FIDO2 su Android: addio password

26 Febbraio 2019 Marina Londei
Android si apre allo standard FIDO2, permettendo l'autenticazione passwordless.

Android si apre allo standard FIDO2, permettendo l'autenticazione passwordless. Credits: slashgear.com

Il problema della memorizzazione delle password diventerà obsoleto. Da ieri Android è certificato FIDO2, aprendo la strada verso un futuro senza accessi testuali.

Durante il Mobile World Congress la FIDO Alliance ha annunciato che il sistema operativo si è aperto al loro standard, potendo da ora in poi interfacciarsi in maniera avanzata con tutte le piattaforme di autenticazione che supportano FIDO2.

Cos’è FIDO2?

Sviluppato da FIDO Alliance, è uno standard di autenticazione open composto dalla specifica WebAuthn del W3C e il protocollo CTAP (Client To Authenticator Protocol). La prima standardizza la web API nei browser e piattaforme per supportare l’autenticazione FIDO; il secondo è invece un protocollo che permette l’autenticazione sui browser e sistemi operativi tramite USB, NFC o BLE, quindi senza password. L’API si trova ormai in tutti i browser più utilizzati, permettendo quindi ai device esterni che rispondono al CTAP di funzionare come autenticatori, sia per le applicazioni desktop che per i servizi web.

FIDO2 supporta l’autenticazione a più fattori sia con PIN che tramite la biometrica o device mobili e wearables. Esso garantisce quindi un ecosistema di device più ampio e complesso per l’autenticazione da parte di un client.

Una visione ad alto livello dell'architettura di FIDO2.
Una visione ad alto livello dell’architettura di FIDO2. Credits: noknok.com

Nell’immagine ci sono le 3 componenti client-side dell’autenticazione. La prima è la pagina web che utilizza l’API WebAuthn; la seconda è ovviamente il browser web, che si connette al sottosistema FIDO2; la terza è composta dagli autenticatori che vengono utilizzati per verificare l’identità dell’utente.

Lo standard FIDO2 è stato pensato per superare il paradigma username-password, che oltre ad essere obsoleto non è più affidabile. Per di più, la maggiore sicurezza offerta è accompagnata anche dalla grande facilità di utilizzo degli strumenti.

Android dice addio alle password

Proprio ieri Google ha annunciato che il suo sistema operativo, dalla versione 7.0 (Nougat), sarà certificato FIDO2. L’update permetterà quindi di effettuare il login nelle app e nei servizi che supportano lo standard senza più utilizzare le password.

Questa novità comporta una maggiore sicurezza in caso di un security breach nei server del servizio esterno. Al contrario della classica autenticazione con chiave pubblica in cui il client e il servizio condividono un “segreto”, in questo caso le informazioni vengono salvate localmente nel dispositivo. Questo tipo di autenticazione esisteva già in alcune applicazioni bancarie o assicurative, ma da adesso è estesa a qualsiasi servizio e sito web che voglia offrire questa possibilità.

L'equazione passwordless che FIDO2 introduce per i servizi e i device.
L’equazione passwordless che FIDO2 introduce per i servizi e i device. Credits: tomshardware.co.uk

Attacchi come il phishing o man-in-the-middle non saranno più efficaci, in quanto non ci sarà più comunicazione di dati privati. La transizione non sarà immediata, anche perché solo i dispositivi Android degli ultimi due anni e mezzo supporteranno questo cambiamento. Di certo però ci sarà una forte accelerazione verso l’autenticazione passwordless, che tra qualche anno diventerà la normalità.

 

Tags: , , ,