Un mondo senza password e senza phishing: FIDO Alliance e W3C presentano WebAuthn

WebAuthn è un nuovo standard aperto che consentirà agli sviluppatori di configurare l'utilizzo dei token per la gestione delle procedure di autenticazione degli utenti in modo semplice, veloce e sicuro. Addio alle credenziali d'accesso tradizionali.
Un mondo senza password e senza phishing: FIDO Alliance e W3C presentano WebAuthn

La FIDO Alliance è nota soprattutto per l’ideazione e la promozione di standard aperti progettati per liberarsi delle credenziali di autenticazione tradizionali: vedere Accedere a Google, Gmail e Dropbox senza digitare password e Autenticazione a due fattori: cosa succede se si perde una chiavetta U2F FIDO2.

Dopo l'”anteprima” di aprile 2018, oggi W3C ha confermato l’approvazione a nuovo standard di WebAuthn, già attivamente supportato in Chrome, Firefox ed Edge mentre Safari lo utilizza dal mese di dicembre 2018, per adesso, solo nelle versioni non definitive. WebAuthn è inoltre già stato abbracciato da parte di Android ed è implementato in servizi come Dropbox, Facebook, GitHub, Salesforce, Stripe e Twitter.

WebAuthn è frutto del lavoro durato un biennio: l’obiettivo è quello di abbandonare l’utilizzo delle password per passare a strumenti di autenticazione più veloci e sicuri come i token USB e gli strumenti biometrici. Finora tali oggetti sono stati adoperati accanto alle credenziali tradizionali (username e password) ma in futuro potrebbero essere utilizzati anche in via esclusiva, come si legge nel nel comunicato diramato dal W3C.


Se fino ad oggi solamente le grandi aziende come Google, Facebook e Microsoft hanno deciso di sfruttare i token FIDO, con WebAuthn l’autenticazione basata su token sarà possibile con moltissime altre librerie comunemente utilizzate dagli sviluppatori.

Dal momento che lo standard è stato realizzato guardando alla cosiddetta dimostrazione a conoscenza zero (metodo interattivo usato in crittografia per dimostrare che una dichiarazione è vera, senza rivelare nient’altro oltre alla veridicità della stessa), non vengono mai esposte informazioni e strutture che potrebbero facilitare attacchi phishing.

Anziché ricorrere a una password, nel prossimo futuro si utilizzerà sempre più un dispositivo capace di “certificare la propria identità” scongiurando l’eventualità di qualunque tipo di attacco phishing.

Airbnb, Alibaba, Apple, Google, IBM, Intel, Microsoft, Mozilla, PayPal, SoftBank, Tencent e Yubico, in qualità di membri di W3C, sono già “della partita”.

Ti consigliamo anche

Link copiato negli appunti