WebAuthn è lo standard ufficiale per l'autenticazione senza password sul web

04 Marzo 2019 25

WebAuthn, il protocollo di autenticazione sicura senza password su internet, è diventato ufficialmente uno standard. L'hanno appena annunciato tramite un comunicato congiunto la W3C e la FIDO Alliance, due organizzazioni con ruoli da protagoniste circa il futuro del World Wide Web. Il protocollo è già stato implementato su diversi sistemi operativi (in particolare Android e Windows 10) e browser web, come Mozilla Firefox, Google Chrome, Microsoft Edge e Apple Safari (per ora ancora in Beta).

Grazie a WebAuthn, l'utente potrà scegliere il proprio metodo e dispositivo di autenticazione preferito - uno smartphone, per esempio, una chiavetta di sicurezza FIDO oppure i metodi di scansione biometrica a disposizione in locale. L'uso di WebAuthn non solo è più comodo per l'utente, ma è anche più sicuro: i dati necessari allo sblocco non abbandonano mai il dispositivo, e non ne vengono immagazzinate copie su server remoti.

Il comunicato osserva che secondo uno studio del 2017 (PDF) le password - rubate, deboli o mai cambiate rispetto al default - sono responsabili di ben l'81 per cento di tutti i furti di dati, ma non solo: sono uno spreco di tempo e risorse. Studi di Yubico hanno concluso che, in media, gli utenti passano quasi 11 ore l'anno a inserire o resettare le proprie password, che per le aziende si traduce in un costo medio di 5,2 milioni di dollari l'anno. E sì, l'autenticazione a due o più fattori o i codici usa e getta comunicati per SMS/mail migliorano la sicurezza, sono ancora vulnerabili ai tentativi di phishing. WebAuthn, invece, presenta i seguenti vantaggi chiave:

  • Sicurezza: le credenziali di accesso crittografiche sono uniche per ogni sito web, le informazioni biometriche e altre chiavi segrete non lasciano mai il dispositivo dell'utente e non sono salvate su server remoti. Questo sistema azzera il rischio phishing, tutte le forme di furto di password e di replay attack
  • Comodità: gli utenti possono autenticarsi con ciò che preferiscono - scanner di impronte, videocamere, chiavette FIDO o il loro dispositivo mobile personale.
  • Privacy: siccome le chiavi FIDO sono uniche per ogni sito internet, non possono essere usate per tracciare l'utente.
  • Scalabilità: i siti web possono abilitare il protocollo FIDO2 con una semplice chiamata alle API su tutti i browser e sistemi operativi supportati.

Ora la palla è in mano agli sviluppatori, che dovranno adoperarsi per implementare il protocollo nei loro siti Web. Sul sito della W3C (link alla voce FONTE) ci sono tutte le risorse per cominciare.


25

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
gioboni

Aaaah ok! Sì purtroppo sono cose che danno fastidio, anche perchè non sono proprio "gratis" considerando la semplice funzione che hanno.

Enrico Carrara
ale

Mah, mai percepito il problema, basta usare un password manager, anche uno integrato nel browser. Per esempio io ho tutte le password possibili salvate in Firefox, quando mi registro ad un nuovo servizio genero una password random e la salvo, non sento bisogno di avere altri metodi, il sistema è sicuro, le password sono cifrate con la tua master password, e tutto è sul mio computer con disco cifrato in ogni caso.

Autenticazione biometrica e stupidaggini varie, complicano le cose e che vantaggio si ha, per non parlare dell'autenticazione via smartphone (il mio PC è molto più sicuro dello smartphone), senza contare che sarà solo una rogna nuova per gli sviluppatori supportare questi protocolli quando l'autenticazione con il metodo vecchio era semplicissima e funzionava, anche senza JavaScript e casini vari.

ale

Che poi lo smartphone non mi pare un metodo sicuro francamente, meglio le OTP, non capisco che problema abbiano. Se poi per qualche motivo lo smartphone non va come fai?

Ansem The Seeker Of Darkness

Grazie per la conferma!

Francesco Renato

Non viene inviata ne l'una ne l'altra, solo la richiesta di verifica che avviene tutta all'interno del dispositivo abilitato.

M3r71n0

Hanno dimenticato di indicare il vantaggio maggiore.
La gente smetterà di usare "Ricorda i miei dati".
... soprattutto perchè poi dimentica di sloggarsi quando manda i propri dispositivi in assitenza.

auleiaauleia

si, ma non è il massimo della tecnologia

kalabro

chiaramente questo lo so, infatti nel mio pc che era sprovvisto ne ho preso uno usb, ma prima usavo il telefono.. la mia domanda con questo nuovo sistema, si riferiva a come utilizzo questo nuovo sistema su un pc non mio... devo sempre autenticami in qualche modo, presumo. Grazie cmq

Ansem The Seeker Of Darkness

La soluzione è interessante, ma viene inviata l'impronta digitale o la sua "firma"?

gioboni

Ma U2F non è appena diventato legacy con questo nuovo standard?

Tuone

L'impronta non necessita di smartphone, se il pc ha un suo lettore di impronta non serve lo smartphone

kalabro

Facilmente risolvibile, il capo manda il codice ricevuto via WhatsApp ... Io faccio lo stesso con i codici dispositivi dei bonifici

Enrico Carrara

Bene, comprato proprio ieri una NitroKey con U2F

ghost
LaVeraVerità

Puoi configurare tutti i dispositivi che vuoi

LaVeraVerità

No, basta un token fido da pochi euro.

auleiaauleia

alcune banche, stanno sostituendo i dispositivi OTP, e l'unico metodo di accesso e disposizione è lo smartphone. piccolo problema, se non c'è il Capo, che non sa fare niente, non puoi accedere ai conti e pagare, perché solo uno smartphone ha l'autenticazione.

PUTinV2

Quindi sempre più smartphone dipendenti?
Comunque l'idea alla base è tanta roba

Sterium

cioè funziona un po come lo spid di poste... il browser fa la chiamata al app per autocertificazione?

kalabro

Fatemi capire ; sono sul mio pc con telefono associato e uso impronta del telefono .. Usando altro terminale come funzionerebbe ?

sardanus

Si ma a quando l'applicazione reale sui siti web dell'uso del fingerprint? Paypal per esempio lo fa fare solo ad alcuni utenti, non a tutti

h.266

improntadigitale123

PUTinV2

curiosità mia. Come accedo da due dispositivi diversi?

Antonio Mariani

ottimo. Molti sono in guerra con le proprie password, e queste ultime vincono di solito

Samsung

Recensione Samsung Galaxy Tab S5e: ottimo per svago e produttività

Kia

Kia e-Soul: prova su strada e prezzi in Italia, la nuova sarà solo elettrica | Video

Samsung

Samsung Galaxy Fold: il software convince, la "piega" è da provare!

Oppo

24h con Oppo Reno: pop-up camera e tanto carattere | Video