W3C加速构建更安全的万维网
W3C基于FIDO联盟规范启动Web认证标准化工作 提供更安全灵活的Web认证方式
2016年2月17日 - 基于对强认证在保证个人Web浏览体验安全性方面关键作用的认知,万维网联盟(简称“W3C”)宣布正式成立Web认证工作组(Web Authentication Working Group),致力于开发采用加密操作取代简单口令认证(密码登陆)方法的技术标准,从而为Web应用开发者提供更加安全、更加灵活的Web认证方法。
对大量Web用户来说,使用密码登陆不但令人厌烦而且对交互操作的保护十分薄弱 - 用户经常忘记密码、多次设置新密码,以及极易破解的密码组合都使得这一保护方式变得脆弱。即使再强大的密码也会在数据泄露、针对反演的钓鱼攻击中遗失。W3C的Web认证相关技术工作得益于FIDO联盟(FIDO Alliance)所提交的关于FIDO 2.0 Web APIs的会员提案(member submission)。该提案给出了一组API,可以在Web浏览器和相关的Web平台基础设施之间实现基于标准的强认证方法。
W3C创始人Tim Berners-Lee表示:“当能够在Web上更加容易的部署强认证(strong authentication)方法时,Web在服务于日常生活、个人和商业即变得更加安全。随着网络攻击的范围和频率持续增加,W3C需要开发新的标准和最佳实践,来提升Web的安全性”
Web认证是目前W3C Web安全标准工作的重要补充
W3C的首席执行官Jeff Jaffe博士表示:“W3C在Web认证方面的投入将是对Web加密API (W3C候选推荐标准)以及在Web应用安全规范方面正在开展的工作的重要补充。Web加密API规范为一个跨浏览器加密操作的标准套件提供了一个Javascript API。Web应用安全方面的工作包括改进HTTPS体验与更新内容安全协议(Content Security Policy,CSP),使应用程序作者能够为那些允许在他们的网站上运行的活动内容设置协议, 从而保护这些内容免受意外或恶意代码的侵入。W3C的目标是进一步提升整个开放Web平台的安全标准,与行业、业界专家学者以及其他标准组织紧密协作以确保满足特定的Web安全需求。我们诚挚邀请广大参与者协同致力于这项首要任务,无论是在当前还是在可预见的未来,都尽最大可能保持Web的安全。”
W3C技术与社会标准领域负责人Wendy Seltzer表示:“我们期待新的Web认证标准工作可以弥补Web平台的缺口。”Wendy Seltzer同时评论道:“我们见过比密码登陆更好的验证方式,然而太多的Web网站仍然使用密码口令登陆的方式。标准Web APIs将对整个Web生态系统的一致实现发挥重要作用。新的方式将取代密码验证从而以更安全的方式登陆Web网站,例如使用一个USB密钥或激活一部智能手机。强认证对所有想要与用户保持持续关系的Web应用都十分有价值。”
FIDO 2.0 Web APIs 开启 Web 认证标准化工作
W3C的Web认证相关技术工作得益于FIDO联盟(FIDO Alliance)所提交的关于 FIDO 2.0 Web APIs 的会员提案(Member Submission)。该提案中的APIs旨在保证基于标准的强认证可以覆盖全部Web浏览器以及相关的Web平台基础设施。
FIDO联盟的执行董事Brett McDowell表示:“Web认证的技术规范采用可互操作的强认证来取代世界对密码口令的依赖,而我们的宗旨则是通过对这些技术规范的发展与全球范围内的采用彻底改革Web上的安全认证方式。随着W3C接受FIDO 2.0 Web APIs会员提案以及全新的Web认证工作组成立并发布工作组章程,我们正一步步顺利地实现着改革Web安全认证方式这一目标。”
Web认证工作组(Web Authentication Working Group)将于2016年3月4在美国旧金山举行首次工作组会议,此次会议与在美国举行的信息安全领域盛会 RSA USA 会议同期举行。W3C所有工作组(Working Groups)的全部标准工作都对W3C会员单位开放,同时提供公共邮件列表以及存储库供公众发表意见。
Wendy Seltzer提到:“致力于提高Web安全的W3C相关Web开发者和工程师敏锐地意识到在不破坏亿万用户所依赖的Web的前提下升级协议的需求。我们鼓励也十分期待愿意协助W3C建立更安全Web的参与者更加广泛的参与。”
关于万维网联盟(W3C)
万维网联盟(World Wide Web Consortium,简称W3C)是由会员组织、全职工作人员、以及公众共同组成的致力于发展互联网标准的国际化组织。 W3C通过创立互联网标准及指导方针来保障互联网长期稳定的发展,开放万维网平台(Open Web Platform)是万维网联盟目前的核心工作。截至今日,W3C在全球拥有超过400多家会员单位,其中中国会员26家。
W3C主要由如下机构联合管理:美国麻省理工学院计算机科技与人工智能实验室(MIT CSAIL)、法国的欧洲信息与数学研究联盟(ERCIM)、中国北京航空航天大学(Beihang University)以及日本庆应大学(Keio University),并且W3C在全球范围内设有办事处,包括澳大利亚、比荷卢三国经济联盟、巴西、芬兰、法国、德国、奥地利、希腊、匈牙利、印度、意大利、韩国、摩洛哥、俄罗斯、南非、西班牙、瑞典、英国及爱尔兰。更多信息请见http://www.w3.org,及W3C中文网站 http://www.chinaw3c.org。
W3C媒体联系人
Karen Myers, W3C <w3t-pr@w3.org> Mobile: 1.978.502.6218
中国区请联系 Xueyuan Jia, W3C <xueyuan@w3.org> Mobile: 86.186.1297.0645
来自W3C会员的评价(Testimonials)
Nok Nok Labs, Inc. - The W3C's new Web Authentication work, based upon the FIDO Alliance submission of FIDO 2.0 Web APIs, is a huge step towards realizing our vision of strong authentication using strong cryptographic operations instead of passwords. The W3C work drives us towards standards-based adoption by major browsers and enables consumers and organizations to achieve both an improved user experience and improved security. As a founder of the FIDO Alliance and one of the organizations to submit the FIDO 2.0 Web API’s to the W3C, it is great to see the submissions move down the standards path.
-- Ramesh Kesanupalli, Nok Nok Labs Founder and FIDO Visionary
Yubico - To build long-term trust for the Web, we need to develop alternatives to the static password. As a major contributor to FIDO open authentication standards, Yubico is convinced the future of strong authentication will be rooted in native support within platforms and browsers. The Web Authentication work within the W3C is a critical collaboration and contribution to this outcome.
-- Stina Ehrensvard, CEO, Yubico
评论已关闭