Chrome, Firefox ed Edge supporteranno lo standard Web Authn. Arriva l’autenticazione senza password

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/web/ch...ord_75300.html

Il supporto al nuovo standard Web Authn sarà possibile effettuare il login senza alcuna password ma con il "security key USB" ossia il lettore di impronte e con fotocamere. Addio alle password. Ecco come funzionerà.

Click sul link per visualizzare la notizia.

[Zurlo]

Dita, occhi, mani, cu!o - non deposito una copia di niente. Passi per i token rimuovibili, ma niente di corporale, pls.

[Sandro kensan]

Quote:

Originariamente inviato da Zurlo

Dita, occhi, mani, cu!o - non deposito una copia di niente. Passi per i token rimuovibili, ma niente di corporale, pls.

Concordo, per me solo token fisici.

[Pino90]

Finché il token rimane in locale come per l'autenticazione da tel ci può stare... personalmente nemmeno io mi fido a divulgare urbi et orbi le mie impronte... le pwd si cambiano, il corpo no.

[Zenida]

Idem, sul web non userei mai l'autenticazione biometrica.

Tanto il token può essere persino lo smartphone via NFC o un'app specifica.

Con queste nuove API, poi, non stanno facendo nulla di nuovo che già non esista. La novità ci sarebbe solo se la adottassero tutti come standard, ma è sempre un caos per questo genere di cose, ognuno crede che i propri protocolli siano migliori degli altri.


Alla fine, come citato dall'articolo stesso, già oggi alcuni siti web ti permettono l'accesso tramite smartcard, token usb, token software generati su smartphone, ecc.

Se proprio vogliono sfruttare la validazione biometrica, allora possono implementare un sistema di autorizzazione locale che genera un token virtuale.
Insomma, con la mia faccia o le mie impronte, permetto al mio cellulare/PC di generare un token valido e sarà poi quest'ultimo ad effettuare realmente l'accesso. Quindi una 2 step authentication, dove il primo step (quello biometrico) non è condiviso con nessuno, ma serve solo per un accesso locale che autorizza poi un secondo accesso automatico via token

[Pino90]

Quote:

Originariamente inviato da Zenida

Idem, sul web non userei mai l'autenticazione biometrica.

Cut

Se proprio vogliono sfruttare la validazione biometrica, allora possono implementare un sistema di autorizzazione locale che genera un token virtuale.
Insomma, con la mia faccia o le mie impronte, permetto al mio cellulare/PC di generare un token valido e sarà poi quest'ultimo ad effettuare realmente l'accesso. Quindi una 2 step authentication, dove il primo step (quello biometrico) non è condiviso con nessuno, ma serve solo per un accesso locale che autorizza poi un secondo accesso automatico via token

Esatto, la mia banca fa così e mi sembra molto più ragionevole...

[jepessen]

Ma mica si mandano in giro foto di culi e impronte digitali...

E' la stessa cosa di una chiave ssh. Si manda in giro solamente la chiave pubblica, mentre quella privata viene generata dal sensore biometrico che la memorizza, e poi per poterla sbloccare si usa l'impronta al posto della password... Le impronte non vanno proprio da nessuna parte...

[Zenida]

@jepessen

La stessa cosa dovrebbe avvenire anche con le password tradizionali, ma mica tutti i servizi adottano questo approccio, la maggior parte memorizza direttamente l'informazione in maniera criptata, ma spesso addirittura in chiaro sui server.

Prima di usare la mia impronta voglio la garanzia assoluta che questa non venga usata come chiave univoca, perchè basta una sola volta che finisca online per essere virtualmente fregati in qualsiasi momento