“A nessuno piacciono le password, fatte eccezioni per i criminali informatici” ha dichiarato Yogesh Mehta, group manager della divisione Microsoft che si occupa di sicurezza e crittografia. “Alle persone non piacciono le password perché devono essere tenute a mente. Come conseguenza, in molti sono soliti creare e usare password troppo facili da indovinare da parte di terzi“. Il risultato è che tanti individui sono facile preda per attacchi che utilizzano la tecnica del brute forcing al fine di individuare le corrette credenziali di accesso a un qualunque servizio.
Microsoft raggiunge oggi un importante traguardo guadagnandosi la certificazione FIDO2 per il suo servizio Windows Hello, portato al debutto con Windows 10.
Come abbiamo visto nell’articolo Windows Hello, tutti i modi per il login veloce. Ma quanto è sicuro?, permette di effettuare l’autenticazione usando molteplici sistemi tra cui anche il riconoscimento facciale e la lettura delle impronte digitali.
D’ora in avanti, a partire da Windows 10 Aggiornamento di maggio 2019 (versione 1903) gli utenti potranno usare dispositivi compatibili FIDO2 non soltanto per accedere al sistema operativo ma anche per autenticarsi sui siti web di terze parti.
La certificazione ottenuta da Microsoft si inquadra tra gli sforzi che l’intera industria dell’IT sta ponendo per semplificare le procedure di autenticazione senza rinunciare alla sicurezza. Standard come WebAuthn, supportato in Edge, Chrome e Firefox (in Safari il supporto è attualmente in preview), rappresentano la prova tangibile della direzione che si è imboccata: Un mondo senza password e senza phishing: FIDO Alliance e W3C presentano WebAuthn.
Con WebAuthn gli utenti possono registrarsi e autenticarsi online e sulle app usando un’apposita applicazione come Windows Hello anziché ricorrere a una password. Lo strumento usato per l’autenticazione può essere una chiavetta FIDO2 collegata al dispositivo in uso (vedere anche Autenticazione a due fattori: cosa succede se si perde una chiavetta U2F FIDO2) oppure, ad esempio, un sensore biometrico.
Come Windows Hello, sia Chrome che Android hanno ricevuto certificazione FIDO2 tanto che Google ha recentemente trasformato gli smartphone del robottino verde in strumenti per l’autenticazione a due fattori: Gli smartphone Android diventano token autorizzativi per l’autenticazione a due fattori.
I tecnici Microsoft hanno già confermato che potranno sfruttare Windows Hello per il login su servizi come Outlook.com, Office 365, Skype, OneDrive, Cortana, Microsoft Edge, Xbox Live on the PC, Mixer, Microsoft Store, Bing e MSN indipendentemente dal browser utilizzato (a patto che sia compatibile).