W3C lança projeto de Autenticação na Web com base nas especificações da FIDO Alliance, visando uma alternativa mais segura e flexível às senhas de logins na Web
Fevereiro de 2016 — Ao reconhecer o papel vital da autenticação forte para tornar a navegação na Web segura para todos, o World Wide Web Consortium (W3C) anunciou hoje que lançará um novo esforço de padronização referente à Autenticação na Web, que oferecerá uma alternativa mais segura e flexível aos logins baseados em senhas.
Para muitos usuários da Web, as senhas são algo de uso incômodo e oferecem proteção fraca em suas interações – são frequentemente esquecidas ou definidas de forma fraca, ou em combinações fáceis de adivinhar. Até mesmo quando as senhas são fortes, elas podem se perder em vazamento de dados ou podem ser reproduzidas em ataques de phishing. O novo projeto de Autenticação na Web do W3C, atendendo à solicitação de seus membros e baseados nas interfaces de programação de aplicações (APIs) para a Web FIDO 2.0 da FIDO Alliance, possibilitará o uso de operações criptográficas fortes em substituição à troca de senhas.
“Quando a autenticação forte é fácil de ser implementada, tornamos a Web mais segura para o uso diário, pessoal e comercial”, afirmou o Sr. Tim Berners-Lee, inventor da Web e Diretor do W3C. “Com a maior abrangência e frequência de ataques, é fundamental que o W3C desenvolva novos padrões e melhores práticas para aumentar a segurança na Web”.
O projeto Autenticação na Web complementa as atuais atividades de segurança na Web
De acordo com o Diretor Executivo do W3C, Dr. Jeff Jaffe, o esforço de Autenticação na Web complementará projetos anteriores do W3C referentes à API de Criptografia Web, atualmente com o status Candidata à Recomendação , bem como projetos em andamento sobre especificações de Segurança das Aplicações Web. A API WebCrypto? fornece uma API de Javascript para um conjunto padrão de operações criptográficas nos navegadores. O trabalho da WebAppSec? inclui melhorias com relação ao uso de HTTPS e atualizações da Política de Segurança de Conteúdo (CSP), possibilitando aos autores de aplicações determinar a política sobre qual conteúdo ativo é permitido executar em seus sites, protegendo-os contra a introdução de códigos indesejados ou maliciosos.
“O nosso objetivo é elevar toda a Plataforma da Web Aberta a um padrão superior de segurança, bem como colaborar com o setor, especialistas acadêmicos e outras organizações que trabalham com padronização, a fim de garantir que as necessidades específicas de segurança da Web sejam satisfeitas” afirmou Jaffe. “Pedimos a ampla participação dos interessados, para assim trabalharmos de forma conjunta neste escopo de prioridade máxima, visando manter a Web o mais seguro possível nos dias de hoje e no futuro próximo”.
Wendy Seltzer, Diretora do Domínio Tecnologia e Sociedade, afirma ter como expectativa que o projeto Autenticação na Web atue para preencher uma lacuna importante na plataforma Web. “Já vimos métodos de autenticação muito melhores que senhas, mesmo assim inúmeros websites ainda usam logins baseados em senhas. A padronização das APIs para a Web farão com que implementações consistentes funcionem no ecossistema da Web. A nova abordagem substituirá as senhas por meio de formas mais seguras de fazer o login em websites, por exemplo, ao usar uma chave USB ou ao ativar um smartphone. A autenticação forte é útil a qualquer aplicação Web que queira manter o relacionamento contínuo com seus usuários”, disse Seltzer.
APIs Web FIDO 2.0 darão início aos projetos de autenticação Web
O trabalho técnico do W3C referente à Autenticação na Web vem sendo acelerado graças ao encaminhamento dados por filiados ao W3C da demanda por APIs Web FIDO 2.0 feita pela FIDO Alliance. As APIs solicitadas visam assegurar a autenticação forte baseada em padrões em todos os navegadores Web e na plataforma a ela relacionada.
“A nossa missão é revolucionar a autenticação na Web por meio do desenvolvimento e da adoção global de especificações técnicas que substituam a dependência mundial de senhas com autenticação interoperável e forte”, afirmou Brett McDowell?, diretor executivo da FIDO Alliance. “Com a aceitação por parte do W3C da apresentação da FIDO 2.0, e com a constituição deste novo Grupo de Trabalho de Autenticação na Web, estamos no caminho certo para alcançar essa missão”.
A primeira reunião do novo Grupo de Trabalho de Autenticação na Web acontecerá dia 4 de março de 2016 em São Francisco, quando também acontecerá a Conferência RSA USA. Todas as atividades de padronização do W3C são realizadas nos Grupos de Trabalho abertos à participação dos membros do W3C, e oferecem listas públicas e repositórios para comentários e participação do público.
“Os desenvolvedores e engenheiros envolvidos nos esforços do W3C para melhorar a segurança da Web têm bastante consciência da necessidade de atualizar protocolos sem derrubar a Web da qual dependem milhões de pessoas”, disse Seltzer. “Incentivamos fortemente o envolvimento das pessoas interessadas em ajudar o W3C a construir uma Web mais segura”.
Sobre o World Wide Web Consortium
O World Wide Web Consortium (W3C) é um consórcio internacional no qual organizações filiadas, uma equipe em tempo integral e o público trabalham juntos para desenvolver padrões Web. O W3C basicamente busca atingir sua missão por meio da criação de padrões Web e diretrizes elaboradas para assegurar o crescimento de longo prazo e a administração da Web. Mais de 400 organizações são filiadas ao Consórcio.
O W3C é gerido conjuntamente pelo MIT Computer Science and Artificial Intelligence Laboratory (MIT CSAIL) nos Estados Unidos, pelo European Research Consortium for Informatics and Mathematics (ERCIM) com sede na França, pela Universidade de Keio, no Japão e pela Universidade Beihang, na China. O W3C possui escritórios na Austrália, nos países do Benelux, no Brasil, na Finlândia, França, Alemanha e Áustria; Grécia, Hungria, Índia, Itália, Coreia, Marrocos, Rússia, África do Sul, Espanha, Suécia, no Reino Unido e na Irlanda. Para mais informações, acesse http://www.w3.org/