Che si tratti di transazioni bancarie e finanziarie, di acquisti o di comunicazioni con amici e familiari: nell’era dei computer, degli smartphone e simili, una parte importante della vita si svolge online. Il login sicuro ai servizi web e la protezione della privacy rivestono un ruolo particolarmente importante. Tuttavia, il numero crescente di dati utente rubati dimostra che l’inserimento di nome utente e password non è più sufficiente. Il nuovo standard di autenticazione FIDO2 consente già il login sicuro senza password. In questo articolo spieghiamo come funziona la nuova procedura di login e quali vantaggi e svantaggi presenta.
FIDO2 (“Fast Identity Online 2”) è un nuovo standard Internet e l’ulteriore sviluppo senza password di FIDO U2F. Il suo scopo è quello di rendere superfluo l’inserimento della password tradizionale nel medio e lungo termine.
Tutti e tre i termini sono sinonimi di stick FIDO2. Si tratta del dispositivo che si utilizza per autenticarsi ai servizi. Di solito ha la forma di una chiavetta USB o di un portachiavi.
Microsoft.com e i servizi ad esso collegati (ad esempio Outlook.com, Office 365 e OneDrive) e Windows Hello utilizzano già il login senza password. Tuttavia, ciò richiede l’utilizzo del browser Edge. Molti altri servizi consentono già FIDO2 come secondo fattore.
Indice dei contenuti
1. come funziona l’autenticazione con FIDO2
FIDO2 si basa sul Client to Authenticator Protocol (CTAP) e sullo standard W3C WebAuthnm, che insieme consentono la verifica tramite crittografia (ad esempio PIN o biometria) o autenticatori esterni. Questi possono essere, ad esempio, chiavette USB, dispositivi indossabili e persino dispositivi mobili come smartphone o tablet.
WebAuthn consente di attivare l’autenticazione FIDO tramite un’API web standard (in JavaScript), implementata anche in diversi sistemi operativi e browser. CTAP consente ai diversi token FIDO2 di interagire con il rispettivo browser e, inoltre, di fungere da autenticatore. A tal fine, tuttavia, sia il browser utilizzato che i token devono essere in grado di comunicare tramite CTAP.
Buono a sapersi: L’autenticazione FIDO2 funziona anche senza hardware aggiuntivo in Windows 10 e Android a partire dalla versione 7, poiché questi sistemi operativi possono fungere da autenticatori (virtuali). Su macOS funziona solo in combinazione con Google Chrome. Nell’attuale versione beta di iOS 13.3, anche Safari supporta il nuovo standard di login.
Con la chiave FIDO2, ci si identifica con una controparte WebAuthn affidabile (il cosiddetto server FIDO2), che di solito appartiene a un sito web o a un’applicazione web. A seconda dell’implementazione del servizio, è possibile scegliere tra due diverse opzioni:
Con l’autenticazione a un fattore, è sufficiente l’autenticatore (ad esempio la chiavetta USB) per accedere, mentre con l’autenticazione a due fattori è necessario inserire anche un codice PIN o una password.
Buono a sapersi: FIDO2 è stato lanciato dall’organizzazione non commerciale FIDO Alliance, fondata nel 2012 da Lenovo, PayPal, Infineon, Nok Nok Labs, Validity Sensors e Agnitio. Un anno dopo si sono aggiunti anche Google, NXP e Yubico. L’obiettivo dell’alleanza di interessi è sviluppare standard industriali aperti e privi di licenza per l’autenticazione globale su Internet.
Quali sono i vantaggi e gli svantaggi di FIDO2 rispetto ad altri metodi di autenticazione?
È chiaro che le password rappresentano già di per sé un rischio immenso per la sicurezza. Per impostazione predefinita, FIDO2 cripta il login con una coppia di chiavi (pubblica e privata) e rispetto a una “normale” autenticazione tramite password, FIDO2 offre una superficie di attacco significativamente inferiore per gli hacker. Se qualcuno vuole accedere ai vostri account utente, deve prima entrare in possesso del vostro token. Lo sblocco può essere effettuato solo tramite il dispositivo registrato. I rischi per la sicurezza, come il furto di password, sono quindi praticamente un ricordo del passato.
Il token FIDO può essere utilizzato anche per diversi servizi web. Ciò significa che non dovrete più ricordare innumerevoli password diverse, ma potrete semplicemente effettuare l’accesso con un clic, un input vocale o collegando un hardware. Tuttavia, come già detto, con alcuni sistemi operativi l’autenticazione può essere effettuata anche senza hardware esterno. Questo non solo rende il processo di login più comodo e veloce, ma fa anche risparmiare spazio sul portachiavi.
Attualmente non è ancora disponibile per tutti i servizi web
Nonostante tutti i vantaggi, FIDO2 presenta anche alcuni svantaggi che vorremmo menzionare in questa sede. Innanzitutto, sono pochissimi i servizi web che attualmente offrono questa nuova forma di autenticazione. A ciò si aggiungono i costi di acquisizione dell’autenticatore esterno, che possono diventare rapidamente molto costosi, soprattutto nelle aziende in cui ogni dipendente ha bisogno del proprio token.
Un altro problema: se si vuole implementare FIDO2 come parte di un’autenticazione a due fattori, è ancora necessario inserire un codice PIN o una password. Se si deve accedere a diversi servizi più volte al giorno, a lungo andare questo può diventare un compito molto noioso.
3 FIDO2 in pratica: vari esempi di applicazione
Attualmente FIDO2 è ancora agli inizi, ma gli esperti prevedono che prima o poi tutti i servizi online supporteranno lo standard. Attualmente, Facebook, Twitter, GitHub e BoxCryptor offrono già il supporto per FIDO2. Gli utenti dei servizi Microsoft possono persino accedere senza password. I servizi web di Microsoft sono anche gli unici che finora offrono webauthn per il login senza password oltre all’autenticazione a due fattori.
Inoltre, l’autenticazione è già possibile con Chrome, Edge, Firefox, Windows e Android. Solo Apple, come al solito, sta sparando a zero e sta armeggiando con la propria soluzione chiamata “Login with Apple”. Prima o poi, però, probabilmente dovrà piegarsi al nuovo standard anche in questo caso.
Ecco come potrebbe essere in futuro il lavoro con FIDO2
- Per il login in Windows , si utilizza un token FIDO (ad esempio YubiKey di Yubico), che viene collegato a una porta USB del PC. L’accesso avviene premendo brevemente il pulsante a sfioramento. Altri scenari ipotizzabili sono lo sblocco di Windows tramite smartphone o smartwatch, utilizzando un lettore di impronte digitali esterno o il riconoscimento facciale tramite la fotocamera.
- In futuro, l’accesso a Facebook, Amazon, Google e altri sarà effettuato tramite impronta digitale su uno smartphone Android compatibile.
- Ad esempio, è possibile collegare una chiave di sicurezza al proprio account KeePass . Questo può essere facilmente sbloccato tramite lo smartphone con l’aiuto della chiave, senza dover effettuare ulteriori inserimenti.
Suggerimento: sul sito webauthn.io è possibile registrarsi e accedere tramite webauthn in via sperimentale, testando così in anticipo la nuova autenticazione web secondo le specifiche W3C.
Un approfondimento su FIDO2 è disponibile nel seguente video: