Android dice addio alle password: arriva l’autenticazione alternativa

Annunciato durante il corso del Mobile Word Congress 2019, svoltosi durante il mese di febbraio 2019, diventa finalmente ufficiale: Google dice addio alle password. L’annuncio è arrivato durante le scorse ore sul blog di Big G, e riguarda la rimozione della password come metodo di autenticazione su alcuni dei propri servizi.

Questa è disponibile, al momento, sugli smartphone Pixel di Google, e arriverà nei prossimi giorni su tutti i dispositivi con a bordo Android 7 Nougat o successivi.

Inventato da Fernando “Corby” Corbatò, il metodo di autenticazione tramite password oggigiorno non è più sicuro. Questo meccanismo, infatti, prevede lo scambio di questa “informazione segreta” tra il client e il server, e ciò è comunque attaccabile per quanto si cerchi di mantenere il segreto il più criptico possibile. Soprattutto quando vengono utilizzate password poco sicure, prassi rispettata dalla maggior parte degli utenti sul web, purtroppo.

Nuovo metodo di autenticazione. Credits: google.com

Viviamo in un mondo dove moli di dati sono online, e la loro protezione è importantissima. Ecco perchè, per esempio, sono stati definiti standard di sicurezza nazionali per la protezione di informazioni. E sempre per questo motivo, c’è stata una spinta verso l’adozione di indentificazione biometrica nelle pubbliche amministrazioni.

Come avverrà quindi l’autenticazione sui siti Google?

L’utente potrà utilizzare i metodi di sblocco disponibili sul proprio smartphone, come riconoscimento dell’impronta digitale, PIN e sequenza. Cos¡ facendo, i dati non verranno inviati ai server di Google, ma resteranno salvati in locale sul dispositivo.

Architettura FIDO2 in Android. Credits: google.com

Ciò è reso possibile grazie all’annunciata collaborazione tra Google e FIDO, rendendo Android 7 e successivi certificati FIDO2.

A spiegarne il funzionamento basilare è la stessa Google:

Quando l’utente visita un servizio compatibile, come passwords.google.com, emettiamo una chiamata “Get” di WebAuthn, trasmettendo solamente l’ID ottenuto durante la creazione delle credenziali in locale.

Il risultato è una firma FIDO2 valida.

Se volete provare voi stessi:

  • Aprite Google Chrome sul vostro dispositivo Android
  • Andate su https://passwords.google.com
  • Selezionate un sito di cui volete vedere la password che avete memorizzato
  • Seguite le istruzioni per autenticarvi utilizzando il nuovo metodo

Al momento questo metodo di autenticazione è limitato solo ad alcuni servizi Google, ma presto lo vedremo esteso ovunque e, si spera, anche in servizi esterni a quelli di Big G.