Hanno lavorato aziende come Facebook, Apple, Google, Microsoft e Mozilla e dunque crediamo che WebAuthn possa davvero rappresentare il motivo principale per dire addio alle password. Si tratta di uno standard sviluppato dal World Wide Web Consortium (W3C) e dalla FIDO Alliance, che semplifica l’integrazione in siti e applicazioni mobili delle procedure di accesso e login tramite il sistema Fido2.
Di cosa si tratta
Fido2 è il protocollo che ha già permesso a organizzazioni e società private di rendere più sicure le autenticazioni dei propri dipendenti a computer e smartphone usati sia a scopo personale che professionale. Funziona così: la password di accesso viene sostituita da due chiavi separate ma dipendenti: una pubblica e una privata. La pubblica può, ad esempio, essere data a tutti i collaboratori ma anche stampata su un foglio al muro visibile a chiunque. Il bello è che con questa singola informazione non si entra da nessuna parte perché c’è sempre bisogno della seconda stringa, la privata appunto.
Dov’è la seconda chiave
Questa chiave è temporanea e conservata fisicamente in un oggetto chiamato token. È molto simile a quello dato in dotazione dalla banca ai clienti che lo richiedono per entrare nei conti privati, ad alto rischio di hacking. In quanto standard condiviso, WebAuthn permetterà l’utilizzo di token diversi senza creare monopoli particolari a vantaggio di chi ne ha già uno compatibile (l’aggiornamento è prettamente software quindi non dovrebbero esserci problemi). Certo, c’è bisogno di compiere un passo in più oltre all’inserimento odierno della classica password ma tutto a beneficio della sicurezza.
Con la biometria è più semplice
Alcuni token sono già oltre, proiettati verso il futuro della tecnologia, visto che sulla pancia ospitano un sensore di impronte digitali che velocizza nettamente l’ottenimento della seconda parte della password. La differenza con gli accessori usati sinora (una sorta di doppia autenticazione hardware) è che qui non c’è alcun display che visualizza una stringa a scadenza da inserire in box e finestre perché l’autenticazione avviene in automatico, semplicemente poggiando il dito sul lettore, come facciamo per gli smartphone.
La novità di WebAuthn
Tornando a WebAuthn, il protocollo su cui Fido2 si basa, la notizia è il rilascio della versione finale che qualsiasi sviluppatore può integrare nei propri progetti. Mozilla ha aggiornato Firefox apposta per supportare lo standard, tanto che i servizi legati al browser della Foundation potranno presto sfruttare la tecnica. Dal mese prossimo, WebAuthn verrà abilitato anche su Chrome e Edge di Microsoft, sia nelle varianti desktop che mobili, dove per quanto riguarda i token ci sarà bisogno di accessori dotati di ingressi microUSB e USB di Tipo-C, in un mercato che attualmente vede prettamente modelli USB, da usare con i computer.
Sono invece scarse le possibilità di avere iPhone e iPad votati alla causa Fido2, perché seppur Apple faccia parte del consorzio W3C, non ha ancora espresso la volontà di rendere Safari compatibile con le API di terze parti, codici di sviluppo esterni e non certificati dai tecnici della Mela.
Del resto stiamo parlando del marchio che pur di non adottare l’ingresso universale Type-C (che ci avrebbe permesso di avere un solo cavetto per vari dispositivi) si è inventato il Lightning. Misteri dell’hi-tech ma certezze del marketing.