http://www.w3.org/ -- 17 februari, 2016 -- Det är viktigt att använda stark autentisering för att säkra webbanvändning, och därför kan nu World Wide Web Consortium (W3C) meddela att den startar ett nytt standardiseringsarbete om autentisering på webben, ett arbete som kommer att ge ett säkrare och flexiblare alternativ till dagens inloggning med lösenord på webben. För många webbanvändare är lösenord ett besvär att använda, och ger svagt skydd för interaktion på webben -- lösenord glöms ofta bort eller består av alltför enkla och lättgissade tecken. Även starka lösenord kan stjälas vid intrång på webbplatser, eller fångas upp med nätfiske. W3C:s nya arbete med webbautentisering, vilket bygger på föreslagna FIDO 2.0 webb-API:er från FIDO Alliance, kommer att göra det möjligt att använda starka kryptografiska metoder istället för att ge lösenord. ”När det blir enkelt att installera stark autentisering, så kan vi göra webben säkrare för all slags daglig användning, såväl för privat användning som för företagsanvändning,” säger Sir Tim-Berners-Lee, uppfinnare av webben och direktor för W3C. ”I och med att attacker ökar i förekomst och i omfattning, så är det viktigt för W3C att utveckla nya standarder och goda konstruktionsråd. för att öka säkerheten på webben.”
Enligt Dr. Jeff Jaffe (W3C CEO), kommer arbetet med webbautentisering att komplettera tidigare startade arbeten med API:er för kryptografi på webben, som för närvarande har mognat fram till en föreslagen standard, Candidate Recommendation, och pågående arbete med specifikationer för säkra webbtillämpningar, Web Application Security (WebAppSec). API:et WebCrypto erbjuder ett JavaScript-API mot en standardiserad uppsättning kryptografiska metoder på olika webbläsare. I det arbete som gruppen WebAppSec utför, ingår förbättringar till HTTPS, och uppdateringar av policies för innehåll (Content Security Policy, CSP), och med detta kan konstruktörer av webbtillämpningar ange policies för vilket aktivt innehåll som kan köras på deras webbplatser, vilket skyddar dem mot instoppande av oönskad eller farlig kod.
”Vårt mål är att höja hela den öppna webbplattformen upp till en nivå med högre säkerhet, och att samarbeta med industri, akademi och andra standardiseringsorganisationer, för att säkerställa att specifika behov avseende webbsäkerhet kan stödjas,” säger Jaffe. ”Vi inbjuder till bred samverkan i arbetet med det viktiga målet att göra webben så säker som möjligt, idag och i överskådlig framtid.” Wendy Seltzer, som leder området teknologi och samhälle, säger att hon förväntar sig att det nya arbetet med webbautentisering kommer att överbrygga ett gap i webbplattformen. ”Vi känner till många autentiseringsmetoder som är bättre än lösenord, men alltför många webbplatser använder fortfarande inloggningsförfaranden med lösenord. Men standardiserade API:er för webben kan vi få implementationer att fungera på ett konsistent sätt över hela webbens ekosystem. Den nya ansatsen kommer att ersätta lösenord med mer säkra sätt att göra inloggningar på webbplatser, t.ex. genom att använda en USB-nyckel eller använda en smartphone. Stark autentisering är viktig för alla webbtillämpningar som behöver vidmakthålla en förtroendeingivande relation med sina användare,” säger Seltzer.
W3C:s tekniska arbete med webbautentisering får en skjuts tack vare ett förslag inlämnat av W3C-medlem, FIDO 2.0 Web APIs från medlemmar i FIDO Alliance. Dessa föreslagna API:er avses möjliggöra standardbaserad stark autentisering, på alla webbläsare och liknande infrastrukturer för webbplattformen.
”Vårt mål är att förnya autentisering på webben genom utveckling och globalt upptag av tekniska specifikationer, vilka ersätter dagens beroende av lösenordsbaserad inloggning med interoperabel stark autentisering,” säger Brett McDowell, direktör på FIDO Alliance. ”I och med att W3C har tagit upp detta FIDO 2.0-förslag, och genom att skapa en arbetsgrupp för webbautentisering, så har vi kommit en bra bit framåt mot att uppnå vårt mål.”
Den nya arbetsgruppen -- Web Authentication Working Group -- har sitt första möte den 4 mars 2016 i San Francisco, Kalifornien, vilket även ger möjlighet för deltagare att närvara vid RSA:s USA-konferens. Alla W3C:s arbeten med standarder sker inom ramen för arbetsgrupper, i vilka W3C-medlemmar kan deltaga, samt via öppna epostlistor och arkiv där alla intresserade kan avge kommentarer.
”De utvecklare och ingenjörer som engagerade i W3C:s arbete att förbättra säkerhet på webben är väl medvetna om behovet att uppgradera protokoll, vilket måste ske utan att den webb vi alla använder slutar fungera,” säger Seltzer. ”Vi skulle gärna se att de som vill att W3C lägger en grund för en säkrare webb, även engagerar sig i W3C:s arbete.”
W3C är ett internationellt konsortium där konsortiets medlemmar, en heltidsanställd stab och andra intresserade arbetar tillsammans för att utveckla webbstandarder. W3C:s huvudsakliga verksamhet är att ta fram webbstandarder samt riktlinjer, råd och anvisningar som säkerställer webbens långsiktiga tillväxt och vara en god ledare för webbens utveckling. Fler än 400 organisationer är medlemmar i konsortiet. W3C drivs gemensamt av MIT Computer Science and Artificial Intelligence Laboratory (MIT CSAIL) i USA, European Research Consortium for Informatics and Mathematics (ERCIM) med högkvarter i Frankrike, och Keio University i Japan, och Beihang University i Kina. W3C har även regionala kontor världen runt. Mer information finns på http://www.w3.org/
Karen Myers, W3C <w3t-pr@w3.org > Tel: 1.978.502.6218