Cos’è FIDO2
FIDO2 è uno standard di autenticazione che permette di accedere in maniera sicura ai servizi online senza aver bisogno di password o SMS OTP, ma usando semplicemente lo smartphone, il tablet o il PC.
Da un’autenticazione che si basa su qualcosa che l’utente conosce (la password o il codice OTP) si passa a un’autenticazione basata su qualcosa che l’utente possiede (come lo smartphone).
L’autenticazione FIDO si basa, inoltre, sull’uso della crittografia a chiave pubblica, che rende questo metodo molto più sicuro rispetto all’uso delle password, che possono subire attacchi di phishing.
FIDO Alliance
Lo standard FIDO2 è stato sviluppato dalla FIDO Alliance (dove FIDO è l’acronimo di Fast IDentity Online), un’associazione senza scopo di lucro che combatte la dipendenza del mondo dalle password realizzando standard di autenticazione passwordless.
FIDO Alliance raggruppa oltre 250 aziende di tecnologia, servizi finanziari ed e-commerce, tra i più noti a livello mondiale, come Google, Apple, Samsung, Amazon, Microsoft, PayPal.
Gestione delle password: perché è un problema per la sicurezza informatica
In un mondo sempre più tecnologico e connesso, sono sempre più numerosi i servizi online a cui ciascuno di noi può accedere, per esigenze lavorative o personali. Ci basta andare sul sito web del servizio che ci interessa, registrarci per creare il nostro account e il gioco è fatto.
In pochi clic e una manciata di secondi possiamo svolgere operazioni che in passato avrebbero richiesto un enorme dispendio di tempo ed energie. Ci basta solo ricordare il nome utente e la password di ogni servizio online.
Facile, no? Per niente.
La gestione delle password, infatti, è uno dei principali problemi di sicurezza informatica e riguarda tutti: cittadini, enti e organizzazioni di tipo pubblico e privato, professionisti e imprese.
Per una questione di praticità, infatti, si tende a usare la stessa password per più servizi, e quasi sempre è una password semplice e facile da ricordare. Tutto ciò a discapito della sicurezza.
Un recente studio NordPass ci dice che la password più usata al mondo è “password”, seguita da “123456”. In entrambi i casi queste due password richiedono meno di un secondo per essere decifrate da malintenzionati, che così possono avere facile accesso ai nostri profili online e ai dati che noi crediamo al sicuro.
I pericoli legati alla cattiva gestione delle password sono tanto maggiori quanto più alto è il valore dei dati che si rischiano. Per intenderci, una cosa è rischiare che qualcuno acceda al nostro profilo social, altra cosa è rischiare un’intrusione nei sistemi aziendali.
Un rischio, questo, tutt’altro che ipotetico, visto che è stato calcolato che oltre l’80% dei furti di dati a livello aziendale è provocato dal furto o dalla compromissione di credenziali.
Come funziona FIDO2
Finora FIDO Alliance ha pubblicato tre serie di specifiche: FIDO Universal Second Factor (FIDO U2F), FIDO Universal Authentication Framework (FIDO UAF) e Client to Authenticator Protocols (CTAP).
FIDO2 nasce da una collaborazione tra FIDO Alliance e il World Wide Web Consortium (W3C), in quanto unisce le specifiche CTAP alle specifiche Web Authentication (WebAuthn) messe a punto dal W3C.
Il protocollo prevede due momenti: la registrazione una tantum a un servizio online e la successiva autenticazione senza password al servizio.
Registrazione
Durante la registrazione a un servizio online che ha implementato il protocollo FIDO2, il dispositivo usato dall’utente per registrarsi al servizio crea una coppia di chiavi crittografiche, una pubblica e una privata, univoca per il dispositivo dell’utente, per il servizio online a cui si è registrato e per il suo account creato per tale servizio.
La chiave pubblica viene inviata al servizio online e associata all’account dell’utente, mentre la chiave privata viene conservata sul dispositivo dell’utente.
Autenticazione
Nell’autenticazione, l’accesso dell’utente al servizio online può avvenire solo col dispositivo usato nella registrazione, l’unico su cui è presente la chiave privata che fa coppia con la chiave pubblica e che sul server del servizio online è associata al suo profilo.
Per dimostrare di essere in possesso della chiave privata, l’utente deve compiere sul suo dispositivo un’azione semplice e sicura, come strisciare un dito, inserire un PIN, parlare in un microfono, premere un pulsante o inserire un dispositivo di secondo fattore come un dispositivo USB.
Quali sono i vantaggi di FIDO2
L’uso di un sistema di autenticazione FIDO2 porta diversi benefici, sia per l’utente che per i fornitori di servizi online. Vediamoli.
Sicurezza
Eliminando l’uso delle password, l’autenticazione FIDO2 toglie alla radice il rischio che queste possano essere rubate o intercettate, mettendo così a rischio la sicurezza dei dati.
Inoltre, l’uso di coppie di chiavi crittografiche univoche per ogni dispositivo/servizio/account, con la chiave privata che non esce mai dal dispositivo e non viene mai inviata e memorizzata su un server esterno, rende questo metodo sicuro e a prova di hacker.
Semplicità
Per autenticarsi online senza password gli utenti usano semplicemente il loro dispositivo scelto in fase di registrazione. Può trattarsi dello smartphone, di una security key USB o anche di un lettore di impronte digitali o di una fotocamera, quindi di componenti già presenti sul proprio device.
Privacy
Avere chiavi crittografiche univoche per ogni servizio online significa che queste credenziali non possono essere usate per tracciare l’utente nei suoi spostamenti tra i vari siti web. Inoltre, i dati biometrici eventualmente usati per autenticarsi non lasciano mai il dispositivo, quindi non sono mai esposti a terzi.
Scalabilità
I siti web possono abilitare l’autenticazione FIDO2 ai loro servizi online tramite API JavaScript. Questo rende il sistema compatibile con i principali browser e piattaforme e accessibile a qualsiasi numero di utenti.
SafeAccess, la soluzione Namirial per l’autenticazione passwordless
Nella battaglia per ridurre la dipendenza dalle password e i rischi connessi, un valido contributo per le aziende arriva da Namirial SafeAccess, piattaforma di autenticazione passwordless di Namirial, basata su standard FIDO2 e sulla PKI (Public Key Infrastructure).
Namirial SafeAccess semplifica la gestione delle credenziali e garantisce l’accesso sicuro alla postazione Pc e agli applicativi aziendali, risolvendo i problemi di sicurezza legati alle password e riducendo i tempi e i costi di manutenzione dei sistemi informatici. La suite, inoltre, traccia i log degli utenti e rileva eventuali minacce.
Namirial SafeAccess è composta da cinque diversi componenti, implementabili singolarmente o in modalità integrata. Tale modularità garantisce massima flessibilità e integrazione in tutti gli ambiti e le strutture, rendendo la soluzione adattabile alle esigenze di ogni organizzazione: dalle aziende private, indipendentemente dalle loro dimensioni, alle Pubbliche Amministrazioni o le strutture sanitarie.