Il World Wide Web Consortium e Fido Alliance annunciano WebAuthn: cosa significa?
Di solito, quando si crea un nuovo account online non vengono presentate molte opzioni. Ovviamente devi creare una password, e per la maggior parte delle persone, questo significa scendere su uno dei due percorsi: una password semplice, facile da ricordare e / o riutilizzata che mette a rischio i loro account; o una password lunga e difficile da indovinare, che è una seccatura da scrivere e un dolore da ricordare. Va da sé che entrambe le opzioni non sono esattamente l'ideale. Quindi, c'è qualcosa che può eventualmente cambiare il modo in cui le cose sono al momento? Bene, c'è, e potrebbe effettivamente andare da qualche parte.
Table of Contents
WebAuthn: l'alternativa senza password
WebAuthn, abbreviazione di Web Authentication, è uno standard non proprietario che facilita la comunicazione tra siti Web e un dispositivo di sicurezza. Due consorzi online, il World Wide Web Consortium (WC3) e FIDO Alliance, ci hanno lavorato negli ultimi anni, ma il concetto può risalire all'API UAF (Universal Authentication Factor) di FIDO Alliance dal 2014.
L'obiettivo di WebAuthn e UAF è fornire un modo nuovo e sicuro di accedere agli account online senza la necessità di ricordare o inserire password. Per una serie di ragioni complicate, UAF non è riuscito a fare colpo sulla nostra vita quotidiana, ma sembrerebbe che WebAuthn potrebbe essere solo diverso.
Lunedì, WC3 e FIDO hanno annunciato che WebAuthn è ora uno standard web ufficiale. In parole povere, ciò significa che gli esperti sono abbastanza fiduciosi da iniziare a consigliare agli sviluppatori Web e di app di implementarlo nei loro prodotti. Per capire come tutto ciò influirà su tutti noi, dobbiamo dare un'occhiata a come funziona WebAuthn.
Come funziona WebAuthn?
Dal punto di vista dell'utente, le cose sono piuttosto semplici. L'idea è, invece di inserire un nome utente e una password, utilizzare i meccanismi di autenticazione biometrici sul computer o sullo smartphone oppure utilizzare un token hardware che può essere portato su un portachiavi e funziona con USB, NFC, Bluetooth o un protocollo di comunicazione simile. Non ci sono credenziali di accesso, il che sembra un concetto accattivante. Ma per quanto riguarda l'aspetto della sicurezza?
Mentre il processo è semplice, dietro le quinte, un accesso WebAuthn è un'operazione abbastanza complessa. È tutto basato sulla crittografia a chiave pubblica (nota anche come asimmetrica), il che significa che sono coinvolte due chiavi: una pubblica e una privata. Ognuno dei tuoi account riceve una coppia di chiavi crittografiche che il tuo computer o token hardware genera al momento della registrazione. La chiave pubblica viene inviata al fornitore di servizi e quella privata viene memorizzata sul dispositivo. Quando si tenta di accedere, il fornitore di servizi invia una sfida che il dispositivo firma e crittografa con la chiave privata. L'unico modo per decifrare la sfida e vedere la firma è con la tua chiave pubblica che è come il fornitore di servizi sa che sei chi dici di essere.
Ci sono molti vantaggi in termini di sicurezza in questo schema. Innanzitutto, l'accesso richiede due chiavi memorizzate in due posizioni diverse. Anche se i truffatori riescono in qualche modo a rubare o intercettare la tua chiave pubblica, non avranno modo di accedere senza quello privato che, come ricorderete, non lascia mai il tuo dispositivo.
Cosa c'è di più, a differenza delle password, chiavi di crittografia non può essere indovinato farcite , riutilizzati o phishing . In altre parole, la maggior parte degli attacchi che tradizionalmente funzionano sulle password non sono efficaci contro uno schema WebAuthn.
Il nuovo standard web è notevole perché è uno dei pochi esempi di innovazione tecnologica che non solo migliora l'usabilità, ma si traduce anche in una migliore sicurezza.
Quindi la password è morta, giusto?
Sebbene sia certamente qualcosa da guardare al futuro, riteniamo che la fine della password sia ancora molto lontana. Ci sono pochi dubbi nella mente di qualcuno che la tecnologia alla base di WebAuthn sia solida, ma ci sono ancora alcuni ostacoli da superare.
Per uno, WebAuthn è uno standard web e, per quanto sembri sciocco, la parola "standard" nel suo senso classico è un po 'un tabù nel mondo online. Prendi le password, per esempio. Li abbiamo utilizzati come meccanismo di accesso principale per un po 'di tempo, ma anche adesso, decenni dopo la loro prima apparizione, non possiamo ancora essere d'accordo su cosa sia e cosa non sia una password sicura . Allo stesso modo, nonostante gli ovvi vantaggi, i fornitori non sembrano essere sulla stessa pagina per quanto riguarda la velocità con cui WebAuthn dovrebbe essere implementato.
Chrome di Google è stato il primo browser a supportare WebAuthn, ma non è stato fino a pochi mesi dopo che Firefox, un altro grande nome nel settore, lo ha implementato. Microsoft si è presa un bel momento per incorporare WebAuthn in Edge e Apple sta ancora sperimentando il supporto per Safari. La situazione non è molto diversa nel panorama mobile. La scorsa settimana, FIDO ha annunciato che molto presto tutti i telefoni e tablet con Android 7.0 o versioni successive saranno certificati FIDO. WebAuthn è al centro del protocollo FIDO2, il che significa che questi dispositivi supporteranno efficacemente l'accesso senza password. Sfortunatamente, non abbiamo ancora visto alcuna informazione su quando lo standard verrà incorporato nell'iOS di Apple. E anche se tutti i fornitori adottano WebAuthn per i loro dispositivi più recenti, non puoi ignorare le montagne di sistemi legacy che rimarranno indietro.
Naturalmente, dopo che i fornitori di hardware lo avranno adottato, tutti gli sviluppatori di siti Web e applicazioni dovranno implementarlo come meccanismo di accesso. In altre parole, è improbabile che WebAuthn sostituisca completamente la password in qualsiasi momento presto. E fino a quando non lo fa, devi assicurarti che i tuoi account siano il più protetti possibile.
L'uso di un'applicazione per la gestione delle password come Cyclonis Password Manager è il modo migliore per farlo. Con esso, puoi creare password lunghe e complesse senza preoccuparti di ricordarle. Al giorno d'oggi, fare affidamento sul cervello per farlo non è semplicemente una buona idea, e la cosa migliore di lasciare che Cyclonis Password Manager faccia tutto il lavoro per te è che le funzioni di compilazione automatica e di accesso automatico dell'estensione del browser offriranno ulteriore comodità .
