I giganti tech vogliono lanciare la tecnologia FIDO passkey già nel prossimo anno, sarà un importante passo avanti verso l’abbandono delle password.
In uno sforzo congiunto i giganti della tecnologia Apple, Google e Microsoft hanno annunciato, qualche giorno fa, di essersi impegnati a creare il supporto per l’accesso senza password, già dal prossimo anno, su tutte le piattaforme mobili, desktop e browser che gestiscono. In effetti, ciò significa che l’autenticazione senza password arriverà a breve su tutte le principali piattaforme e dispositivi come sistemi operativi mobili Android e iOS, browser Chrome, Edge e Safari e gli ambienti desktop Windows e macOS.
“Così come progettiamo i nostri prodotti in modo che siano intuitivi e capaci, li progettiamo anche per essere privati e sicuri”, ha affermato Kurt Knight, direttore senior del marketing dei prodotti della piattaforma presso Apple. “Lavorare con il settore per stabilire nuovi metodi di accesso più sicuri che offrano una migliore protezione ed eliminino le vulnerabilità delle password è fondamentale per il nostro impegno nella creazione di prodotti che offrano la massima sicurezza e un’esperienza utente trasparente, il tutto con l’obiettivo di mantenere gli utenti informazioni personali al sicuro.”
Come dovrebbe funzionare il nuovo standard FIDO?
Un processo di accesso senza password consentirà agli utenti di scegliere i propri telefoni come dispositivo di autenticazione principale per App, siti Web e altri servizi digitali, come descritto in dettaglio da Google in un post sul suo blog.
Sarà quindi sufficiente sbloccare il telefono con l’azione predefinita (inserimento di un PIN, disegno di una sequenza, sblocco tramite impronta digitale o tramite Face ID) per accedere ai servizi Web senza la necessità di inserire mai una password. Questo sarà reso possibile dall’uso di un token crittografico univoco chiamato passkey condiviso tra il telefono e il sito Web. In questa nuova modalità di accesso la protezione del nostro smartphone con password sicure diventa ancora più importante.
Rendere gli accessi legati ad un dispositivo fisico, dovrebbe consentire agli utenti di trarre vantaggio contemporaneamente dalla semplicità e dalla sicurezza. Senza una password, non ci sarà alcun obbligo di ricordare i dettagli di accesso tra i servizi o compromettere la sicurezza riutilizzando la stessa password in più punti. Allo stesso modo, un sistema senza password renderà molto più difficile per gli hacker compromettere i dettagli di accesso in remoto poiché l’accesso richiede l’accesso a un dispositivo fisico. Inoltre, almeno in teoria, gli attacchi di phishing, in cui gli utenti vengono indirizzati a un sito Web falso per l’acquisizione di password, saranno molto più difficili da strutturare.
“Il passaggio completo a un mondo senza password inizierà con i consumatori che lo renderanno una parte naturale della loro vita. Qualsiasi soluzione praticabile deve essere più sicura, più semplice e più veloce delle password e dei metodi di autenticazione a più fattori legacy utilizzati oggi”, afferma Alex Simons, Corporate Vice President, Identity Program Management di Microsoft. “Lavorando insieme come una comunità su più piattaforme, possiamo finalmente realizzare questa visione e fare progressi significativi verso l’eliminazione delle password. Vediamo un futuro radioso per le credenziali basate su FIDO sia negli scenari consumer che enterprise e continueremo a creare supporto su App e servizi Microsoft”.
La funzionalità multipiattaforma è resa possibile da uno standard chiamato FIDO, che utilizza i principi della crittografia a chiave pubblica per abilitare l’autenticazione senza password e l’autenticazione a più fattori in una vasta gamma di contesti. Il telefono di un utente può memorizzare una passkey univoca conforme a FIDO e la condividerà con un sito Web per l’autenticazione solo quando il telefono è sbloccato. Secondo il post di Google, le passkey possono anche essere facilmente sincronizzate con un nuovo dispositivo dal backup su cloud in caso di smarrimento di un telefono.
Sebbene molte applicazioni popolari includessero già il supporto per l’autenticazione FIDO, l’accesso iniziale ha richiesto l’uso di una password prima di poter configurare FIDO, il che significa che gli utenti erano ancora vulnerabili agli attacchi di phishing che vedono le password intercettate o rubate lungo il percorso. Proprio su questo elemento si fonda la differenza delle nuove procedure individuate che elimineranno il requisito iniziale di una password.
Finora, Apple, Google e Microsoft hanno tutti affermato che si aspettano che le nuove funzionalità di accesso diventino disponibili su tutte le piattaforme nel prossimo anno, sebbene non sia stata annunciata una roadmap più specifica. Nonostante l’idea di abbandonare le password sia in circolazione da anni, ci sono segnali che questa possa essere la volta buona.