Se fai schifo nel ricordare o creare password complesse, adorerai il fatto che il World Wide Web Consortium (W3C) ha approvato ieri Web Authentication (WebAuthn), un nuovo standard di autenticazione per accessi senza password che è già supportato dai principali browser.
Secondo l'annuncio, la specifica WebAuthn è ora uno standard web ufficiale.
WebAuthn consente alle persone di accedere agli account Internet con il loro dispositivo preferito. Sfrutta un protocollo chiamato Client to Authenticator Protocol (CTAP2), chiamato anche FIDO2, che viene utilizzato per generare coppie di chiavi crittografiche private e pubbliche per l'autenticazione su un sito Web.
Il comunicato stampa elenca le seguenti funzionalità chiave di WebAuthn:
- Sicurezza: Le credenziali di accesso crittografico FIDO2 sono uniche in ogni sito Web, i dati biometrici o altri segreti come le password non escono mai dal dispositivo dell'utente e non vengono mai archiviati su un server. Questo modello di sicurezza elimina i rischi di phishing, tutte le forme di furto di password e attacchi di tipo replay.
- Convenienza: Gli utenti accedono con metodi utili come lettori di impronte digitali, telecamere, chiavi di sicurezza FIDO o dispositivi mobili personali.
- vita privata: Poiché le chiavi FIDO sono univoche per ciascun sito Internet, non possono essere utilizzate per tracciarti su tutti i siti.
- scalabilità: I siti Web possono abilitare FIDO2 tramite una semplice chiamata API su tutti i browser e piattaforme supportati su miliardi di dispositivi che i consumatori utilizzano ogni giorno.
In altre parole, WebAuthn potrebbe proteggere le persone da violazioni o attacchi di phishing.
Per cominciare, è molto più sicuro delle password deboli che molte persone usano per proteggere i loro account online o quei codici una tantum che possono essere intercettati. Con WebAuthn, un utente malintenzionato armato di una password corretta richiederebbe anche l'accesso fisico alla chiave di sicurezza fisica o al dispositivo mobile con funzioni biometriche supportate prima di ottenere l'accesso.
TUTORIAL: Come visualizzare, cercare e modificare le password di Safari
WebAuthn è attualmente supportato nei browser Web Chrome, Firefox, Edge e Safari, nonché in Windows 10 e Android. Il supporto per Safari è apparso per la prima volta in Safari Technology Preview versione 71 di Apple, che è stato rilasciato agli sviluppatori il 5 dicembre.
WebAuthn dovrebbe funzionare con i dispositivi Yubico.
Yubico produce chiavi di sicurezza fisiche basate su NFC per l'accesso senza password e l'autenticazione a due fattori. A gennaio, la società ha rilasciato la sua prima chiave di sicurezza fisica approvata da Apple che funziona sia con dispositivi iOS basati su Lightning sia con Mac con una porta USB-C.
YubiKey, la primissima chiave di sicurezza fisica approvata da Apple, funziona con dispositivi iOS e macOS.I prodotti chiave di sicurezza esistenti basati su NFC di Yubico funzionano immediatamente con centinaia di servizi Web che supportano i protocolli di autenticazione FIDO U2F e FIDO2.
Entrambi i protocolli di autenticazione WebAuthn e FIDO2 / FIDO U2F sono già supportati da Dropbox, Facebook, GitHub, Salesforce, Stripe e Twitter, con altri siti Web popolari che dovrebbero integrare il supporto per questi standard nei prossimi mesi.