W3C approva WebAuthn come standard ufficiale: la password è morta sul web?

W3C approva WebAuthn come standard ufficiale: la password è morta sul web?

Con WebAuthn che è diventato uno standard ufficiale la password potrebbe avere le ore contate. Certo, ne passerà di tempo per veder scomparire le password come sistema di autenticazione, tuttavia l'annuncio rappresenta un primo passo verso questa direzione

di pubblicata il , alle 17:01 nel canale Web
 

Le generazioni che non sono cresciute a pane e internet faticano, spesso, ad entrare in confidenza con concetti come "credenziali di accesso" o "password", e a maggior ragione non comprendono l'importanza di utilizzare metodi inattaccabili per la sicurezza online. La password, del resto, è un metodo fallibile, oltre che un po' frustrante, per ottenere l'accesso ad un servizio, ma presto il web potrebbe del tutto cambiare faccia grazie all'approvazione dello standard WebAuthn da parte del World Web Consortium (W3C).

Annunciata lo scorso anno, WebAuthn (Web Authentication) è una tecnologia già supportata da diversi browser come Chrome, Firefox, Edge e Safari. I servizi web possono già utilizzarla, ma l'annuncio da parte del W3C come standard web ufficiale avrà un impatto fondamentale per quanto riguarda l'adozione individuale sui siti web. Fondamentalmente WebAuthn è una API che consente ai vari servizi di comunicare con un dispositivo hardware di sicurezza che permette a sua volta di effettuare il log-in.

Il dispositivo può essere una chiave di sicurezza FIDO personale, ovvero una periferica USB unica da inserire sul dispositivo per ottenere l'accesso ai servizi compatibili, oppure anche un sistema biometrico più avanzato che include un layer di sicurezza aggiuntivo. La parte importante da sapere è che WebAuthn è un metodo più sicuro (e anche semplice) da utilizzare rispetto alle password tradizionali, soprattutto se si considera che una buona parte degli utenti continua ad utilizzare credenziali "deboli" e facili da espugnare.

Ora che lo standard è stato approvato dal W3C, il passo successivo per la sua diffusione è l'integrazione sui siti web. Alcuni fra i servizi più celebri ne fanno già uso: fra i primi ad implementare WebAuthn è stato Dropbox lo scorso anno, e Microsoft è arrivata poco dopo. La password continuerà comunque per parecchi anni ad essere il sistema più consueto per l'autenticazione sui siti web, questo è chiaro, tuttavia dopo l'annuncio di oggi WebAuthn si configura ancor di più come un'alternativa percorribile e per certi versi più valida.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Axios200605 Marzo 2019, 17:37 #1
In pratica si sposta l'attenzione degli hacker dalle password (banali) degli utenti alle password che sovraintendono ai device di autenticazione.

Speriamo che chi produce i dispositivi di autenticazione non li protegga con una password del tipo 12345 come certi router o lascino qualche backdoor per accedere indiscriminatamente a tutto.... Altrimenti qualcuno si ritrovera' l'accesso a milioni di dispositivi in un colpo solo...

Non strettamente correlato, ma per dare l'idea, pochi mesi fa lo scandalo dei serve di autenticazione a 2 fattori via sms dove aziende come Google ed Amazon avevano tutti i dati in chiaro...
lemuel06 Marzo 2019, 02:00 #2

In attesa dei computer quantici

Non ho la minima idea sulla sicurezza dei metodi che verranno proposti, o implementati, o resi obbligatori, da parte dei promulgatori dei sistemi W3C.
Per adesso non sono a conoscenza dell'esatta formulazione del contenuto di simili dispositivi, quale ad esempio una chiave di sicurezza Fido personale o di chiavette USB certificate e marcate.
Per quanto mi riguarda io mi trovo a gestire circa 60 account differenti di posta elettronica, più le chiavi di accesso a vari servizi istituzionali (Inps, ad esempio, o banca e posta) e in più ho almeno 30 siti per acquisti online e altrettanti forum per poter leggere le altrui opinioni e per esprimere il mio punto di vista su argomenti vari.
Per me giocoforza sta tutto nella sicurezza delle password che scelgo.
Chiaramente faccio distinzione fra i siti per gli acquisti da quelli della banca o di PayPal, ad esempio.
Per usi non a rischio, le mie password sono in genere di 13 caratteri alfanumerici combinati, tipo "&7sE5c§H7z3S@".
Per usi a maggior rischio (di possibili danni), le password diventano di 19 caratteri, mediamente, del tipo "#Motn1@Gtes0§Q7%u1£".

Queste password non sono memorizzate sul mio PC, da nessuna parte, come ad esempio nei browser, ma sono scritte "a parte" su un quadernino cartaceo, e la maggior parte le ritengo a memoria, in quanto sono associate a un criterio logico di successione dei caratteri.

Se si aggiunge che i browser di tutti i miei sistemi lavorano entro Sandboxie, e che tutti i dati di navigazione sono "scrupolosamente" "piallati" alla fine di ogni navigazione, o anche a scadenze che scelgo di volta in volta, tramite la cancellazione di tutti i file dell'area virtuale di Sandboxie, non vedo di cosa dovrei mai preoccuparmi.

Piuttosto i problemi per mio conto non sono sul lato "client", ma lapalissianamente sul lato "server" del web.
Ogni tanto, quando leggo di violazione di server di Google, di Amazon o di quant'altro, provvedo subito alla sostituzione delle password che potrebbero essere possibilmente coinvolte in furto di dati di accesso.

Che poi il pianeta Terra sia popolato di "minus habens" che ancora usano 12345 o mammamia come password, a me fa anche piacere, giacché data la facilità con cui si può accedere a questo enorme oceano di dati scarsamente protetto, non verranno studiati troppo a fondo sistemi per violare password di 19 caratteri.
Qbit e PC quantici ancora permettendo.
E per me questo è tutto.
cinetic06 Marzo 2019, 07:58 #3
Originariamente inviato da: Axios2006
In pratica si sposta l'attenzione degli hacker dalle password (banali) degli utenti alle password che sovraintendono ai device di autenticazione.

Speriamo che chi produce i dispositivi di autenticazione non li protegga con una password del tipo 12345 come certi router o lascino qualche backdoor per accedere indiscriminatamente a tutto.... Altrimenti qualcuno si ritrovera' l'accesso a milioni di dispositivi in un colpo solo...

Non strettamente correlato, ma per dare l'idea, pochi mesi fa lo scandalo dei serve di autenticazione a 2 fattori via sms dove aziende come Google ed Amazon avevano tutti i dati in chiaro...


Non ho capito. L'autenticazione a due fattori prevede che la conferma la dai tu tramite SMS.
Quindi di fatto hai una password nuova ogni volta. A me pare un sistema abbastanza "forte".
Per dati in chiaro cosa intendi? Che Google poteva accedere alla tua casella mail conoscendo le credenziali?
Bradiper06 Marzo 2019, 08:06 #4
Sarebbe veramente comodo es avere una chiavetta con dentro una o più password di lunghezza e complessità esponenziale senza doverle ricordare o scrivere, poterla portare in giro e accedere ai servizi da qualunque terminale.
cinetic06 Marzo 2019, 08:10 #5
Per me comunque sarebbe più che sufficiente il sistema di identità pubblica digitale che viene usato in molti siti web.
Inquadri il codice con lo smartphone, confermi l'identità con i sensori biometrici e sei dentro.
Mi sembra un sistema abbastanza sicuro e dove non serve ricordare alcuna password.
nameman06 Marzo 2019, 11:30 #6
password più o meno complesse, autenticazione a due fattori, sistemi biometrici, ed ora chiave di sicurezza fido personale insomma sistemi sempre più complessi di aiutenticazione! Questo dimostra solo che il web non ha e non avrà mai un grado di sicurezza elevato, perchè a nuove metodologie di controllo degli accessi comunque ci saranno sistemi di intrusione più complessi che riusciranno a perforare, prima o poi qualsiasi tipo di difesa.
Lo dimostra il fatto che Google ed Amazon avevano tutti i dati in chiaro...
lo dimostra il fatto che utenti, che almeno sulla carta dovrebbero essere più che evoluti (siti governativi, siti di sicurezza nazionali, aereoporti ecc. ecc) seppur raramente comunque ma comunque a volte giungono notizie di violazioni.... ma veramente vengono divulgate notizie di intrusioni dempre ed in ogni caso ? Io non credo.... il caso più ecclatante lo dimostra la vcenda Trump-Russi, il caso dello spionaggio americano di qualche tempo fà il caso della Huawei e chissa quanti altri...
IL WEB NON E' E NON SARA' MAI SICURO !!!!
Quindi rassegnatevi, tra qualche anno ci sarà qualche altro accorgimento che lo spacceranno per SICURO ED EFFICACE!
Axios200606 Marzo 2019, 11:57 #7
Originariamente inviato da: cinetic
Non ho capito. L'autenticazione a due fattori prevede che la conferma la dai tu tramite SMS.
Quindi di fatto hai una password nuova ogni volta. A me pare un sistema abbastanza "forte".
Per dati in chiaro cosa intendi? Che Google poteva accedere alla tua casella mail conoscendo le credenziali?


Non si ha una nuova password, nel senso stretto del termine... I server terzi che inviavano gli SMS per l'autenticazione a 2 fattori di Amazon e Google trattavano in chiaro i dati degli utenti... https://techcrunch.com/2018/11/15/m...wo-factor-codes

In generale, se si deve accentrare l'accesso a innumerevoli siti in un solo algoritmo, spero che sia davvero robusto.

Se no, meglio tenere tutto separato. Così almeno chi è prudente ed esperto per i fatti suoi non rischia di trovarsi i dati violati.
LukeIlBello06 Marzo 2019, 11:59 #8
Originariamente inviato da: lemuel
Non ho la minima idea sulla sicurezza dei metodi che verranno proposti, o implementati, o resi obbligatori, da parte dei promulgatori dei sistemi W3C.
Per adesso non sono a conoscenza dell'esatta formulazione del contenuto di simili dispositivi, quale ad esempio una chiave di sicurezza Fido personale o di chiavette USB certificate e marcate.
Per quanto mi riguarda io mi trovo a gestire circa 60 account differenti di posta elettronica, più le chiavi di accesso a vari servizi istituzionali (Inps, ad esempio, o banca e posta) e in più ho almeno 30 siti per acquisti online e altrettanti forum per poter leggere le altrui opinioni e per esprimere il mio punto di vista su argomenti vari.
Per me giocoforza sta tutto nella sicurezza delle password che scelgo.
Chiaramente faccio distinzione fra i siti per gli acquisti da quelli della banca o di PayPal, ad esempio.
Per usi non a rischio, le mie password sono in genere di 13 caratteri alfanumerici combinati, tipo "&7sE5c§H7z3S@".
Per usi a maggior rischio (di possibili danni), le password diventano di 19 caratteri, mediamente, del tipo "#Motn1@Gtes0§Q7%u1£".

Queste password non sono memorizzate sul mio PC, da nessuna parte, come ad esempio nei browser, ma sono scritte "a parte" su un quadernino cartaceo, e la maggior parte le ritengo a memoria, in quanto sono associate a un criterio logico di successione dei caratteri.

Se si aggiunge che i browser di tutti i miei sistemi lavorano entro Sandboxie, e che tutti i dati di navigazione sono "scrupolosamente" "piallati" alla fine di ogni navigazione, o anche a scadenze che scelgo di volta in volta, tramite la cancellazione di tutti i file dell'area virtuale di Sandboxie, non vedo di cosa dovrei mai preoccuparmi.

Piuttosto i problemi per mio conto non sono sul lato "client", ma lapalissianamente sul lato "server" del web.
Ogni tanto, quando leggo di violazione di server di Google, di Amazon o di quant'altro, provvedo subito alla sostituzione delle password che potrebbero essere possibilmente coinvolte in furto di dati di accesso.

Che poi il pianeta Terra sia popolato di "minus habens" che ancora usano 12345 o mammamia come password, a me fa anche piacere, giacché data la facilità con cui si può accedere a questo enorme oceano di dati scarsamente protetto, non verranno studiati troppo a fondo sistemi per violare password di 19 caratteri.
Qbit e PC quantici ancora permettendo.
E per me questo è tutto.

sei sempre passibile di un attacco di tipo spooffing o keylogging
questa è la debolezza intrinseca delle password, le puoi scegliere anche chilometriche e scriverle sullo scottex, ma poi a un certo punto le devi digitare e qui è la falla.. un keylogger te la rende sgamabile sempre e comunque

quindi queste soluzioni "hardware", o biometriche sono indubbiamente migliori
LukeIlBello06 Marzo 2019, 11:59 #9
Originariamente inviato da: cinetic
Per me comunque sarebbe più che sufficiente il sistema di identità pubblica digitale che viene usato in molti siti web.
Inquadri il codice con lo smartphone, confermi l'identità con i sensori biometrici e sei dentro.
Mi sembra un sistema abbastanza sicuro e dove non serve ricordare alcuna password.


esatto

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^