Il World Wide Web Consortium (W3C) e la Fido Alliance annunciano che la specifica Web Authentication (WebAuthn) è ora uno standard web ufficiale.
Il W3C, World Wide Web Consortium definisce gli standard tecnici e le linee guida per il web. In modo che rimanga un ambiente aperto, accessibile e interoperabile. W3C ha sviluppato le specifiche dei ben noti standard su cui si basa il web, tra cui HTML5 e CSS.
La Fido (Fast IDentity Online) Alliance è stata costituita nel luglio 2012 per risolvere la mancanza di interoperabilità tra le tecnologie di autenticazione. Lavora per cambiare l’autenticazione ai servizi online con standard allo stesso tempo più semplici e più forti. Che riducano la necessità di affidarsi alle password.
L’annuncio rappresenta un importante passo in avanti proprio in questa direzione. Nella strada verso un web più usabile e più sicuro.
Le specifiche WebAuthn del W3C
La Recommendation WebAuthn del W3C è un componente core del set di specifiche Fido2 di Fido Alliance. Nel senso che Fido2 è formato dalla specifica WebAuthn del W3C e dal corrispondente Client-to-Authenticator Protocol (CTAP) di Fido Alliance.
WebAuthn non è altro che uno standard per browser e di piattaforma per un’autenticazione più semplice e più robusta. Lo standard è già ora supportato in Windows 10, Android e Google Chrome. Così come in Mozilla Firefox, Microsoft Edge e Apple Safari (quest’ultimo nella versione Preview).
WebAuthn consente agli utenti di accedere ai loro account Internet utilizzando il proprio dispositivo preferito. Le app e i servizi web, spiega il W3C possono, e anzi dovrebbero, attivare questa funzionalità. Per offrire ai propri utenti la possibilità di accedere più facilmente e con una sicurezza molto maggiore rispetto alle sole password.
Ma quali sono questi metodi di autenticazione senza password che vengono abilitati? L’autenticazione può avvenire tramite dati biometrici, dispositivi mobili o security key Fido.
Si tratta dunque di una piattaforma d’interoperabilità che consente ad aziende e fornitori di servizi di superare la “dipendenza” del web dalle password. Uno standard che consente sia di introdurre maggiore sicurezza sul web, sia di migliorare e semplificare la user experience.
Una soluzione sicura e user-friendly
Ormai le password hanno perso la loro efficacia, sottolinea il W3C. Non solo le password rubate, deboli o predefinite sono causa dell’81% delle violazioni dei dati (maggiori informazioni qui). Esse sono anche una perdita di tempo e risorse.
W3C cita un recente studio di Yubico secondo cui gli utenti passano 10,9 ore all’anno inserendo o reimpostando le password. Il che costa alle aziende una media di 5,2 milioni di dollari l’anno.
Le tradizionali soluzioni multi-factor authentication (MFA), come i codici one-time Sms, aggiungono un ulteriore livello di sicurezza. Esse rimangono comunque vulnerabili agli attacchi di phishing, non sono semplici da usare e soffrono di bassi tassi di opt-in.
Con Fido2 e WebAuthn la comunità tecnologica globale si è unita per fornire una soluzione condivisa al problema delle password.
Perché Fido2 è meglio dell’autenticazione tradizionale
Per quanto riguarda la sicurezza, le credenziali di login cifrate Fido2 sono uniche per ogni sito web. I dati biometrici o di altro tipo non lasciano mai il dispositivo dell’utente e non vengono mai memorizzate su un server. Questo modello di sicurezza elimina i rischi di phishing, tutte le forme di furto di password e gli attacchi replay.
Inoltre, gli utenti hanno a disposizione dei metodi comodi di accesso. Come ad esempio lettori di impronte digitali, fotocamere, security key Fido o il proprio dispositivo mobile personale.
Viene tutelata meglio la privacy. Ciò, perché le chiavi Fido sono uniche per ogni sito Internet. Quindi non possono essere utilizzate per tracciare gli utenti attraverso i siti.
C’è infine il fattore della scalabilità. I siti web possono abilitare Fido2 tramite una semplice chiamata API. E ciò, su tutti i browser e le piattaforme supportati, disponibili su miliardi di dispositivi che gli utenti sono abituati a utilizzare quotidianamente.
Come iniziare a utilizzare Fido2 e WebAuthn
Per fornitori di servizi e vendor, Fido Alliance mette a disposizione strumenti di test e un programma di certificazione. Attualmente sono disponibili numerose soluzioni Fido2 Certified, a partire da questo link. A quest’altro link sono disponibili risorse per gli sviluppatori.
Maggiori informazioni su Fido2 sono disponibili sul sito web della Fido Alliance, a questo link.
La W3C Recommendation dello standard Web Authentication (WebAuthn) è pubblicata a questo link del sito W3C.
Maggiori informazioni sul World Wide Web Consortium e sugli standard del web sono disponibili sul sito del consorzio, a questo link.
