Login senza password con Firefox, Edge e Chrome grazie a WebAuthn

10 Aprile 2018 28

Una procedura di autenticazione ai servizi via browser web ancor più semplice e sicura, perché non richiede l'utilizzo di password. E' quanto promettono FIDO Alliance, W3C e le aziende che hanno scelto di adottare lo standard open WebAuthn, finalizzato nelle scorse ore dopo un lungo periodo di sviluppo. Il supporto al nuovo standard è attualmente inserito nell'ultima versione di Firefox, e sarà introdotto nei prossimi mesi anche in Chrome ed Edge.

Il concetto di base è semplice: sostituire l'accesso tramite password con altri metodi basati su dispositivi biometrici o token USB. L'idea non è nuova, ed è già usata da aziende come Google e Facebook, che consentono di effettuare il login mediante appositi token conformi allo standard FIDO. La novità sta nella semplicità con cui, in futuro, tali metodi verranno integrati: WebAuthn potrà prendere il posto dei driver proprietari, rendendoli non più necessari per gestire le periferiche di autenticazione.

In tal modo, l'accesso a tali strumenti si allarga a gestori e sviluppatori di servizi che non rientrano tra i "big" del mercato. Afferma a tal proposito Selena Deckelmann, che si è occupata dell'integrazione di WebAuthn in Firefox:

In precedenza, il lavoro per supportare i token è stato svolto dalle grandi compagnie come Google, Microsoft e Facebook, con l'integrazione dei propri driver. Con WebAuthun si potranno utilizzare le librerie comunemente disponibili.

I vantaggi lato utente sono da valutare in termini di maggiore semplicità della procedura di login, perché non bisogna memorizzare, né custodire password e si possono sfruttare le periferiche biometriche integrate nel dispositivo (PC, portatile, o smartphone) così come dispositivi esterni. In secondo luogo WebAuthn migliora la sicurezza: le credenziali e i pattern biometrici non lasciano mai il dispositivo dell'utente e non sono archiviati nei server. Gli account sono protetti contro attacchi phishing, man-in-the-middle e altre tecniche volte a sottrarre le password. Per riprendere le dichiarazioni della Deckelmann, si passa dall'usare una password ad usare un hardware.

Gli sviluppatori possono iniziare a sviluppare app e servizi che si basano sullo standard FIDO, collegandosi al nuovo sito dedicato. Nel novero dei browser che hanno iniziato a supportare o supporteranno in futuro WebAuthn non figura però Safari. Apple ha collaborato allo sviluppo dello standard, quindi non è da escludere che in futuro anche il suo browser lo utilizzerà.


28

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
RiccardoC

bene! Era ora che ci fosse uno standard per superare il notorio punto debole di ogni sicurezza dall'origine del mondo (o almeno di internet): la password scelta dall'utente

RiccardoC

diciamo che se per i servizi importanti usi Fido + 2FA sei sicuro senza doverti sbattere a inventare altre password robuste; chiaramente è il mio punto di vista, e mi considero abbastanza paranoico e maniacale sulla sicurezza della password

RiccardoC

diciamo che è sempre un discorso di motivazione; semplicemente le risorse che servirebbero per forzare il tuo sistema (o il mio, che è funzionalmente equivalente) non bilanciano il guadagno ottenibile.
In pratica è la sicurezza di non avere nulla di realmente utile; per noi già il 2FA è garanzia di sicurezza pressoché totale

Jon Snow

Benissimo. Il database ce l'ho su gDrive e ho installato anche il programma su Windows che sincronizza con l'app. Poi ho la possibilità di inserire immagini personalizzate per ogni password e quindi è molto ben ordinata. È presente lo sblocco con impronta dalla versione di Android 5 in su

Francesco

da qualche parte sono in chiaro nel profilo

Francesco

per pc è gratis safeincloud, per smartphone si paga una tantum

cherokee.

Si è vero, però non mi da tanta fiducia. Spesso la password di windows non c'è gli amici la sanno

cherokee.

Di windows, che spesso non c'è.

Dea1993

per le password uso keepassx, la cifratura è molto forte e la password che uso è di circa 30 caratteri (numeri, lettere, maiuscole, minuscole e caratteri speciali).
molto più comodo del quaderno ma comunque sicurissimo.
oltretutto anche l'hard disk è cifrato quindi se qualcuno mi rubasse il notebook dovrebbe prima riuscire a decifrare l'harddisk e poi dovrebbe riuscire a decifrare il database.
praticamente impossibile

Ungarus

"credenziali e i pattern biometrici non lasciano mai il dispositivo dell'utente e non sono archiviati nei server"
Credici sisi, giurin giurello.

Vincenzo Concilio

Io rimango al buon vecchio quaderno con le password scritte e non le salvo da nessuna parte, e cambio password ogni anno a quello che uso di più, il token potrei perderlo....

Jd

Probabilmente è più sicuro Google hai ragione, ma con iOS funziona ? Se ha anche il completamento in app non è male

Jd

Non lo avevo provato, come ti trovi?

Jd

Interessante, ne ho provati un po’ ma questo no, lo proverò

CIKAPPA2904

E' necessaria la password di Windows per accedere a ogni singola password

Stefano

Non sono sicuro ma mi pare fosse necessario il reinserimento della password prima di poterle visualizzare

cherokee.

L'ho comprato e mi sono un po pentito, perchè un enorme sbatti ogni volta che aggiorni una password andarla a cambiare a mano. Per il resto fantastico!
Alla fine sto usando Lastpass Free, ma sto considerando il premium.

cherokee.

Poi vai a pisc iare e hai dimenticato il computer loggato, qualcuno apre chrome, va su impostazioni/Avanzate/Password e moduli/ e si guarda tutte le tue password in chiaro

Meh

Jam

In questi casi devi guardare la massa, non la paranoia del singolo. Che ci sta, come misura opzionale nessuno nega i benefici di un secondo step, proprio come ora con le otp. Ma di base la psw resta un metodo inefficente ed insicuro.

gaetano

Forse non ho capito bene io il funzionamento, ma se voglio accedere da un dispositivo non mio e i dati biometrici non sono su cloud ma solo su mio pc come faccio ?

Alessio Ferri

E se uno utilizzasse le chiavi pubbliche/private come ssh?
Hai lo stesso effetto senza dover usare un dispositivo

Jon Snow

Io uso safeincloud

MAD22

Provato Avira password manager? È gratuito

Dario · 753 a.C. .

Sì ma il token USB possono rubarmelo, mentre la password robusta la conosco solo io

Dimebag

Con le password salvate in Chrome e usando Android fai la stessa cosa e senza spendere nulla oltretutto non sono sicuro ma penso sia più sicuro dato che è Google ®

Jd

Con lastpass Premium mi sono semplificato la vita, consiglio a tutti mai soldi furono spesi meglio

Jam

Ottimo. Nel 2018 ancora non si riesce a superare la debolezza delle password, un concetto ormai morto e utile solo come extrema ratio, e non come difesa principale a tutela della propria identità. Il dover affidare la raccolta di ogni singola password - alfanumerica di almeno 16 caratteri da cambiarsi ogni x mesi - ad una persona, é qualcosa di folle. Così come é folle la frammentazione in n-mila autenticazioni possibili.
Abbiamo messo scanner e lettori di ogni tipo nei nostri smartphone, eppure li sfruttiamo nella maniera più misera possibile, se non in rare eccezioni. Per non parlare del fatto che pc o tastiere non nascano nativamente con scanner di impronta, ad esempio.

AC MILAN

https://uploads.disquscdn.c...

Huawei Watch GT 2 Pro: titanio e vetro zaffiro per diventare elegantissimo

La pandemia ha incentivato i pagamenti digitali: è la fine del contante?

Recensione Nubia Watch: molta forma, poca sostanza

Amazon Fire TV Stick e Cube, guida all'acquisto: modelli, differenze e prezzo