Alfonso Maruccia

WebAuthn, l'autenticazione senza password arriva sui browser

Il nuovo standard del W3C è quasi pronto e promette di mandare definitivamente in pensione i vecchi metodi di autenticazione basati su password. Biometria e dongle hardware soppianteranno le stringe testuali

Roma - Manca oramai poco per la promozione di Web Authentication (WebAuthn) a standard ufficiale del World Wide Web Consortium (W3C), ma la API pensata per imporre nuovi meccanismi di autenticazione basati sui dispositivi hardware in possesso dell'utente è già in via di implementazione sui principali browser Web disponibili sul mercato.

WebAuthn è un protocollo che descrive un meccanismi di autenticazione a chiave pubblica che non richiedono lo scambio di informazioni tra server e client, un metodo per l'autenticazione a doppio fattore basata su dispositivi hardware che mira alla standardizzazione di una tecnologia già disponibile da tempo ma non particolarmente popolare presso il grande pubblico.

Al posto delle classiche password e credenziali di accesso testuali, WebAuthn permette di utilizzare fotocamere per il riconoscimento dell'iride, lettori di impronte digitali, sistemi di analisi della voce e altri sistemi che hanno fin qui richiesto una programmazione proprietaria e senza il supporto della maggior parte del mercato.
Trattandosi di una API ufficiale del W3C, invece, WebAuthn favorisce l'impiego dei sistemi in commercio e promette, almeno in teoria, un'autentica rivoluzione nel modo in cui gli utenti sono soliti accedere ai loro servizi Web preferiti.

WebAuthn ha ora raggiunto lo stato di "Candidate Recommendation", ultimo passo prima dell'approvazione definitiva dello standard, ed è già disponibile come API nell'ultima versione di Mozilla Firefox. Google (Chrome) e Microsoft (Edge) hanno invece promesso la sua implementazione nel corso dell'anno.

Alfonso Maruccia
10 Commenti alla Notizia WebAuthn, l'autenticazione senza password arriva sui browser
Ordina
  • Tutto ciò che in informatica è stato messo su negli ultimi 10 anni è merda.
    non+autenticato
  • Ovviamente un sistema come questo renderebbe possibile un tracciamento via web senza errori, continuo da tutti, wow o.O (forse si potrà usare un sistema di emulazione con risultati a random ed usare solo l'autenticazione corretta futura solo quando serve, vedremo).
    non+autenticato
  • - Scritto da: Mao99
    > Ovviamente un sistema come questo renderebbe
    > possibile un tracciamento via web senza errori,
    > continuo da tutti, wow o.O (forse si potrà usare
    > un sistema di emulazione con risultati a random
    > ed usare solo l'autenticazione corretta futura
    > solo quando serve,
    > vedremo).

    Ho letto le specifiche e sinceramente non ho intravisto nulla che facesse pensare al rischio di tracciamento.

    Me la spieghi meglio?
    non+autenticato
  • > Ho letto le specifiche e sinceramente non ho
    > intravisto nulla che facesse pensare al rischio
    > di
    > tracciamento.
    >
    > Me la spieghi meglio?

    Praticamente, come spiega bene l'articolo, questo sistema permette di essere autentiacati sia tramite il propio hardware in possesso che tramite i dati biometrici, considerando che sarà utilizzato da tutti i browser..
    Non viene detto in articolo, ma se il browser lo usa chiunque o qualunque sito web lo implementi potrà identificarti in maniera perfetta e controllare ciò che fai, quali siano le tue preferenze ecc.. anche senza FB o altri social, cookies, fingerprint (beh il fingerprint è univoco simile al sistema hardware ma cambiabile a random con plugin), IP (vbb..).
    Se ora il tracciamento è con impegno bloccabile in gran parte, quando si utilizzerà questa nuova metodologia, in futuro sarà molto più difficile in quanto i valori hardware/biometrici sono unici, per quello una eventuale soluzione sarà una programma/app emulatore che cambia tutti i valori a random quando si vorrà solo navigare in pace ecc..
    L'articolo non dice nulla sul tracciamento vero, ma il fatto che venga implementato su tutti i browser, il fatto che sarà un'autenticazione unica e più certa, il fatto che viaggerà online sempre attiva ed uttilizzabile tramite implementazione (dichiarata o meno come contenuto del sito web, server o quel che vuoi) rende la possibilità che sarà utilizzata anche per il tracciamento molto probabile.
    Faccio un esempio, ora per accedere a certi servizi usi la tua carta regionale e pin, ok ma una volta eseguito l'accesso rimani sempre attivo fino a che non chiudi il browser (anche se togli la scheda il tuo ID univoco e' sempre leggibile) ed ogni sito che navighi (che utilizzi questo sistema) ti riconosce in maniera certa.
    Questo e' quello che ho pensato immediatamente appena letto l'articolo in quanto penso che la privacy sia sempre da difendere in quanto diritto, ma questo e' solo il mio modesto parere, se poi mi sbaglio a riguardo, vbb meglio, cmq sempre meglio prevenire e pensarci che curare poi..
    ^_^
    non+autenticato
  • - Scritto da: Mao99
    > Se ora il tracciamento è con impegno bloccabile
    > in gran parte, quando si utilizzerà questa nuova
    > metodologia, in futuro sarà molto più difficile
    > in quanto i valori hardware/biometrici sono
    > unici...

    Insomma...
    come spiegano le specifiche:

    https://www.w3.org/TR/webauthn/#sec-attestation-pr...
    https://fidoalliance.org/specs/fido-uaf-v1.1-id-20...

    viene fuori che è un sistema simile all'autenticazione a mezzo chiavi pubbliche e private, un po' come SSH.

    L'hardware biometrico o altro si preoccuperà di fornire un UID che a sua volta formerà la chiave pubblica, con cui ti autorizzerai verso un certo sito specifico.
    Se la privata viene compromessa viene annullata e rimpiazzata come un'altra, come si fa anche nei tradizionali sistemi a chiave pubblica e privata.

    Spiegano anche chiaramente le prassi usate per evitare che la stessa chiave pubblica venga usata da più siti per tracciare l'utente.


    > per quello una eventuale soluzione sarà
    > una programma/app emulatore che cambia tutti i
    > valori a random quando si vorrà solo navigare in
    > pace

    Neanche serve.
    Quando vorrai navigare in pace scegli di autenticarti via password classica ed evitare il nuovo sistema.
    https://www.w3.org/TR/webauthn/#use-cases


    > Faccio un esempio, ora per accedere a certi
    > servizi usi la tua carta regionale e pin, ok ma
    > una volta eseguito l'accesso rimani sempre attivo
    > fino a che non chiudi il browser (anche se togli
    > la scheda il tuo ID univoco e' sempre leggibile)
    > ed ogni sito che navighi (che utilizzi questo
    > sistema) ti riconosce in maniera
    > certa.

    Quello che resta, dopo il login, è un cookie verso quello specifico sito.
    Ti slogghi / chiudi il browser / elimini i cookie / cambi sito... sono tutte azioni che fanno perdere quel cookie.

    Indipendentemente che tu abbia usato una password, una chiave pubblica, una smartcard o altro tipo di mezzo di autorizzazione.


    > Questo e' quello che ho pensato immediatamente
    > appena letto l'articolo in quanto penso che la
    > privacy sia sempre da difendere in quanto
    > diritto, ma questo e' solo il mio modesto parere,
    > se poi mi sbaglio a riguardo, vbb meglio, cmq
    > sempre meglio prevenire e pensarci che curare
    > poi..
    > ^_^

    Secondo me invece è un bel passo avanti.
    Finalmente c'è uno spiraglio che fa sperare in un buon sistema che soppianti la password, ormai insicura a prescindere per l'utente medio.
    non+autenticato
  • > Insomma...
    > come spiegano le specifiche:
    >
    > https://www.w3.org/TR/webauthn/#sec-attestation-pr
    > https://fidoalliance.org/specs/fido-uaf-v1.1-id-20
    >
    > viene fuori che è un sistema simile
    > all'autenticazione a mezzo chiavi pubbliche e
    > private, un po' come
    > SSH.
    >

    Ma lo hai letto il tuo link?:

    "A WebAuthn authenticator manufacturer may choose to [...]"
    "A WebAuthn authenticator may be capable of [...]"
    " WebAuthn Authenticator can implement [...]"

    Non sono protocolli obbligatori.

    > L'hardware biometrico o altro si preoccuperà di
    > fornire un UID che a sua volta formerà la chiave
    > pubblica, con cui ti autorizzerai verso un certo
    > sito specifico.

    La stragrande maggioranza dell'hardware viene dalla Cina ed è sviluppato secondo linee guida delle corporations americane, nessuno dei due si ha mai mostrato grande preoccupazione per la privacy degli utenti.


    > Neanche serve.
    > Quando vorrai navigare in pace scegli di
    > autenticarti via password classica ed evitare il
    > nuovo sistema.

    Come già scritto in un altro post se questo sistema passa tra pochi anni i siti più usati non ti daranno la possibilità di fare login in altri modi, come è successo con le email gratuite americane, ora nessuno ti permette di creare una casella di posta elettronica senza fornire un numero di cellulare verificabile.


    >
    > Quello che resta, dopo il login, è un cookie
    > verso quello specifico sito.
    > Ti slogghi / chiudi il browser / elimini i cookie
    > / cambi sito... sono tutte azioni che fanno
    > perdere quel cookie.
    >

    In locale. Google nel frattempo ha imparato a salvarsi da remoto una lista di tutti i parametri estraibili che permettono di creare un profilo utente abbastanza preciso.


    >
    > Secondo me invece è un bel passo avanti.
    > Finalmente c'è uno spiraglio che fa sperare in un
    > buon sistema che soppianti la password, ormai
    > insicura a prescindere per l'utente
    > medio.

    Solito terrorismo mediatico.


    P.S.
    Se le informazioni sulle tue impronte digitali finiscono in rete da quel momento in poi bastano una webcam o una macchina fotografica per identificarti:
    http://www.bbc.com/news/uk-wales-43711477
    non+autenticato
  • - Scritto da: 5f56b5167a5
    > > Insomma...
    > > come spiegano le specifiche:
    > >
    > >
    > https://www.w3.org/TR/webauthn/#sec-attestation-pr
    > >
    > https://fidoalliance.org/specs/fido-uaf-v1.1-id-20
    > >
    > > viene fuori che è un sistema simile
    > > all'autenticazione a mezzo chiavi pubbliche e
    > > private, un po' come
    > > SSH.
    > >
    >
    > Ma lo hai letto il tuo link?:
    >
    > "A WebAuthn authenticator manufacturer may choose
    > to
    > [...]"
    > "A WebAuthn authenticator may be capable of [...]"
    > " WebAuthn Authenticator can implement [...]"
    >
    > Non sono protocolli obbligatori.

    Anche lo fossero non potresti sapere se il browser fa bene i compitini.
    Come non potresti sapere se attualmente fa da keylogger per le password che digiti ogni giorno.

    In qualsiasi caso puoi sempre sceglierne uno open dove puoi spulciare nel codice e comprendere se si comporta bene.

    Quindi tanto quanto.



    > > L'hardware biometrico o altro si preoccuperà
    > di
    > > fornire un UID che a sua volta formerà la
    > chiave
    > > pubblica, con cui ti autorizzerai verso un
    > certo
    > > sito specifico.
    >
    > La stragrande maggioranza dell'hardware viene
    > dalla Cina ed è sviluppato secondo linee guida
    > delle corporations americane, nessuno dei due si
    > ha mai mostrato grande preoccupazione per la
    > privacy degli
    > utenti.

    L'hardware deve semplicemente fornire un hash, un fingerprint, uno stream di byte che identifichi univocamente un qualcosa di mio.
    Per "qualcosa di mio" non intendo necessariamente un elemento del mio corpo, può benissimo essere un oggetto che possiedo.

    Quindi tanto quanto.


    > > Neanche serve.
    > > Quando vorrai navigare in pace scegli di
    > > autenticarti via password classica ed
    > evitare
    > il
    > > nuovo sistema.
    >
    > Come già scritto in un altro post se questo
    > sistema passa tra pochi anni i siti più usati non
    > ti daranno la possibilità di fare login in altri
    > modi,

    Ma lo hai letto lo standard?
    Il sito non sceglie una fava, lo strato software di webauthn opacizza quello step.

    "User verification MAY be instigated through various authorization gesture modalities; for example, through a touch plus pin code, password entry, or biometric recognition (e.g., presenting a fingerprint) [ISOBiometricVocabulary]."

    Da parte del sito al massimo indicheranno che pretendono webauthn, poi se quest'ultimo viene usato come password entry il sito non lo sa di certo.
    Fine della questione.


    > come è successo con le email gratuite
    > americane, ora nessuno ti permette di creare una
    > casella di posta elettronica senza fornire un
    > numero di cellulare
    > verificabile.

    Dove il servizio è gratis il prodotto sei tu. Sbaglio?

    E comunque scusami ma non c'entra una fava con ciò di cui si stava parlando.
    Webauthn ritorna al sito un UID, che per ovvie ragioni tecniche mi sembra di capire che sarà diverso per ogni hw/sw che usi.

    In poche parole è come se ti dicessi che invece di digitare una password, ti fornisco una chiave fisica più sicura ogni volta che ti registri ad un sito (che non è un passepartout, attenzione).


    > > Quello che resta, dopo il login, è un cookie
    > > verso quello specifico sito.
    > > Ti slogghi / chiudi il browser / elimini i
    > cookie
    > > / cambi sito... sono tutte azioni che fanno
    > > perdere quel cookie.
    > >
    >
    > In locale. Google nel frattempo ha imparato a
    > salvarsi da remoto una lista di tutti i parametri
    > estraibili che permettono di creare un profilo
    > utente abbastanza preciso.

    Anche qui, stai parlando di un qualcosa che con il webauthn non c'entra niente.
    Il fingerprint del browser viene condotto a prescindere da come ti sei o non ti sei loggato.


    > > Secondo me invece è un bel passo avanti.
    > > Finalmente c'è uno spiraglio che fa sperare
    > in
    > un
    > > buon sistema che soppianti la password, ormai
    > > insicura a prescindere per l'utente
    > > medio.
    >
    > Solito terrorismo mediatico.
    >
    >
    > P.S.
    > Se le informazioni sulle tue impronte digitali
    > finiscono in rete da quel momento in poi bastano
    > una webcam o una macchina fotografica per
    > identificarti:
    >
    > http://www.bbc.com/news/uk-wales-43711477


    PS: la biometria obbligatoria su webauthn ce la stai mettendo tu.
    Chi fa terrorismo mediatico?
    non+autenticato
  • Ora c'è il meccanismo per controllare da remoto l'identita di chi si connette online. Scommetto che la maggior parte dei networks più utilizzati nel tempo lo renderanno obbligatorio.
    non+autenticato
  • è un complotto, la stagnola migliore la trovi da me naturalmente faccio sconti anche per modesti quantitativi
    non+autenticato
  • coglionazzo!!
    non+autenticato