La Fido Alliance e il W3C hanno introdotto un nuovo standard per l'autenticazione nel web: molto intuitivamente, è stato rinominato "Web Authentication (o WebAuthn)" e, nel lungo periodo, dovrebbe soppiantare definitivamente l'uso delle password. Evidentemente il tema delle autenticazioni sicure è un tema assai caldo: qualche tempo fa parlammo dello standard WPA3, approntato da Wi-Fi Alliance, che introduceva, tra altre cose, la criptazione delle connessioni tra ogni dispositivo connesso e il router o punto di accesso (leggi qui l'articolo completo).
Google, Microsoft e Mozilla, i tre più importanti produttori di browser la mondo, hanno appoggiato ufficialmente la nuova API W3C (WebAuthn appunto), pubblicizzandola proprio come alternativa affidabile all'autenticazione online senza password.
WebAuthn
Il lavoro su questa nuova API è iniziato nel Novembre del 2015, quando FIDO (Fast IDentity Online) Alliance ha donato la Web API FIDO 2.0 a W3C. Le versioni più recenti di FIDO 2.0 sono ciò che consente attualmente agli utenti di accedere a Google, Facebook, Dropbox, GithHub e altri utilizzando token segreti memorizzati su chiavette USB (chiavi di sicurezza hardware). L' API WebAuthn funzionerà in modo simile, solo che supporterà una moltitudine di sistemi di autenticazione oltre alle chiavi di sicurezza memorizzate tramite USB.
Il protocollo CTAP
Oltre a WebAuthn, la FIDO Alliance ha anche annunciato ieri il protocollo Client to Authenticator (CTAP). CTAP è un complemento dell'API WebAuthn e il suo scopo principale è quello di connettere il browser al sistema di autenticazione di terze parti (la chiave di sicurezza USB o il sensore di impronte digitali di un laptop o smartphone ecc...), per ricevere appunto la prova di autenticazione. Entrambe le API dovranno collaborare affinché questo nuovo schema di autenticazione sicura possa funzionare (vedi anche qui ).
WebAuthn è più sicura per gli utenti, è più sicura per gli operatori
Secondo gli esperti di W3C e di FIDO, chi ci guadagnerà di più sono gli utenti stessi, che, con questa modalità di autenticazione, saranno impenetrabili agli attacchi di phishing, a quelli di tipo man-in-the-middle e a tutti quelli che mirano a rubare le credenziali. Dal punto di vista degli utenti, l'unica differenza sarà che invece di inserire username e password, si dovrà appoggiare il dito su un lettore o farsi inquadrare dalla webcam o usare altri metodi di autenticazione password-free.
I proprietari di siti web, invece di dover gestire procedure complesse di autenticazione e archiviare le password utente su server sicuri, dovranno limitarsi a rinviare la procedura di autenticazione a un'API incorporata nel browser e hardware/sistema di terze parti.
Nessun commento:
Posta un commento