Standards Gruppe zielt darauf ab, Krypto-Steuerelemente in Browser, um Web-Anwendungen zu sichern

Das World Wide Web Consortium (W3C) arbeitet an dem ersten Entwurf einer Standard-Spezifikation, die entwickelt wurde, um Browser mit Hooks auszustatten, die starke kryptografische Anmeldeinformationen unterstützen, die den Zugang zu den Webanwendungen eines Benutzers sichern und Phishing auslöschen.

“Dies ist ein wichtiger Schritt auf dem Weg zu einer einwandfreien, den Schutz der Privatsphäre bewahrenden Authentifizierung im Web und der Verringerung der Vertrauenswürdigkeit von Passwörtern”, so die WebAuthn-Arbeitsgruppe des W3C auf ihrer Homepage.

Das W3C ist eine internationale Standards Organisation für das World Wide Web und seine Arbeit ist in der Regel von allen großen Web-Browser übernommen. WebAuthn zielt darauf ab, einen starken Authentifizierungsstandard über Browser-Plattformen zu etablieren.

Das W3C-Timing kann genau so sein, wie Passwörter Diebstähle und Daten-Dumps haben entschieden, Sicherheit News-Zyklen der spät. Die Änderungen in den Authentifizierungsmethoden und den Endbenutzergewohnheiten waren in der Branche ein harter Nuss, und das W3C ist gerade das Neueste, um mit seinem Browser-centric-Modell einen Schuss zu machen.

Ende letzten Monats veröffentlichte das W3C den ersten Arbeitsentwurf seiner Web-Authentifizierungs-Spezifikation (WebAuthn) und hofft, einen weiteren im September veröffentlichten Entwurf zu haben, der die Ziele der Spezifikation umfasst und bereit ist, für eine Entwickler-Peer-Überprüfung zu senden.

Zu den Zielen der Gruppe gehören das Entfernen von Passwörtern, die Unterstützung von Multi-Faktor-Authentifizierungen, die Etablierung eines hardwarebasierten Kryptographie-Schlüsselspeichers und die Aktivierung eindeutiger Schlüsselpaare, die das Verfolgen von Benutzern über Websites verhindern.

Die Web-Authentifizierungsspezifikation enthält Entwürfe für eine Anwendungsprogrammierungsschnittstelle (API) zusammen mit Mechanismen für Signaturen und Authentizität des Geräts, das die kryptografischen Schlüssel eines Benutzers erzeugt. Die gesamte Kryptographie würde hinter den Kulissen geschehen und von einem als Authenticator bekannten Gerät aktiviert werden, das ein Hardware-Token oder ein Smartphone sein könnte.

Die WebAuthn-API ermöglicht es Web-Seiten, kryptografische Anmeldeinformationen zu empfangen, die mit der WebAuthn-Spezifikation kompatibel sind. Der Authentifizierer eines Benutzers würde in das Gerät integriert sein, oder sie würden ein Smartphone verwenden, das sichere Elemente enthält, die als Authentifizierer fungieren. Der Benutzer würde eine eindeutige kryptografische Berechtigung mit jeder Website registrieren und anschließend den Authentifizierer verwenden, um eine Einwilligung für Operationen wie z. B. Login zu erteilen. Der Benutzer ist die Kontrolle über ihre Anmeldeinformationen und Schlüssel, die ihre Privatsphäre erleichtert.

Die WebAuthn Arbeitsgruppe arbeitet aus einer Spezifikation, die im November von der FIDO Alliance auf der Grundlage ihrer FIDO 2.0 Arbeit eingereicht wurde.

Derzeit umfasst Google Chrome ursprüngliche FIDO Alliance Authentifizierungsprotokolle. Chrome und Mozilla Firefox-Browser testen frühere Versionen der Web-Authentifizierungsspezifikation, während der neue Edge-Browser von Microsoft die frühen Unterstüzungen des Web-Authentifizierungsmodells enthält.

Die WebAuthn-Gruppe plant, die W3C-Dokumentlizenz für alle vorgeschlagenen Standards zu verwenden.

Disclaimer: Mein primärer Arbeitgeber ist Mitglied der W3C und der FIDO Alliance.

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer

Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog

Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundes-Chief Information Security Officer, Sicherheit, Pentagon für Cyber ​​kritisiert -Notfall Reaktion durch die Regierung Watchdog