2541 Letture
Un mondo senza password e senza phishing: FIDO Alliance e W3C presentano WebAuthn

Un mondo senza password e senza phishing: FIDO Alliance e W3C presentano WebAuthn

WebAuthn è un nuovo standard aperto che consentirà a tutti gli sviluppatori di configurare l'utilizzo dei token per gestire le procedure di autenticazione degli utenti in modo semplice, veloce e sicuro.

La FIDO Alliance è nota soprattutto per l'ideazione e la promozione dello standard aperto U2F, progettato per liberarsi delle credenziali di autenticazione tradizionali: Accedere a Google, Gmail e Dropbox senza digitare password.

Oggi FIDO Alliance e W3C hanno annunciato l'approvazione di un nuovo standard aperto, chiamato WebAuthn.
Al momento supportato solo in Mozilla Firefox, verrà presto abbracciato (probabilmente già dal mese prossimo) sia in Chrome che in Edge (ad oggi non si hanno notizie di Safari).

WebAuthn è frutto del lavoro durato un biennio: l'obiettivo è quello di abbandonare l'utilizzo delle password per passare a strumenti di autenticazione più veloci e sicuro come i token USB e gli strumenti biometrici.

Un mondo senza password e senza phishing: FIDO Alliance e W3C presentano WebAuthn

Se fino ad oggi solamente le grandi aziende come Google, Facebook e Microsoft hanno deciso di sfruttare i token FIDO, con WebAuthn l'autenticazione basata su token sarà possibile con moltissime altre librerie comunemente utilizzate dagli sviluppatori autonomi.


Dal momento che lo standard FIDO è stato realizzato guardando alla cosiddetta dimostrazione a conoscenza zero (metodo interattivo usato in crittografia per dimostrare che una dichiarazione è vera, senza rivelare nient'altro oltre alla veridicità della stessa), non vengono mai esposte informazioni e strutture che potrebbero facilitare attacchi phishing.

Come viene spiegato anche nel comunicato ufficiale FIDO-W3C, anziché utilizzare una password, nel prossimo futuro si utilizzerà sempre più un dispositivo per certificare la propria identità scongiurando l'eventualità di qualunque tipo di attacco phishing.

Un mondo senza password e senza phishing: FIDO Alliance e W3C presentano WebAuthn - IlSoftware.it