WebAuthn: il web senza password, a chiave pubblica


Pubblicato il: 28 Luglio 2020 , Ultimo aggiornamento: 28 Aprile 2021

Cos’è WebAuthn

WebAuthn è una API di autenticazione per il web (The Web Authentication API), e si tratta di una specifica voluta dal W3C in compartecipazione con Google, Yahoo!, Microsoft e Mozilla. Essa permette di autenticare gli utenti in modo sicuro senza fare uso di password e costringere gli utenti a ricordarle, sfruttando un meccanismo di validazione del login a chiave pubblica. Si tratta di una tecnologia che è diventata uno standard accettato universamente dal W3C a partire dal 2019, dopo essere stato un semplice draft o bozza per molti in cui, per la verità, in pochi avevano realmente le idee chiare su cosa fosse.

Come funziona WebAuthn

Nel sito ufficiale WebAuthn viene definita A better alternative for securing our sensitive information online, ovvero un modo migliore per autenticarsi in modo sicuro sul web: l’uso delle password rimane la forma di login più diffusa su portali di servizi e di prodotti, ad oggi, ma è intrinsecamente debole. Per quanto possa sembrare impensabile di abbandonare l’uso delle password, 4 violazioni informatiche su 5 si basano sulla scoperta, sul furto o sulla diffusione di una password. E questo crea un problema enorme: sia perché una volta che la password è pubblicata non tutti gli utenti pensano subito a cambiarla, ma anche perché la sua diffusione permette spesso più violazioni su vari sistemi, data l’abitudine (pessima) di molti di riciclare la stessa password su più siti.

WebAuthn nella pratica

Senza scendere in dettagli troppo tecnici, in sostanza, WebAuthn sostituisce la password con un dispositivo hardware posseduto dall’utente, in grado di fornire internamente (ad esempio mediante bottone e display) una chiave di accesso temporanea che sia imprevedibile dall’esterno e che garantisca che l’utente sia davvero chi dice di essere (clicca sull’immagine per ingrandirla).

L’alternativa alle password proposta da WebAuthn è decisamente interessante: si basa sulla crittografia a chiave pubblica, ed è stata adottata da sistemi come ad esempio Windows Hello e Apple’s Touch ID. Non richiede, come abbiamo visto, la memorizzazione di chiavi private o password da parte del server, riducendo così l’interesse stesso – da parte di malintenzionati – nel violare interi database con informazioni riservate. La chiave pubblica è alla base, ad esempio, di qualsiasi connessione ad un sito in HTTPS che facciamo ogni giorno via PC o smartphone.

Esiste anche un sito che ha provato a mettere in pratica lo standard: webauthn.io sta cercando di testare sul campo la web authentication con supporto esplicito a Chrome, Edge e Firefox (i browser più diffusi), con la possibilità di testare uno standard noto come U2F Token.

Photo credits by Trscavo at English Wikipedia, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=81123329

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto WebAuthn: il web senza password, a chiave pubblica di Salvatore Capolupo su Trovalost.it
WebAuthn: il web senza password, a chiave pubblica (Guide)

Articoli più letti su questi argomenti: