FIDO Alliance ha pubblicato due nuovi standard per l’autenticazione sicure degli utenti, che presto potrebbero mandare in pensione l’uso delle password.
La Fast IDentity Online Alliance è un consorzio industriale senza scopo di lucro che si pone l’obiettivo di rendere l’autenticazione più sicura e più semplice. Di recente ha implementato le prime specifiche per due nuovi standard di autenticazione di sicurezza, la Universal Authentication Framework (UAF) e Universal 2nd Factor (U2F).
Questi standard potrebbero portare a sostituire le password con unità USB e sensori biometrici. Gli standard sono stati pubblicati per consentire l’accesso a servizi online (come la posta elettronica o i social network) usando l’impronta digitale o una chiavetta USB. Tutto ciò garantendo la privacy delle persone.
Cos’è lo standard UAF FIDO
Lo standard UAF riguarda l’uso dell’autenticazione biometrica senza password. In questa esperienza l’utente registra sul sito a cui vuole accedere il proprio dispositivo, come lo smartphone. Poi sceglie quale azione di autenticazione compiere sullo smartphone per poter accedere ogni volta al servizio online.
Può trattarsi di immettere un PIN o strisciare il dito sullo schermo in un certo modo, guardare la videocamera o parlare nel microfono. Per autenticarsi al servizio online, quindi, l’utente non avrà più bisogno di inserire alcuna password, ma dovrà solo compiere l’azione di autenticazione prescelta. Lo standard UAF consente anche di combinare tra loro diversi meccanismi di autenticazione, come l’inserimento di un PIN e l’uso della propria impronta digitale.
Cos’è lo standard U2F FIDO
Lo standard U2F sostiene l’uso di una chiavetta USB per l’autenticazione a due fattori. L’utente accede con un nome utente e una password come in passato. Il servizio può richiedere all’utente l’uso di un secondo dispositivo come secondo fattore di autenticazione.
La presenza di un secondo fattore di autenticazione consente al servizio online di semplificare il tipo di password richiesta all’utente (che, ad esempio, può limitarsi anche a un PIN a sole quattro cifre) senza tuttavia vedere ridotta o compromessa la sicurezza.
Durante la registrazione e l’autenticazione, l’uso del secondo dispositivo di autenticazione avviene in maniera semplice, inserendolo in una porta USB del PC o, in caso di dispositivi con tecnologia NFC, avvicinandolo a un lettore NFC. I dispositivi FIDO U2F possono essere usati soltanto per l’autenticazione a servizi online che usano browser aderenti al protocollo U2F.
FIDO, l’autenticazione del futuro
Lo standard FIDO è stato già implementato da Google e Samsung per l’autenticazione biometrica one-touch sugli smartphone Samsung Galaxy S5. Nok Nok Labs, invece, ha adattato le API di Apple per gli standard FIDO.
I membri della FIDO Alliance – che includono produttori di dispositivi e fornitori di servizi online come Google, MasterCard, PayPal e Visa – possono ora implementare e commercializzare le specifiche.
“Oggi si festeggia un traguardo che sancirà la scomparsa del vecchio metodo di autenticazione con password e PIN. I pionieri della FIDO Alliance potranno vantare l’inaugurazione dell’era post password, che sta già rivelando nuove prospettive nei servizi Internet e nel commercio digitale”, ha detto in un comunicato stampa il presidente della FIDO Alliance, Michael Barrett.
Ci si potrebbe meravigliare di come questi metodi di autenticazione più sicuri possano garantire la privacy. In effetti, con le specifiche FIDO non vengono memorizzate informazioni biometriche sul cloud o sul dispositivo. L’impronta digitale o il dato biometrico viene convertito in un “template” (simile a un metadato), che non lascerà mai il dispositivo. Una volta effettuato il login con il dato biometrico, la chiave FIDO verrà “sbloccata” per verificare la nostra identità e si eseguirà l’autenticazione su canali criptati.
