24 Maggio 2018
Una procedura di autenticazione ai servizi via browser web ancor più semplice e sicura, perché non richiede l'utilizzo di password. E' quanto promettono FIDO Alliance, W3C e le aziende che hanno scelto di adottare lo standard open WebAuthn, finalizzato nelle scorse ore dopo un lungo periodo di sviluppo. Il supporto al nuovo standard è attualmente inserito nell'ultima versione di Firefox, e sarà introdotto nei prossimi mesi anche in Chrome ed Edge.
Il concetto di base è semplice: sostituire l'accesso tramite password con altri metodi basati su dispositivi biometrici o token USB. L'idea non è nuova, ed è già usata da aziende come Google e Facebook, che consentono di effettuare il login mediante appositi token conformi allo standard FIDO. La novità sta nella semplicità con cui, in futuro, tali metodi verranno integrati: WebAuthn potrà prendere il posto dei driver proprietari, rendendoli non più necessari per gestire le periferiche di autenticazione.
In tal modo, l'accesso a tali strumenti si allarga a gestori e sviluppatori di servizi che non rientrano tra i "big" del mercato. Afferma a tal proposito Selena Deckelmann, che si è occupata dell'integrazione di WebAuthn in Firefox:
In precedenza, il lavoro per supportare i token è stato svolto dalle grandi compagnie come Google, Microsoft e Facebook, con l'integrazione dei propri driver. Con WebAuthun si potranno utilizzare le librerie comunemente disponibili.
I vantaggi lato utente sono da valutare in termini di maggiore semplicità della procedura di login, perché non bisogna memorizzare, né custodire password e si possono sfruttare le periferiche biometriche integrate nel dispositivo (PC, portatile, o smartphone) così come dispositivi esterni. In secondo luogo WebAuthn migliora la sicurezza: le credenziali e i pattern biometrici non lasciano mai il dispositivo dell'utente e non sono archiviati nei server. Gli account sono protetti contro attacchi phishing, man-in-the-middle e altre tecniche volte a sottrarre le password. Per riprendere le dichiarazioni della Deckelmann, si passa dall'usare una password ad usare un hardware.
Gli sviluppatori possono iniziare a sviluppare app e servizi che si basano sullo standard FIDO, collegandosi al nuovo sito dedicato. Nel novero dei browser che hanno iniziato a supportare o supporteranno in futuro WebAuthn non figura però Safari. Apple ha collaborato allo sviluppo dello standard, quindi non è da escludere che in futuro anche il suo browser lo utilizzerà.
Commenti
bene! Era ora che ci fosse uno standard per superare il notorio punto debole di ogni sicurezza dall'origine del mondo (o almeno di internet): la password scelta dall'utente
diciamo che se per i servizi importanti usi Fido + 2FA sei sicuro senza doverti sbattere a inventare altre password robuste; chiaramente è il mio punto di vista, e mi considero abbastanza paranoico e maniacale sulla sicurezza della password
diciamo che è sempre un discorso di motivazione; semplicemente le risorse che servirebbero per forzare il tuo sistema (o il mio, che è funzionalmente equivalente) non bilanciano il guadagno ottenibile.
In pratica è la sicurezza di non avere nulla di realmente utile; per noi già il 2FA è garanzia di sicurezza pressoché totale
Benissimo. Il database ce l'ho su gDrive e ho installato anche il programma su Windows che sincronizza con l'app. Poi ho la possibilità di inserire immagini personalizzate per ogni password e quindi è molto ben ordinata. È presente lo sblocco con impronta dalla versione di Android 5 in su
da qualche parte sono in chiaro nel profilo
per pc è gratis safeincloud, per smartphone si paga una tantum
Si è vero, però non mi da tanta fiducia. Spesso la password di windows non c'è gli amici la sanno
Di windows, che spesso non c'è.
per le password uso keepassx, la cifratura è molto forte e la password che uso è di circa 30 caratteri (numeri, lettere, maiuscole, minuscole e caratteri speciali).
molto più comodo del quaderno ma comunque sicurissimo.
oltretutto anche l'hard disk è cifrato quindi se qualcuno mi rubasse il notebook dovrebbe prima riuscire a decifrare l'harddisk e poi dovrebbe riuscire a decifrare il database.
praticamente impossibile
"credenziali e i pattern biometrici non lasciano mai il dispositivo dell'utente e non sono archiviati nei server"
Credici sisi, giurin giurello.
Io rimango al buon vecchio quaderno con le password scritte e non le salvo da nessuna parte, e cambio password ogni anno a quello che uso di più, il token potrei perderlo....
Probabilmente è più sicuro Google hai ragione, ma con iOS funziona ? Se ha anche il completamento in app non è male
Non lo avevo provato, come ti trovi?
Interessante, ne ho provati un po’ ma questo no, lo proverò
E' necessaria la password di Windows per accedere a ogni singola password
Non sono sicuro ma mi pare fosse necessario il reinserimento della password prima di poterle visualizzare
L'ho comprato e mi sono un po pentito, perchè un enorme sbatti ogni volta che aggiorni una password andarla a cambiare a mano. Per il resto fantastico!
Alla fine sto usando Lastpass Free, ma sto considerando il premium.
Poi vai a pisc iare e hai dimenticato il computer loggato, qualcuno apre chrome, va su impostazioni/Avanzate/Password e moduli/ e si guarda tutte le tue password in chiaro
Meh
In questi casi devi guardare la massa, non la paranoia del singolo. Che ci sta, come misura opzionale nessuno nega i benefici di un secondo step, proprio come ora con le otp. Ma di base la psw resta un metodo inefficente ed insicuro.
Forse non ho capito bene io il funzionamento, ma se voglio accedere da un dispositivo non mio e i dati biometrici non sono su cloud ma solo su mio pc come faccio ?
E se uno utilizzasse le chiavi pubbliche/private come ssh?
Hai lo stesso effetto senza dover usare un dispositivo
Io uso safeincloud
Provato Avira password manager? È gratuito
Sì ma il token USB possono rubarmelo, mentre la password robusta la conosco solo io
Con le password salvate in Chrome e usando Android fai la stessa cosa e senza spendere nulla oltretutto non sono sicuro ma penso sia più sicuro dato che è Google ®
Con lastpass Premium mi sono semplificato la vita, consiglio a tutti mai soldi furono spesi meglio
Ottimo. Nel 2018 ancora non si riesce a superare la debolezza delle password, un concetto ormai morto e utile solo come extrema ratio, e non come difesa principale a tutela della propria identità. Il dover affidare la raccolta di ogni singola password - alfanumerica di almeno 16 caratteri da cambiarsi ogni x mesi - ad una persona, é qualcosa di folle. Così come é folle la frammentazione in n-mila autenticazioni possibili.
Abbiamo messo scanner e lettori di ogni tipo nei nostri smartphone, eppure li sfruttiamo nella maniera più misera possibile, se non in rare eccezioni. Per non parlare del fatto che pc o tastiere non nascano nativamente con scanner di impronta, ad esempio.
https://uploads.disquscdn.c...