Il W3C (World Wide Web Consortium) ha dichiarato che WebAuthn (Web Authentication API) è ora ufficialmente uno standard Web. Annunciato a fine 2015 dal Consorzio stesso e dalla FIDO Alliance, è pensato per effettuare l’autenticazione ai servizi online senza per forza di cose doversi affidare alla password tradizionale, sfruttando l’analisi di parametri biometrici (impronte digitali, scansione dell’iride, riconoscimento facciale), l’interazione con dispositivi mobile oppure con appositi device fisici.
WebAuthn, login senza password
Al momento la compatibilità è garantita dai sistemi operativi Android e Windows 10 oltre che dai browser Edge, Firefox e Chrome (per Safari solo nelle versioni preview). Per quanto riguarda invece siti, servizi e piattaforme, ad aver già adottato WebAuthn sono Dropbox, Facebook, GitHub, Salesforce, Stripe e Twitter. Il W3C è al lavoro per farlo sul proprio portale. Tra le realtà che già hanno scelto di offrire il supporto a WebAuthn, vestendo i panni di contributori, ci sono invece Airbnb, Alibaba, Apple, Google, IBM, Intel, Microsoft, Mozilla, PayPal, SoftBand, Tencent e Yubico, quest’ultima impegnata nella realizzazione e nella commercializzazione di dispositivi fisici (chiavi) per gestire le operazioni di login.
WebAuthn sfrutta una chiave pubblica di crittografia asimmetrica con sistemi di protezioni contro il phishing. Queste le parole di Jeffrey Jaffe, CEO del World Wide Web Consortium.
È tempo, per servizi Web e business, di adottare WebAuthn e lasciarsi alle spalle le password vulnerabili, aiutando così gli utenti a migliorare la sicurezza delle loro esperienze online. Le raccomandazioni del W3C stabiliscono linee guida per l’interoperabilità, in modo da soddisfare le aspettative degli utenti che visitano i siti.
W3C, FIDO Alliance e FIDO2
Le raccomandazioni del W3C a proposito di WebAuthn costituiscono un tassello fondamentale per le specifiche FIDO2 della FIDO Alliance, uno standard per il supporto all’utilizzo di chiavi crittografiche pubbliche (Universal Authentication Framework UAF) e ai metodi di autenticazione multifattore (Universal Second Factor o UAF). Il loro impiego permette all’utente di sfruttare credenziali uniche per ogni servizio online poiché i parametri biometrici o i codici segreti non vengono mai inviati a un server remoto né lasciano il dispositivo del client, rendendo così l’intero sistema invulnerabile agli attacchi di phishing.
La password tradizionale è dunque destinata al pensionamento. Ha già da qualche tempo iniziato a mostrare tutte le sue criticità: basti pensare all’ostinazione degli utenti nello scegliere codici troppo semplici da indovinare o poco efficaci, così come al brutto vizio di usare la stessa per più piattaforme, riducendo in questo modo la loro efficacia ed esponendo informazioni e dati personali all’attività dei malintenzionati. I tanti leak di cui si è parlato nell’ultimo periodo ne sono la testimonianza. In chiusura il commento di Brett McDowell, direttore esecutivo della FIDO Alliance.
La componente Web Authentication di FIDO 2 è ora ufficialmente uno standard Web del W3C, un risultato importante che racchiude parecchi anni di collaborazione finalizzata allo sviluppo di una soluzione pratica per l’autenticazione ai servizi online senza rischi in termini di phishing.