Chrome, Firefox ed Edge supporteranno lo standard Web Authn. Arriva l’autenticazione senza password

Chrome, Firefox ed Edge supporteranno lo standard Web Authn. Arriva l’autenticazione senza password

Il supporto al nuovo standard Web Authn sarà possibile effettuare il login senza alcuna password ma con il "security key USB" ossia il lettore di impronte e con fotocamere. Addio alle password. Ecco come funzionerà.

di pubblicata il , alle 15:01 nel canale Web
MicrosoftGoogleMozillaFirefoxChromeApple
 

La sicurezza sul Web è da sempre, e soprattutto negli ultimi anni, uno dei principali fattori di studio da parte delle aziende software come anche una delle maggiori preoccupazioni degli utenti che quotidianamente navigano sulle pagine dei siti. In questo caso le vecchie password sembrano essere le uniche valide alternative a mantenere ancora al sicuro i dati sensibili degli utenti. Ebbene anche le password potrebbero essere pronte ad andare in pensione con l'arrivo dell'annunciato Web Authn ossia Web Authentication che semplificherà il processo di autenticazione permettendo una maggiore sicurezza sul web e facendo dimenticare anche le tanto amate (o odiate) password.

Che cosa è nello specifico Web Authn?

Il nuovo sistema di protocollo per l'autenticazione è stato introdotto dalla Fido Alliance e dal World Wide Web Consortium (W3C) e si tratta di un vero e proprio sistema capace di creare credenziali crittografate univoche per ogni sito consentendo di accedere anche ad ogni servizio online da browser tramite i vari sistemi di autenticazione di Fido2 quali impronte digitali, riconoscimento del volto ma anche dongle USB o altro.

Chiaramente Web Authn definisce nuove API che potranno essere sfruttate ed integrate nei browser e nei servizi web permettendo, come detto, il login tramite le diverse soluzioni presenti già sul mercato e chiaramente alternative alle classiche password. Chiaramente cambieranno i modi da parte dell'utente di farsi riconoscere per il login da un determinato sito web. Ecco che anziché inserire il classico "nome utente" e la "password" con il nuovo sistema di autenticazione basterà poggiare il dito sul lettore di impronte digitali dello smartphone o di un lettore mobile, farsi magari inquadrare da una webcam predisposta a tale sistema o anche altri metodi di autenticazione "password-free".

In tal caso il protocollo Fido2 non usa più password ma due chiavi separate ma in qualche modo dipendenti tra di loro e che risultano essere una privata ed una pubblica. La seconda chiaramente potrà essere data a chiunque, magari in un determinato luogo pubblico o all'interno di un'azienda. Questa però non permetterà l'accesso se non con la chiave privata. La prima chiave privata però risulterà essere temporanea e conservata appunto in un oggetto denominato token che appunto potrà essere la classica chiavetta che molti istituti di credito già danno ai clienti o anche quelli di nuova generazione proprio come sensori biometrici o altro.

Firefox, Chrome ed Edge pronti per utilizzarlo

Ecco che Fido2 è già pronto per essere sfruttato a dovere sui più famosi browser web presenti sulla scena mondiale. Google Chrome come anche Firefox di Mozilla ed Edge di Microsoft hanno già attivamente promesso di aggiungere il supporto al nuovo Web Authn in breve tempo. Anzi in qualche modo Firefox di Mozilla risulta già compatibile con lo standard tanto che i servizi legati al browser dell'azienda potranno già sfruttare i vantaggi del nuovo sistema.

Per chi si chiedesse invece cosa succederà nei dispositivi Apple come iPhone, iPad o Mac la risposta è ancora insoluta. L'azienda di Cupertino fa sì parte del consorzio W3C ma al momento non ha ancora reso compatibili le API di Safari con il nuovo Web Authn e dunque non è ancora possibile utilizzarlo in quel sistema.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Zurlo11 Aprile 2018, 15:59 #1
Dita, occhi, mani, cu!o - non deposito una copia di niente. Passi per i token rimuovibili, ma niente di corporale, pls.
Sandro kensan11 Aprile 2018, 16:07 #2
Originariamente inviato da: Zurlo
Dita, occhi, mani, cu!o - non deposito una copia di niente. Passi per i token rimuovibili, ma niente di corporale, pls.


Concordo, per me solo token fisici.
Pino9011 Aprile 2018, 20:12 #3
Finché il token rimane in locale come per l'autenticazione da tel ci può stare... personalmente nemmeno io mi fido a divulgare urbi et orbi le mie impronte... le pwd si cambiano, il corpo no.
Zenida11 Aprile 2018, 22:21 #4
Idem, sul web non userei mai l'autenticazione biometrica.

Tanto il token può essere persino lo smartphone via NFC o un'app specifica.

Con queste nuove API, poi, non stanno facendo nulla di nuovo che già non esista. La novità ci sarebbe solo se la adottassero tutti come standard, ma è sempre un caos per questo genere di cose, ognuno crede che i propri protocolli siano migliori degli altri.


Alla fine, come citato dall'articolo stesso, già oggi alcuni siti web ti permettono l'accesso tramite smartcard, token usb, token software generati su smartphone, ecc.

Se proprio vogliono sfruttare la validazione biometrica, allora possono implementare un sistema di autorizzazione locale che genera un token virtuale.
Insomma, con la mia faccia o le mie impronte, permetto al mio cellulare/PC di generare un token valido e sarà poi quest'ultimo ad effettuare realmente l'accesso. Quindi una 2 step authentication, dove il primo step (quello biometrico) non è condiviso con nessuno, ma serve solo per un accesso locale che autorizza poi un secondo accesso automatico via token
Pino9012 Aprile 2018, 11:11 #5
Originariamente inviato da: Zenida
Idem, sul web non userei mai l'autenticazione biometrica.

Cut

Se proprio vogliono sfruttare la validazione biometrica, allora possono implementare un sistema di autorizzazione locale che genera un token virtuale.
Insomma, con la mia faccia o le mie impronte, permetto al mio cellulare/PC di generare un token valido e sarà poi quest'ultimo ad effettuare realmente l'accesso. Quindi una 2 step authentication, dove il primo step (quello biometrico) non è condiviso con nessuno, ma serve solo per un accesso locale che autorizza poi un secondo accesso automatico via token


Esatto, la mia banca fa così e mi sembra molto più ragionevole...
jepessen13 Aprile 2018, 09:36 #6
Ma mica si mandano in giro foto di culi e impronte digitali...

E' la stessa cosa di una chiave ssh. Si manda in giro solamente la chiave pubblica, mentre quella privata viene generata dal sensore biometrico che la memorizza, e poi per poterla sbloccare si usa l'impronta al posto della password... Le impronte non vanno proprio da nessuna parte...
Zenida13 Aprile 2018, 22:39 #7
@jepessen

La stessa cosa dovrebbe avvenire anche con le password tradizionali, ma mica tutti i servizi adottano questo approccio, la maggior parte memorizza direttamente l'informazione in maniera criptata, ma spesso addirittura in chiaro sui server.

Prima di usare la mia impronta voglio la garanzia assoluta che questa non venga usata come chiave univoca, perchè basta una sola volta che finisca online per essere virtualmente fregati in qualsiasi momento

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^