WebAuthn, un nuovo standard di autenticazione per superare il sistema delle password nel web

La Fido Alliance e il W3C hanno introdotto un nuovo standard per l'autenticazione nel web: molto intuitivamente, è stato rinominato "Web Authentication (o WebAuthn)" e, nel lungo periodo, dovrebbe soppiantare definitivamente l'uso delle password. Evidentemente il tema delle autenticazioni sicure è un tema assai caldo: qualche tempo fa parlammo dello standard WPA3, approntato da Wi-Fi Alliance, che introduceva, tra altre cose, la criptazione delle connessioni tra ogni dispositivo connesso e il router o punto di accesso (leggi qui l'articolo completo).

Google, Microsoft e Mozilla, i tre più importanti produttori di browser la mondo, hanno appoggiato ufficialmente la nuova API W3C (WebAuthn appunto), pubblicizzandola proprio come  alternativa affidabile all'autenticazione online senza password. 

WebAuthn

La nuova Api consente agli utenti di eseguire il login nel siti web e nelle web app usando altri metodi di autenticazione oltre alle password: chiavi di sicurezza hardware, impronte digitali, riconoscimento facciale, scansione dell'iride e altre soluzioni biometriche. Google, Microsoft e Mozilla hanno già dichiarato che intendono non solo supportare la nuova API WebAuthn, ma implementarla all'interno, rispettivamente, di Chrome, Edge e Firefox: il supporto è già stato annunciato per Chrome 67 e Firefox 60.

Il lavoro su questa nuova API è iniziato nel Novembre del 2015, quando FIDO (Fast IDentity Online) Alliance ha donato la Web API FIDO 2.0 a W3C. Le versioni più recenti di FIDO 2.0 sono ciò che consente attualmente agli utenti di accedere a Google, Facebook, Dropbox, GithHub e altri utilizzando token segreti memorizzati su chiavette USB (chiavi di sicurezza hardware). L' API WebAuthn funzionerà in modo simile, solo che supporterà una moltitudine di sistemi di autenticazione oltre alle chiavi di sicurezza memorizzate tramite USB.

Il protocollo CTAP

Oltre a WebAuthn, la FIDO Alliance ha anche annunciato ieri il protocollo Client to Authenticator (CTAP). CTAP è un complemento dell'API WebAuthn e il suo scopo principale è quello di connettere il browser al sistema di autenticazione di terze parti (la chiave di sicurezza USB o il sensore di impronte digitali di un laptop o smartphone ecc...), per ricevere appunto la prova di autenticazione. Entrambe le API dovranno collaborare affinché questo nuovo schema di autenticazione sicura possa funzionare (vedi anche qui ). 

WebAuthn è più sicura per gli utenti, è più sicura per gli operatori

Secondo gli esperti di W3C e di FIDO, chi ci guadagnerà di più sono gli utenti stessi, che, con questa modalità di autenticazione, saranno impenetrabili agli attacchi di phishing, a quelli di tipo man-in-the-middle e a tutti quelli che mirano a rubare le credenziali. Dal punto di vista degli utenti, l'unica differenza sarà che invece di inserire username e password, si dovrà appoggiare il dito su un lettore o farsi inquadrare dalla webcam o usare altri metodi di autenticazione password-free. 

I proprietari di siti web, invece di dover gestire procedure complesse di autenticazione e archiviare le password utente su server sicuri, dovranno limitarsi a rinviare la procedura di autenticazione a un'API incorporata nel browser e hardware/sistema di terze parti.