For Immediate Release
http://www.w3.org/ — 2016. február 17. —
A W3C, ismerve az erős autentikáció meghatározó szerepét a biztonságos webhasználat érdekében, elindítja új Webes
Autentikáció szabványosítási törekvését, amely biztonságosabb és rugalmasabb alternatívát kínál majd a weben a jelszó-alapú bejelentkezésnél.
Sok internetező számára a jelszó használata idegesítő és emellett gyenge védelmet nyújt – hiszen gyakran elfelejtődik vagy gyenge, és sok esetben könnyen kitalálható kombináció. Még az erős jelszavak is elveszhetnek adatfeltöréskor vagy célzottan ismételtethetők egy adathalász támadás során. A W3C új Webes Autentikáció munkája, mely a FIDO Szövetség (Fast IDentity Online, FIDO Alliance) FIDO 2.0 Web API használatán alapul, lehetővé teszi a jövőben az erős kriptografikus műveletek használatát a jelszó cserélése helyett.
„Ha az erős autentikációt könnyű alkalmazni, biztonságosabbá tesszük vele a webet a mindennapi használatra, személyes és kereskedelmi területen is,” mondja Sir Tim Berners-Lee, a Web kitalálója és W3C Igazgató. ”Mivel a támadások spektruma és gyakorisága növekszik, kötelező a W3C számára hogy új szabványokat és jó gyakorlatokat dolgozzon ki a webes biztonság növelése érdekében.”
A W3C ügyvezető igazgatója, Dr. Jeff Jaffe szerint a Webes Autentikáció kiegészíti a korábbi, jelenleg már Szabványterv státuszban lévő Webes Kriptográfia API (WebCrypto API)-n, valamint a Biztonságos Webes Applikáció (Web
Application Security ) szabványokon jelenleg is folyó W3C munkát. A WebCrypto API egy Javascript API-t biztosít a böngészők közötti egységes, szabványosított kriptográfiai műveletekhez. A WebAppSec jobb HTTPS élményt nyújt és frissíti a Tartalombiztonsági Házirendet (Content Security Policy, CSP), lehetővé téve az applikáció szerzőknek olyan policy-k létrehozását, amelyek megszabják, hogy mely aktív tartalmakat engedik futni oldalaikon, megvédve őket a hívatlan vagy rosszhiszemű kódok bejutásától.
“Célunk, hogy a teljes Nyílt Webes Platformot magasabb biztonsági szintre emeljük és együttműködjünk az iparral, akadémiai szakértőkkel és más szabványügyi szervezetekkel a biztonságos web sajátos igényeinek kielégítésére”, mondja Jeff Jaffe. “Széleskörű együttműködésre számítunk e kiemelt fontosságú területen, hogy a webet olyan biztonságossá tegyük amennyire ez csak lehetséges ma és a belátható jövőben.”
Wendy Seltzer, a Technológia és Társadalom Terület vezetője szerint az új webes autentikáció tevékenység a webes platform egy fontos hiányosságát orvosolja. “A jelszónál sokkal jobb autentikációs módszereket láttunk már, mégis túl sok weboldal a mai napig jelszó-alapú bejelentkezést használ. A szabványos webes API-k lehetővé teszik a konzisztens implementációk együttműködését a webes ökoszisztémán belül. Az új eljárás a jelszót sokkal biztonságosabb bejelentkezési módra cseréli, mint például egy USB kulcs használatára vagy egy okostelefon aktiválására. Az erős autentikáció hasznos bármely webes applikáció számára amely folyamatos kapcsolatot kíván fenntartani a felhasználókkal”, mondja.
A W3C Webes Autentikáció technikai munkáját felgyorsítja az, hogy a FIDO 2.0 webes API-kat a FIDO Szövetség W3C tagjai már véleményezték. Az így elismert API-k célja egy szabványalapú erős autentikáció biztosítása minden webes böngészőben és a kapcsolódó webes platform infrastuktúrákban.
“Küldetésünk a webes autentikáció forradalmasítása olyan műszaki specifikációk kidolgozása és globális alkalmazása révén, amelyek segítségével interoperábilis erős autentikáció lép a jelszótól való függés helyébe”, mondta Brett McDowell, a FIDO Szövetség ügyvezető igazgatója. “Azzal, hogy a W3C elfogadta a FIDO 2.0 véleményezését, és elindította a Webes Autentikáció Munkacsoportot, jó irányba haladunk küldetésünk teljesítése felé.”
Az új Webes Autentikáció Munkacsoport (Web Authentication Working Group) első megbeszélését 2016. március 4-én San Francisco-ban tartja, időben igazodva az RSA USA Konferenciához. Minden W3C szabványosítási tevékenység a Munkacsoportokban (Working Groups) zajlik, melyek nyitottak a W3C tagoknak és publikus levelezőlistákkal valamint repozitóriumokkal rendelkeznek teret biztosítva a nyilvános észrevételeknek.
„A W3C webes biztonságot növelő munkájában résztvevő fejlesztők és mérnökök tisztában vannak azzal, hogy úgy kell a protokollokat frissíteni hogy a web eközben ne álljon le, hiszen emberek milliói használják állandóan”, mondta Seltzer. „Emellett bátorítunk mindenkit, akit érdekel a W3C ezirányú törekvése, hogy kapcsolódjon be a biztonságosabb webért folyó munkába.”
A World Wide Web Konzorcium (W3C) egy nemzetközi szervezet melyben a tagintézmények, egy elkötelezett, teljes munkaidős csapat valamint a webes közösség együttműködik a web szabványainak kidolgozása terén. A W3C elsődlegesen annak megvalósítására törekszik, hogy a web szabványainak és iránymutatásainak kidolgozása révén a web hosszútávú növekedését biztosítsa. A Konzorcium napjainkban több mint 400 Tagot számlál.
A W3C tevékenységét négy intézet, az MIT
Computer Science and Artificial Intelligence Laboratory (MIT CSAIL)
(USA), a European
Research Consortium for Informatics and Mathematics (ERCIM)
(Franciaország), a Keio Egyetem
(Japán) és a Beihang Egyetem (Kína) koordinálja, számos nemzeti tagirodával együttműködve: Ausztrália, Benelux-államok, Brazília, Finnország, Franciaország, Németország és Ausztria, Görögország, Magyarország, India, Olaszország, Korea, Marokkó, Oroszország, Dél-Afrika, Spanyolország, Svédország, Egyesült Királyság és Írország.
További információ a W3C-ről a http://www.w3.org/ hivatkozáson.
End Press Release
Karen Myers, W3C w3t-pr@w3.org
Mobile: 1.978.502.6218