W3C中国

» W3C加速构建更安全的万维网

 

W3C加速构建更安全的万维网

W3C基于FIDO联盟规范启动Web认证标准化工作 提供更安全灵活的Web认证方式 


多语种翻译 | W3C官方声明


w3c

2016年2月17日 - 基于对强认证在保证个人Web浏览体验安全性方面关键作用的认知,万维网联盟(简称“W3C”)宣布正式成立Web认证工作组(Web Authentication Working Group),致力于开发采用加密操作取代简单口令认证(密码登陆)方法的技术标准,从而为Web应用开发者提供更加安全、更加灵活的Web认证方法。

对大量Web用户来说,使用密码登陆不但令人厌烦而且对交互操作的保护十分薄弱 - 用户经常忘记密码、多次设置新密码,以及极易破解的密码组合都使得这一保护方式变得脆弱。即使再强大的密码也会在数据泄露、针对反演的钓鱼攻击中遗失。W3C的Web认证相关技术工作得益于FIDO联盟(FIDO Alliance)所提交的关于FIDO 2.0 Web APIs的会员提案(member submission)。该提案给出了一组API,可以在Web浏览器和相关的Web平台基础设施之间实现基于标准的强认证方法。

W3C创始人Tim Berners-Lee表示:“当能够在Web上更加容易的部署强认证(strong authentication)方法时,Web在服务于日常生活、个人和商业即变得更加安全。随着网络攻击的范围和频率持续增加,W3C需要开发新的标准和最佳实践,来提升Web的安全性”

 

Web认证是目前W3C Web安全标准工作的重要补充

W3C的首席执行官Jeff Jaffe博士表示:“W3C在Web认证方面的投入将是对Web加密API (W3C候选推荐标准)以及在Web应用安全规范方面正在开展的工作的重要补充。Web加密API规范为一个跨浏览器加密操作的标准套件提供了一个Javascript API。Web应用安全方面的工作包括改进HTTPS体验与更新内容安全协议(Content Security Policy,CSP),使应用程序作者能够为那些允许在他们的网站上运行的活动内容设置协议, 从而保护这些内容免受意外或恶意代码的侵入。W3C的目标是进一步提升整个开放Web平台的安全标准,与行业、业界专家学者以及其他标准组织紧密协作以确保满足特定的Web安全需求。我们诚挚邀请广大参与者协同致力于这项首要任务,无论是在当前还是在可预见的未来,都尽最大可能保持Web的安全。”

W3C技术与社会标准领域负责人Wendy Seltzer表示:“我们期待新的Web认证标准工作可以弥补Web平台的缺口。”Wendy Seltzer同时评论道:“我们见过比密码登陆更好的验证方式,然而太多的Web网站仍然使用密码口令登陆的方式。标准Web APIs将对整个Web生态系统的一致实现发挥重要作用。新的方式将取代密码验证从而以更安全的方式登陆Web网站,例如使用一个USB密钥或激活一部智能手机。强认证对所有想要与用户保持持续关系的Web应用都十分有价值。”

 

FIDO 2.0 Web APIs 开启 Web 认证标准化工作

W3C的Web认证相关技术工作得益于FIDO联盟(FIDO Alliance)所提交的关于 FIDO 2.0 Web APIs 的会员提案(Member Submission)。该提案中的APIs旨在保证基于标准的强认证可以覆盖全部Web浏览器以及相关的Web平台基础设施。

FIDO联盟的执行董事Brett McDowell表示:“Web认证的技术规范采用可互操作的强认证来取代世界对密码口令的依赖,而我们的宗旨则是通过对这些技术规范的发展与全球范围内的采用彻底改革Web上的安全认证方式。随着W3C接受FIDO 2.0 Web APIs会员提案以及全新的Web认证工作组成立并发布工作组章程,我们正一步步顺利地实现着改革Web安全认证方式这一目标。”

Web认证工作组(Web Authentication Working Group)将于2016年3月4在美国旧金山举行首次工作组会议,此次会议与在美国举行的信息安全领域盛会 RSA USA 会议同期举行。W3C所有工作组(Working Groups)的全部标准工作都对W3C会员单位开放,同时提供公共邮件列表以及存储库供公众发表意见。

Wendy Seltzer提到:“致力于提高Web安全的W3C相关Web开发者和工程师敏锐地意识到在不破坏亿万用户所依赖的Web的前提下升级协议的需求。我们鼓励也十分期待愿意协助W3C建立更安全Web的参与者更加广泛的参与。”

 

关于万维网联盟(W3C)

万维网联盟(World Wide Web Consortium,简称W3C)是由会员组织、全职工作人员、以及公众共同组成的致力于发展互联网标准的国际化组织。 W3C通过创立互联网标准及指导方针来保障互联网长期稳定的发展,开放万维网平台(Open Web Platform)是万维网联盟目前的核心工作。截至今日,W3C在全球拥有超过400多家会员单位,其中中国会员26家。

W3C主要由如下机构联合管理:美国麻省理工学院计算机科技与人工智能实验室(MIT CSAIL)、法国的欧洲信息与数学研究联盟(ERCIM)、中国北京航空航天大学(Beihang University)以及日本庆应大学(Keio University),并且W3C在全球范围内设有办事处,包括澳大利亚、比荷卢三国经济联盟、巴西、芬兰、法国、德国、奥地利、希腊、匈牙利、印度、意大利、韩国、摩洛哥、俄罗斯、南非、西班牙、瑞典、英国及爱尔兰。更多信息请见http://www.w3.org,及W3C中文网站 http://www.chinaw3c.org

 

W3C媒体联系人

Karen Myers, W3C <w3t-pr@w3.org> Mobile: 1.978.502.6218

中国区请联系 Xueyuan Jia, W3C <xueyuan@w3.org> Mobile: 86.186.1297.0645 

 

来自W3C会员的评价(Testimonials)

Nok Nok Labs, Inc. - The W3C's new Web Authentication work, based upon the FIDO Alliance submission of FIDO 2.0 Web APIs, is a huge step towards realizing our vision of strong authentication using strong cryptographic operations instead of passwords. The W3C work drives us towards standards-based adoption by major browsers and enables consumers and organizations to achieve both an improved user experience and improved security. As a founder of the FIDO Alliance and one of the organizations to submit the FIDO 2.0 Web API’s to the W3C, it is great to see the submissions move down the standards path.

--  Ramesh Kesanupalli, Nok Nok Labs Founder and FIDO Visionary

 

Yubico -  To build long-term trust for the Web, we need to develop alternatives to the static password. As a major contributor to FIDO open authentication standards, Yubico is convinced the future of strong authentication will be rooted in native support within platforms and browsers. The Web Authentication work within the W3C is a critical collaboration and contribution to this outcome.

--  Stina Ehrensvard, CEO, Yubico

 

 

 

 

 

评论已关闭

站内搜索

万维网联盟(World Wide Web Consortium, W3C)是Web领域的国际标准化组织,开发开放Web标准,确保Web的长期发展。欢迎您加入W3C的朋友计划,支持W3C实现“尽展Web无限潜能”的使命,并为Web开发者提供更多工具。

更多内容>>

诚聘英才

TPAC 2017

W3C 2017年度技术大会及顾问委员会会议(TPAC 2017)将于11月6-10日在美国加利福尼亚州柏林格姆(Burlingame)举行。注册现已开放。

更多内容>>

W3Cx 开放课程

W3C与edX合作,推出W3Cx系列课程,您可以免费注册这些课程:

- CSS概述
- HTML5:第一部分
- HTML5:第二部分
- HTML5概述
更多内容>>

W3C技术标准

查看Web技术标准
- 按时间 | 按工作组
■ Web与产业融合 ■
- 汽车 | 数字出版 | Web与电信
- 娱乐与广播电视 | Web支付 | Web数据
- 物联万维网(WoT) | Web安全
■ Web For All ■
- Web无障碍 | 国际化

更多内容>>

W3C标准翻译

我们欢迎您加入W3C标准翻译计划,了解W3C标准和文档的翻译情况,并成为W3C翻译计划的志愿者,帮助提供不同语言的W3C标准规范及文档的志愿者翻译及W3C授权翻译,更好服务全球技术社区。

更多内容>>

W3C中国贡献榜

我们通过贡献榜,感谢您积极参与W3C标准制定及审阅工作并提供建设性意见、提供W3C相关标准及技术文章的中文翻译、参与各类W3C技术研讨会。

更多内容>>

中国参与W3C

W3C中国目前正在不断加大全球W3C工作的参与力度,并设立了一系列以了解中国行业需求、引导标准制定为主要目的兴趣小组(IG)和社区组(CG)。
- HTML中文兴趣小组
- 中国信息无障碍社区组
- 中文数字出版社区组
- 中文文字布局需求特别任务组
- 数据可视化社区组

更多内容>>

合作伙伴

  • 北京航空航天大学
  • 北航计算机学院
  • w3ctech