WebAuthn, nuovo standard per login senza password

Da diversi anni le aziende Internet studiano alternative più sicure alle comuni password e ora quell’obiettivo è sempre più vicino. FIDO Alliance e World Wide Web Consortium (W3C) hanno annunciato il nuovo standard WebAuthn (Web Authentication) che semplifica il processo di autenticazione offrendo una sicurezza maggiore. L’approvazione delle specifiche finali, attualmente nello stadio CR (Candidate Recommendation), dovrebbe avvenire nei prossimi mesi.

WebAuthn definisce nuove API che possono essere integrate nei browser e nei servizi web per consentire agli utenti di effettuare il login tramite soluzioni alternative alla password. Lo standard è parte del progetto FIDO2, insieme alle specifiche del CTAP (Client-to-Authenticator Protocol) che consente l’autenticazione tramite dispositivi esterni, come security key USB e smartphone, o componenti già presenti su PC, notebook e smartphone, come lettore di impronte digitali e fotocamere. Questi metodi possono essere sfruttati come secondo fattore o per sostituire completamente la password.

Google, Microsoft e Mozilla hanno promesso di aggiungere il supporto per WebAuthn ai loro browser Chrome, Edge e Firefox per Windows, macOS, Linux, Chrome OS e Android. Firefox è già compatibile, mentre Chrome e Edge includeranno la funzionalità nei prossimi aggiornamenti. Anche Opera appoggia il progetto. Nessuna conferma è invece arrivata da Apple per Safari. L’uso del nuovo standard ridurrà al minimo i rischi per l’account, in quanto verrà protetto contro varie tipologie di attacchi (furto di password, man-in-the-middle e phishing). Inoltre le credenziali dell’utente non lasceranno mai il dispositivo e non saranno mai inviate ai server.

La FIDO Alliance ha predisposto una sezione del sito per gli sviluppatori che vogliono aggiungere il supporto alla tecnologia in app, siti web e servizi. In futuro verranno implementati i test di compatibilità e avviata la certificazione per server, client e autenticatori.