentisering, vilket bygger på föreslagna FIDO 2.0 webb-API:er från FIDO Alliance, kommer att göra det möjligt att använda starka kryptografiska metoder istället för att ge lösenord. ”När det blir enkelt att installera stark autentisering, så kan vi göra webben säkrare för all slags daglig användning, såväl för privat användning som för företagsanvändning,” säger Sir Tim-Berners-Lee, uppfinnare av webben och direktor för W3C. ”I och med att attacker ökar i förekomst och i omfattning, så är det viktigt för W3C att utveckla nya standarder och goda konstruktionsråd. för att öka säkerheten på webben.”
Webbautentisering är ett komplement till pågående W3C-arbeten med webbsäkerhet
Enligt Dr. Jeff Jaffe (W3C CEO), kommer arbetet med webbautentisering att komplettera tidigare startade arbeten med API:er för kryptografi på webben, som för närvarande har mognat fram till en föreslagen standard, Candidate Recommendation, och pågående arbete med specifikationer för säkra webbtillämpningar, Web Application Security (WebAppSec). API:et WebCrypto erbjuder ett JavaScript-API mot en standardiserad uppsättning kryptografiska metoder på olika webbläsare. I det arbete som gruppen WebAppSec utför, ingår förbättringar till HTTPS, och uppdateringar av policies för innehåll (Content Security Policy, CSP), och med detta kan konstruktörer av webbtillämpningar ange policies för vilket aktivt innehåll som kan köras på deras webbplatser, vilket skyddar dem mot instoppande av oönskad eller farlig kod.
”Vårt mål är att höja hela den öppna webbplattformen upp till en nivå med högre säkerhet, och att samarbeta med industri, akademi och andra standardiseringsorganisationer, för att säkerställa att specifika behov avseende webbsäkerhet kan stödjas,” säger Jaffe. ”Vi inbjuder till bred samverkan i arbetet med det viktiga målet att göra webben så säker som möjligt, idag och i överskådlig framtid.” Wendy Seltzer, som leder området teknologi och samhälle, säger att hon förväntar sig att det nya arbetet med webbautentisering kommer att överbrygga ett gap i webbplattformen. ”Vi känner till många autentiseringsmetoder som är bättre än lösenord, men alltför många webbplatser använder fortfarande inloggningsförfaranden med lösenord. Men standardiserade API:er för webben kan vi få implementationer att fungera på ett konsistent sätt över hela webbens ekosystem. Den nya ansatsen kommer att ersätta lösenord med mer säkra sätt att göra inloggningar på webbplatser, t.ex. genom att använda en USB-nyckel eller använda en smartphone. Stark autentisering är viktig för alla webbtillämpningar som behöver vidmakthålla en förtroendeingivande relation med sina användare,” säger Seltzer.
Webb-API:er för FIDO 2.0 ger snabbstart för arbetet med webbautentisering
W3C:s tekniska arbete med webbautentisering får en skjuts tack vare ett förslag inlämnat av W3C-medlem, FIDO 2.0 Web APIs från medlemmar i FIDO Alliance. Dessa föreslagna API:er avses möjliggöra standardbaserad stark autentisering, på alla webbläsare och liknande infrastrukturer för webbplattformen.
”Vårt mål är att förnya autentisering på webben genom utveckling och globalt upptag av tekniska specifikationer, vilka ersätter dagens beroende av lösenordsbaserad inloggning med interoperabel stark autentisering,” säger Brett McDowell, direktör på FIDO Alliance. ”I och med att W3C har tagit upp detta FIDO 2.0-förslag, och genom att skapa en arbetsgrupp för webbautentisering, så har vi kommit en bra bit framåt mot att uppnå vårt mål.”
Den nya arbetsgruppen -- Web Authentication Working Group -- har sitt första möte den 4 mars 2016 i San Francisco, Kalifornien, vilket även ger möjlighet för deltagare att närvara vid RSA:s USA-konferens. Alla W3C:s arbeten med standarder sker inom ramen för arbetsgrupper, i vilka W3C-medlemmar kan deltaga, samt via öppna epostlistor och arkiv där alla intresserade kan avge kommentarer.
”De utvecklare och ingenjörer som engagerade i W3C:s arbete att förbättra säkerhet på webben är väl medvetna om behovet att uppgradera protokoll, vilket måste ske utan att den webb vi alla använder slutar fungera,” säger Seltzer. ”Vi skulle gärna se att de som vill att W3C lägger en grund för en säkrare webb, även engagerar sig i W3C:s arbete.”
Om World Wide Web Consortium [W3C]
W3C är ett internationellt konsortium där konsortiets medlemmar, en heltidsanställd stab och andra intresserade arbetar tillsammans för att utveckla webbstandarder. W3C:s huvudsakliga verksamhet är att ta fram webbstandarder samt riktlinjer, råd och anvisningar som säkerställer webbens långsiktiga tillväxt och vara en god ledare för webbens utveckling. Fler än 400 organisationer är medlemmar i konsortiet. W3C drivs gemensamt av MIT Computer Science and Artificial Intelligence Laboratory (MIT CSAIL) i USA, European Research Consortium for Informatics and Mathematics (ERCIM) med högkvarter i Frankrike, och Keio University i Japan, och Beihang University i Kina. W3C har även regionala kontor världen runt. Mer information finns på http://www.w3.org/
Kontaktpunkter för media
Karen Myers, W3C <w3t-pr@w3.org > Tel: 1.978.502.6218
Testimonials from W3C members
Bloomberg
The formation of this group presents a great opportunity to create a real industry standard around web authentication. This will create downstream opportunities in secure and interoperable ways for people to authenticate and should lead to both shorter development cycles and improvements in end-user experience.
Shawn Edwards, CTO, Bloomberg
Nok Nok Labs, Inc.
The W3C's new Web Authentication work, based upon the FIDO Alliance submission of FIDO 2.0 Web APIs, is a huge step towards realizing our vision of strong authentication using strong cryptographic operations instead of passwords. The W3C work drives us towards standards-based adoption by major browsers and enables consumers and organizations to achieve both an improved user experience and improved security. As a founder of the FIDO Alliance and one of the organizations to submit the FIDO 2.0 Web API’s to the W3C, it is great to see the submissions move down the standards path.
Ramesh Kesanupalli, Nok Nok Labs Founder and FIDO VisionaryYubico
To build long-term trust for the Web, we need to develop alternatives to the static password. As a major contributor to FIDO open authentication standards, Yubico is convinced the future of strong authentication will be rooted in native support within platforms and browsers. The Web Authentication work within the W3C is a critical collaboration and contribution to this outcome.
Stina Ehrensvard, CEO, Yubico