WebAuthn: il web senza password, a chiave pubblica

Aggiornato il: 24-06-2022 12:00

Cos’è WebAuthn

WebAuthn è una API di autenticazione per il web (The Web Authentication API), e si tratta di una specifica voluta dal W3C in compartecipazione con Google, Yahoo!, Microsoft e Mozilla. Essa permette di autenticare gli utenti in modo sicuro senza fare uso di password e costringere gli utenti a ricordarle, sfruttando un meccanismo di validazione del login a chiave pubblica. Si tratta di una tecnologia che è diventata uno standard accettato universamente dal W3C a partire dal 2019, dopo essere stato un semplice draft o bozza per molti in cui, per la verità , in pochi avevano realmente le idee chiare su cosa fosse.

Come funziona WebAuthn

Nel sito ufficiale WebAuthn viene definita A better alternative for securing our sensitive information online, ovvero un modo migliore per autenticarsi in modo sicuro sul web: l’uso delle password rimane la forma di login più diffusa su portali di servizi e di prodotti, ad oggi, ma è intrinsecamente debole. Per quanto possa sembrare impensabile di abbandonare l’uso delle password, 4 violazioni informatiche su 5 si basano sulla scoperta, sul furto o sulla diffusione di una password. E questo crea un problema enorme: sia perchà© una volta che la password è pubblicata non tutti gli utenti pensano subito a cambiarla, ma anche perchà© la sua diffusione permette spesso più violazioni su vari sistemi, data l’abitudine (pessima) di molti di riciclare la stessa password su più siti.

WebAuthn nella pratica

Senza scendere in dettagli troppo tecnici, in sostanza, WebAuthn sostituisce la password con un dispositivo hardware posseduto dall’utente, in grado di fornire internamente (ad esempio mediante bottone e display) una chiave di accesso temporanea che sia imprevedibile dall’esterno e che garantisca che l’utente sia davvero chi dice di essere (clicca sull’immagine per ingrandirla).

SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919

1280px Passwordless Web Authentication.svg

L’alternativa alle password proposta da WebAuthn è decisamente interessante: si basa sulla crittografia a chiave pubblica, ed è stata adottata da sistemi come ad esempio Windows Hello e Apple’s Touch ID. Non richiede, come abbiamo visto, la memorizzazione di chiavi private o password da parte del server, riducendo cosଠl’interesse stesso – da parte di malintenzionati – nel violare interi database con informazioni riservate. La chiave pubblica è alla base, ad esempio, di qualsiasi connessione ad un sito in HTTPS che facciamo ogni giorno via PC o smartphone.

Esiste anche un sito che ha provato a mettere in pratica lo standard: webauthn.io sta cercando di testare sul campo la web authentication con supporto esplicito a Chrome, Edge e Firefox (i browser più diffusi), con la possibilità  di testare uno standard noto come U2F Token.

Photo credits by Trscavo at English Wikipedia, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=81123329



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti piace questo articolo? Vota e fammelo sapere.

WebAuthn: il web senza password, a chiave pubblica
SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919
webauthn
Torna su