WebAuthn, lo standard per il Web senza password

Il W3C ha approvato WebAuthn come standard per l'autenticazione ai servizi online senza bisogno di affidarsi alla tradizionale password.

Il W3C (World Wide Web Consortium) ha dichiarato che WebAuthn (Web Authentication API) è ora ufficialmente uno standard Web. Annunciato a fine 2015 dal Consorzio stesso e dalla FIDO Alliance, è pensato per effettuare l’autenticazione ai servizi online senza per forza di cose doversi affidare alla password tradizionale, sfruttando l’analisi di parametri biometrici (impronte digitali, scansione dell’iride, riconoscimento facciale), l’interazione con dispositivi mobile oppure con appositi device fisici.

WebAuthn, login senza password

Al momento la compatibilità è garantita dai sistemi operativi Android e Windows 10 oltre che dai browser Edge, Firefox e Chrome (per Safari solo nelle versioni preview). Per quanto riguarda invece siti, servizi e piattaforme, ad aver già adottato WebAuthn sono Dropbox, Facebook, GitHub, Salesforce, Stripe e Twitter. Il W3C è al lavoro per farlo sul proprio portale. Tra le realtà che già hanno scelto di offrire il supporto a WebAuthn, vestendo i panni di contributori, ci sono invece Airbnb, Alibaba, Apple, Google, IBM, Intel, Microsoft, Mozilla, PayPal, SoftBand, Tencent e Yubico, quest’ultima impegnata nella realizzazione e nella commercializzazione di dispositivi fisici (chiavi) per gestire le operazioni di login.

Youbikey 5 Series

WebAuthn sfrutta una chiave pubblica di crittografia asimmetrica con sistemi di protezioni contro il phishing. Queste le parole di Jeffrey Jaffe, CEO del World Wide Web Consortium.

È tempo, per servizi Web e business, di adottare WebAuthn e lasciarsi alle spalle le password vulnerabili, aiutando così gli utenti a migliorare la sicurezza delle loro esperienze online. Le raccomandazioni del W3C stabiliscono linee guida per l’interoperabilità, in modo da soddisfare le aspettative degli utenti che visitano i siti.

W3C, FIDO Alliance e FIDO2

Le raccomandazioni del W3C a proposito di WebAuthn costituiscono un tassello fondamentale per le specifiche FIDO2 della FIDO Alliance, uno standard per il supporto all’utilizzo di chiavi crittografiche pubbliche (Universal Authentication Framework UAF) e ai metodi di autenticazione multifattore (Universal Second Factor o UAF). Il loro impiego permette all’utente di sfruttare credenziali uniche per ogni servizio online poiché i parametri biometrici o i codici segreti non vengono mai inviati a un server remoto né lasciano il dispositivo del client, rendendo così l’intero sistema invulnerabile agli attacchi di phishing.

Come funziona WebAuthn

La password tradizionale è dunque destinata al pensionamento. Ha già da qualche tempo iniziato a mostrare tutte le sue criticità: basti pensare all’ostinazione degli utenti nello scegliere codici troppo semplici da indovinare o poco efficaci, così come al brutto vizio di usare la stessa per più piattaforme, riducendo in questo modo la loro efficacia ed esponendo informazioni e dati personali all’attività dei malintenzionati. I tanti leak di cui si è parlato nell’ultimo periodo ne sono la testimonianza. In chiusura il commento di Brett McDowell, direttore esecutivo della FIDO Alliance.

La componente Web Authentication di FIDO 2 è ora ufficialmente uno standard Web del W3C, un risultato importante che racchiude parecchi anni di collaborazione finalizzata allo sviluppo di una soluzione pratica per l’autenticazione ai servizi online senza rischi in termini di phishing.

Fonte: WebAuthn

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Kreglan scrive:
    solo io penso che il sistema con password sia più forte di un sistema basato su dati biometrici? se voglio avere qualcosa davvero al sicuro nessuno può costringermi di rivelare una password, invece nel caso di biometria gli basta mettere il mio dito sul dispositivo e ha accesso a tutto.
    • zampa scrive:
      "biometria" non è solo l'impronta del tuo dito. E' l'analisi di un insieme di fattori fisici che devono essere soddisfatti per dare l'ok. PS: Sei proprio sicuro che nessuno possa estorcerti una qualunque password?!
Chiudi i commenti