Le
password sono una causa persa. Forniscono una scarsa esperienza utente. Rappresentano un
enorme rischio per la sicurezza. La maggioranza degli utenti ha difficoltà a ricordarle, quindi usa stringhe
facilmente indovinabili o
le ricicla.
Questo ha reso le password il vettore principale d'attacco per le
violazioni dei dati. Le aziende sono consapevoli dei rischi, ma necessitano di una valida alternativa per abbandonare questo inefficiente metodo di sicurezza.
Può sembrare strano, ma i precursori di una nuova era dell'autenticazione sicura non sono aziende specializzate in cyber sicurezza, ma
i produttori di smartphone. Se ci pensate, ormai tutti abbiamo in tasca il prodotto che ha avviato la rivoluzione delle password. A prescindere da marca e modello, tutti ormai dispongono del lettore d'impronte digitali, del riconoscimento facciale o di entrambi.
Questi dispositivi hanno cambiato il modo in cui ci identifichiamo. In una decade ci siamo abituati alla mentalità dell'identificazione biometrica per affrontare senza stress un futuro senza password. Come abbiamo
ricordato più volte, la biometria si candida come una soluzione ideale perché non serve ricordare nulla. È immediata, semplice e funzionale: basta appoggiare un dito sul sensore o farsi inquadrare il viso da una telecamera per avere accesso alle risorse e ai servizi.
Soprattutto, la biometria è ormai onnipresente e poco costosa. L'evoluzione tecnologica ha portato a fabbricare sensori nuovi e migliorati, che abbinati al software giusto sono sicuri e facili da usare.
FiDO Alliance
Anche
FiDO Alliance (Fast IDentity Online) è stata determinante per spingere l'autenticazione senza password. La missione dichiarata dell'associazione è la promozione di "standard di autenticazione per contribuire a
ridurre l'eccessiva dipendenza dal mondo dalle password". FiDO è impegnata da tempo a migliorare l'autenticazione mediante l'uso di standard aperti più sicuri, più semplici da usare, da distribuire e da gestire.
Perché il passaggio dalle password all'autenticazione biometrica è così lento in azienda? Prima di tutto per motivi di sicurezza. Un conto è proteggere un account privato, altra cosa è garantire la
salvaguardia di informazioni aziendali critiche. Servono più garanzie e procedure standardizzate di comprovata efficacia.
Inoltre, in ambito aziendale c'era un enorme divario tra il sensore biometrico e le applicazioni che dovevano usarlo per il login. In alcuni casi sarebbe stato necessario creare integrazioni ad hoc per ogni sensore biometrico, su ogni piattaforma e per ogni applicazione.
I produttori di smartphone hanno sperimentato diverse soluzioni di autenticazione biometrica. Quello che è stato fatto inizialmente era in sostanza un abile gioco di prestigio.
La password non era scomparsa dagli smartphone, era semplicemente nascosta. Di fatto, il sensore continuava a usarla per l'autenticazione ad applicazioni e servizi. Solo che l'utente non se ne accorgeva.
All'atto pratico, nomi utente, PIN e password sono memorizzati nello smartphone e vengono "riprodotti" su richiesta delle applicazioni dopo che il sensore biometrico ha sbloccato l'elemento. Questo significa che l'esperienza utente ne ha guadagnato. Però
la password restava ancora un potenziale rischio. Per l'industria non era sufficiente, serviva uno standard universale senza password che potesse essere utilizzato da ogni applicazione.
Autenticazione senza password al livello successivo
FiDO Alliance ha sviluppato e promosso standard aperti e gratuiti che hanno portato
l'autenticazione senza password al livello successivo. Nel 2018 ha promosso la specifica WebAuthN creata dal World Wide Web Consortium (W3C) come parte del suo standard FIDO2.
In sostanza, fornisce un'API che può essere facilmente implementata su qualsiasi sito web o servizio. Può comunicare direttamente con browser come Google Chrome, Microsoft Edge o Apple Safari per avviare l'autenticazione.
Le specifiche sono progettate per delegare l'autenticazione a endpoint quali smartphone, tablet e computer. Possono anche lavorare in ambienti misti, nei quali un utente può autenticarsi con diversi metodi. Inoltre, FIDO ha creato un legame tra i leader tecnologici.
Aderiscono al progetto Apple, Amazon, ARM, Facebook, Google, Intel, Microsoft, Mastercard, PayPal, Samsung, Visa e VMware. Grazie a FIDO e WebAuthN, si possono finalmente rimuovere completamente la password.
WebAuthN differisce dagli approcci tradizionali alla biometria e all'autenticazione senza password. Per capirne il motivo bisogna dare un'occhiata a che cosa accadeva in passato. I dati biometrici venivano inviati a un server, elaborati e quindi archiviati come punti di minutiae, che venivano mappati alla scansione biometrica.
Ogni volta che una persona di autenticava i dati memorizzati venivano utilizzati per confermare una corrispondenza e quindi concedere l'accesso. I punti di minutiae erano significativi solo per il sistema biometrico, quindi i criminali informatici non potevano rubarli e spacciarsi per il legittimo utente. Però alle persone non era gradita l'archiviazione centralizzata della loro biometria.
FIDO e WebAuthN invece
disaccoppiano le informazioni biometriche dell'utente che si deve autenticare dall'app a cui vuole accedere. In sostanza, WebAuthN introduce il concetto di "autenticatori". Sono incorporati nel sistema operativo. Durante la registrazione iniziale, viene creata una coppia univoca di chiavi crittografiche. Si tratta di una chiave privata che viene mantenuta protetta all'interno dell'autenticatore, e di una chiave pubblica inviata al servizio.
Durante l'autenticazione, si verifica una semplice richiesta di verifica/risposta. Solo una risposta autenticata che utilizza la chiave privata corretta completa l'autenticazione. In un flusso tipico, FIDO e WebAuthN vengono utilizzati in combinazione con un elemento sicuro, in modo che le chiavi di crittografia possano essere generate e archiviate in tale elemento.
La sicurezza è data dal fatto che
ogni servizio genera una coppia di chiavi univoca. Un cyber criminale dovrebbe attaccare ogni singolo dispositivo, quindi identificare e compromettere ogni singola chiave.
Inoltre, in questo metodo tutti i dati biometrici sono archiviati sul dispositivo, non su un server centralizzato. Quindi non esiste uno "scrigno" centralizzato che i cyber criminali possano violare per accedere a migliaia di dispositivi.
Un altro punto di forza di WebAuthN è la gamma di autenticatori che può usare. L'autenticazione WebAuthN è integrata in sistemi operativi come Windows 10 con Windows Hello, che consentono di archiviare le chiavi su notebook, dispositivi USB, NFC e Bluetooth. Ciò consente agli utenti di portare con sé il proprio metodo di autenticazione su più dispositivi.