WebAuthn, un nuovo standard per dire addio alle password nel web

La Fido Alliance e il W3C hanno introdotto un nuovo standard per l'autenticazione nel web, chiamato semplicemente Web Authentication (WebAuthn), che sul lungo periodo vorrebbe soppiantare definitivamente l'uso delle password.

Le aziende che si occupano di tecnologia, da Google in giù, non amano molto le password: preferirebbero che gli utenti usassero sistemi di autenticazione alternativi, dalla biometria ai dongle Usb passando per il riconoscimento facciale.

A sostegno di questa preferenza spesso quelle aziende citano i vari casi di furti di credenziali ai danni di qualche sito e la pessima abitudine, da parte degli utenti, di utilizzare sempre la medesima password per i diversi servizi. L'articolo continua qui sotto.

Web Authentication dovrebbe essere la soluzione, Si tratta di un sistema che permette di creare credenziali crittografate univoche per ciascun sito ma consente anche di accedere a pressoché ogni servizio online dal browser attraverso uno dei sistemi di autenticazione Fido (impronte digitali, riconoscimento del volto, dongle Usb e via di seguito).

Dal punto di vista dell'utente, cambia il modo di farsi riconoscere da un sito: anziché inserire il proprio nome utente e la propria password, diventa necessario appoggiare il dito su un lettore (anche quello dello smartphone, inserito nel medesimo ecosistema Fido, andrebbe bene), o farsi inquadrare dalla webcam, o comunque usare uno dei metodi di autenticazione password-free.

Il browser che supporta le specifiche Web Authentication provvede a gestire l'informazione e a sbloccare le credenziali univoche che permettono di accedere a quel determinato servizio.

In tal modo, il furto delle credenziali relative a un dato sito non permetterebbe al ladro di utilizzarle per accedere a un altro sito, dato che ognuno utilizzerebbe informazioni diverse.

Microsoft, Google, Mozilla e Opera hanno già annunciato il proprio impegno nel supportare Web Authentication nei rispettivi browser: la funzionalità è già disponibile in Firefox, e nei prossimi mesi arriverà anche negli altri.

«Dopo anni di continui furti di dati e di password» - ha commentato Brett McDowell della Fido Alliance - «è ora che i fornitori di servizi pongano fine alla dipendenza da password vulnerabili e codici validi per una volta soltanto, e adottino l'Autenticazione Fido, che è resistente al phishing, per tutti i siti e le applicazioni».