Tel: 02.95.35.71.30


Indirizzo: via Pieregrosso, 31A
20060 Pozzuolo Martesana (MI)

WebAuthn, lo standard per il Web senza password

03-07-2019 Davide

Il W3C ha approvato WebAuthn come standard per l'autenticazione ai servizi online senza bisogno di affidarsi alla tradizionale password.

W3C (World Wide Web Consortium) ha dichiarato che WebAuthn (Web Authentication API) è ora ufficialmente uno standard Web. Annunciato a fine 2015 dal Consorzio stesso e dalla FIDO Alliance, è pensato per effettuare l’autenticazione ai servizi online senza per forza di cose doversi affidare alla password tradizionale, sfruttando l’analisi di parametri biometrici (impronte digitali, scansione dell’iride, riconoscimento facciale), l’interazione con dispositivi mobile oppure con appositi device fisici.

Al momento la compatibilità è garantita dai sistemi operativi Android e Windows 10 oltre che dai browser Edge, Firefox e Chrome (per Safari solo nelle versioni preview). Per quanto riguarda invece siti, servizi e piattaforme, ad aver già adottato WebAuthn sono Dropbox, Facebook, GitHub, Salesforce, Stripe e Twitter. Il W3C è al lavoro per farlo sul proprio portale. Tra le realtà che già hanno scelto di offrire il supporto a WebAuthn, vestendo i panni di contributori, ci sono invece Airbnb, Alibaba, Apple, Google, IBM, Intel, Microsoft, Mozilla, PayPal, SoftBand, Tencent e Yubico, quest’ultima impegnata nella realizzazione e nella commercializzazione di dispositivi fisici (chiavi) per gestire le operazioni di login.

Le raccomandazioni del W3C a proposito di WebAuthn costituiscono un tassello fondamentale per le specifiche FIDO2 della FIDO Alliance, uno standard per il supporto all’utilizzo di chiavi crittografiche pubbliche (Universal Authentication Framework UAF) e ai metodi di autenticazione multifattore (Universal Second Factor o UAF). Il loro impiego permette all’utente di sfruttare credenziali uniche per ogni servizio online poiché i parametri biometrici o i codici segreti non vengono mai inviati a un server remoto né lasciano il dispositivo del client, rendendo così l’intero sistema invulnerabile agli attacchi di phishing.

Come funziona WebAuthn

La password tradizionale è dunque destinata al pensionamento. Ha già da qualche tempo iniziato a mostrare tutte le sue criticità: basti pensare all’ostinazione degli utenti nello scegliere codici troppo semplici da indovinare o poco efficaci, così come al brutto vizio di usare la stessa per più piattaforme, riducendo in questo modo la loro efficacia ed esponendo informazioni e dati personali all’attività dei malintenzionati. I tanti leak di cui si è parlato nell’ultimo periodo ne sono la testimonianza.

fonte: Punto Informatico