Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

W3C gründet Arbeitsgruppe zur Standardisierung stärkerer Login-Methoden

    W3C gründet Arbeitsgruppe zur Standardisierung stärkerer Login-Methoden

(Foto: Yuko Honda / Flickr Lizenz: CC BY-SA 2.0)

Das W3C möchte das Web sicherer machen und hat dafür eine Arbeitsgruppe ins Leben gerufen, die sich mit der Entwicklung von Standards beschäftigt, die bessere Login-Methoden anstelle von Passwörtern ermöglichen.

Am 17. Februar hat das World-Wide-Web-Consortium (W3C) die Gründung der „Web Authentication Working Group“ bekanntgegeben. Ziel dieser Arbeitsgruppe ist es, Standards zu entwickeln, die Passwörter durch stärkere kryptografische Methoden ersetzen sollen. Laut W3C ermöglicht dieser Ansatz eine sichererer und flexiblere Alternative für Passwort-basierende Logins im Web. Tim Berners-Lee, Erfinder des Web und W3C-Direktor, sagt dazu:

„Wenn starke Authentifizierung einfach einzusetzen ist, machen wir das Web für die tägliche private und kommerzielle Nutzung sicherer. Mit wachsendem Umfang und zunehmender Anzahl von Angriffen, ist es für das W3C geboten, neue Standards und Best-Practices für eine erhöhte Sicherheits im Web zu entwickeln.“

Die Arbeit der neuen W3C-Gruppe basiert auf bereits vorhandenen APIs von FIDO, die zwei verschiedene Authentifizierungs-Methoden ermöglichen. (Grafik: fidoalliance.org)
Die Arbeit der neuen W3C-Gruppe basiert auf bereits vorhandenen APIs von FIDO, die zwei verschiedene Authentifizierungs-Methoden ermöglichen. (Grafik: fidoalliance.org)

Laut dem W3C-CEO Dr. Jeff jaffe, wird die Arbeit der Gruppe die bisherige Arbeit des W3C an einer Web-Kryptografie-API, die eine JavaScript-API für eine Standard-Suite kryptografischer Operationen in allen Browsern bereitstellt, und die andauernde Arbeit an den Web-Applikation-Spezifikationen ergänzen, die sich unter anderem um die Verbesserung von HTTPS kümmern.

Es gebe bereits bessere Methoden für die Authentifizierung im Web, so Technology und Society Domain Lead Wendy Seltzer, aber zu viele Websites würden immer noch Passwort-basierte Logins nutzen. Die neuen standardisierten Web-APIs werden konsistente Implementationen wie etwa für einen Login via USB-Schlüssel im ganzen Web-Ökosystem funktionieren lassen.

Beschleunigt werden die Arbeiten der Web Authentication Working Group auf technischer Seite dadurch, dass sie auf den FIDO-2.0-Web-APIs basieren werden, da diese als eine „Member Submission“ akzeptiert wurden und damit als Input für den Standardisierungs-Prozess des W3C genutzt werden können. Das erste Meeting der neuen Gruppe wird am 4. März in San Francisco stattfinden.

Ein paar genauere Informationen gibt es in der Pressemitteilung des W3C.

Finde einen Job, den du liebst zum Thema TYPO3, PHP

1 Reaktionen
Schneller wäre besser
Schneller wäre besser

Chipkarten werden wohl seit Jahrzehnten bei M$ benutzt. Für kleine Bürger leider nicht bezahlbar.

Und das W3C ist immer recht langsam mit seinen Standards.
Davon abgesehen hätte man volkstaugliche Verschlüsselung schon vor Ewigkeiten realisieren müssen. PGP ist vermutlich immer noch zu kompliziert.
Auch die MacOS-Schlüsselverwaltung ist recht undeutlich was man da eigentlich macht oder wieso hat man hunderte Zertifikats-Stellen im Browser eingetragen und nicht nur Apple und per Hand dann seine Bank, Amazon und Ebay oder Facebook und so man sonst so herumsurft ?
Zertifikats-Stellen wurden schon übernommen. Meine Forderung nach Keys nur für 1 Jahr und ratz-fatz-Austausch-Methoden bei hack/crack/diebstahl/Übernahme (z.b. weil der SSL-Webserver gehackt wurde wo der private Key ja wohl herumliegt) waren auch nicht relevant und wie üblich war Mobbing der Dank.
http://www.heise.de/security/meldung/Der-Diginotar-SSL-Gau-und-seine-Folgen-1423893.html

Und ich wollte schon vor über 10 Jahren das man die Keys und Nameserver-Einträge von Apple, M$, China, USA, Firefox, Safari, Opera, Wiki-SSL usw. bestätigt werden und nicht nur einem (möglicherweise gecrackten) einzigen Zertifikats-Anbieter bzw. Nameserver.
Sobald sich da was ändert wird der Key verpetzt und dann mal geguckt. Ansatzweise wird meine Idee (seltsame/veraltete Keys verpetzen) inzwischen bei FireFox realisiert.
Aber wie schon gesagt: Mobbing und "das braucht keiner" waren die Antworten...
Hier ist die Bestätigung wieso man das doch braucht:
http://www.cnet.com/news/nsa-disguised-itself-as-google-to-spy-say-reports/

Kontrolle und Sicherheit sind unbeliebt. Dementsprechend erfolgreich sind deutsche Bauprojekte oder IT-Projekte...

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen