Cos’è FIDO2
FIDO2 è uno standard di autenticazione per l’accesso sicuro ai servizi online senza password o SMS OTP. L’autenticazione ai servizi online, da mobile o da desktop, avviene usando dispositivi di uso comune, come lo smartphone, il tablet o il PC.
Mentre l’uso di password o SMS OTP sono metodi di autenticazione che si basano sulla conoscenza da parte dell’utente (della password o della OTP), lo standard di autenticazione FIDO è basato sull’uso della crittografia a chiave pubblica e su qualcosa che l’utente possiede, come il suo smartphone.
Ciò rende questo metodo di autenticazione molto più sicuro rispetto all’uso 09delle password, che invece possono subire attacchi di phishing.
FIDO Alliance
Lo standard FIDO2 è stato sviluppato dalla FIDO Alliance (dove FIDO è l’acronimo di Fast IDentity Online), un’associazione di categoria senza scopo di lucro nata per combattere la dipendenza del mondo dalle password realizzando standard di autenticazione passwordless.
FIDO Alliance raggruppa oltre 250 aziende di tecnologia, servizi finanziari ed e-commerce, tra i più noti a livello mondiale, come Google, Apple, Samsung, Amazon, Microsoft, PayPal.
Gestione delle password: perché è un problema per la sicurezza informatica
In un mondo sempre più tecnologico e connesso, sono sempre più numerosi i servizi online a cui ciascuno di noi può accedere, per esigenze lavorative o personali. Ci basta andare sul sito web del servizio che ci interessa, registrarci per creare il nostro account e il gioco è fatto.
In pochi clic e una manciata di secondi possiamo svolgere operazioni che in passato avrebbero richiesto un enorme dispendio di tempo ed energie. Ci basta solo ricordare il nome utente e la password di ogni servizio online.
Facile, no? Per niente.
La gestione delle password, infatti, è uno dei principali problemi di sicurezza informatica e riguarda tutti: cittadini, enti e organizzazioni di tipo pubblico e privato, professionisti e imprese.
Per una questione di praticità, infatti, si tende a usare la stessa password per più servizi, e quasi sempre è una password semplice e facile da ricordare. Tutto ciò a discapito della sicurezza.
Un recente studio NordPass ci dice che la password più usata al mondo è “password”, seguita da “123456”. In entrambi i casi queste due password richiedono meno di un secondo per essere decifrate da malintenzionati, che così possono avere facile accesso ai nostri profili online e ai dati che noi crediamo al sicuro.
I pericoli legati alla cattiva gestione delle password sono tanto maggiori quanto più alto è il valore dei dati che si rischiano. Per intenderci, una cosa è rischiare che qualcuno acceda al nostro profilo social, altra cosa è rischiare un’intrusione nei sistemi aziendali.
Un rischio, questo, tutt’altro che ipotetico, visto che è stato calcolato che oltre l’80% dei furti di dati a livello aziendale è provocato dal furto o dalla compromissione di credenziali.
Come funziona FIDO2
Finora FIDO Alliance ha pubblicato tre serie di specifiche: FIDO Universal Second Factor (FIDO U2F), FIDO Universal Authentication Framework (FIDO UAF) e Client to Authenticator Protocols (CTAP).
FIDO2 nasce da una collaborazione tra FIDO Alliance e il World Wide Web Consortium, in quanto unisce le specifiche CTAP alle specifiche Web Authentication (WebAuthn) messe a punto dal W3C.
Il protocollo prevede due momenti: la registrazione una tantum a un servizio online e la successiva autenticazione senza password al servizio, ogni volta che ne abbiamo bisogno.
Registrazione
Durante la registrazione a un servizio online che ha implementato il protocollo FIDO2, il dispositivo usato dall’utente per registrarsi al servizio crea una coppia di chiavi crittografiche, una pubblica e una privata, univoca per il dispositivo dell’utente, per il servizio online a cui si è registrato e per il suo account creato per tale servizio.
Delle due chiavi crittografiche, la chiave pubblica viene inviata al servizio online e associata all’account dell’utente, mentre la chiave privata viene conservata sul dispositivo dell’utente, usato in fase di registrazione.
Autenticazione
Nella fase di autenticazione, l’accesso al servizio online può avvenire soltanto con il dispositivo usato dall’utente in fase di registrazione, perché soltanto su questo dispositivo è presente la chiave privata che fa coppia con la relativa chiave pubblica e che sul server del servizio online è associata al suo profilo.
Per dimostrare di essere in possesso della chiave privata, l’utente è chiamato a compiere sul suo dispositivo un’azione semplice e sicura, come strisciare un dito, inserire un PIN, parlare in un microfono, premere un pulsante o inserire un dispositivo di secondo fattore come un dispositivo USB.
Quali sono i vantaggi di FIDO2
L’uso di un sistema di autenticazione FIDO2 produce diversi benefici, sia per l’utente che per i fornitori di servizi online che lo implementano. Benefici in termini di sicurezza, semplicità d’uso, privacy e scalabilità.
Sicurezza
L’autenticazione FIDO2 elimina innanzitutto l’uso delle password e quindi elimina alla radice il rischio che queste possano essere rubate o intercettate, mettendo a rischio la sicurezza dei nostri dati.
Inoltre, l’uso di coppie di chiavi crittografiche univoche per ogni dispositivo/servizio/account utente, con la chiave privata che non esce mai dal dispositivo dell’utente e non viene mai inviata e memorizzata su un server esterno, rende questo metodo di autenticazione sicuro e a prova di hacker.
Semplicità
Per autenticarsi senza password sui vari servizi online gli utenti usano semplicemente il loro dispositivo scelto in fase di registrazione. Può trattarsi dello smartphone, di una security key USB o anche di un lettore di impronte digitali o di una fotocamera, quindi di componenti già presenti sul proprio device, che possono essere usati anche per un’autenticazione multi-fattore.
Privacy
Avere chiavi crittografiche univoche per ogni servizio online significa che queste credenziali non possono essere usate per tracciare l’utente nei suoi spostamenti tra i vari siti web. Inoltre, i dati biometrici eventualmente usati per autenticarsi non lasciano mai il dispositivo dell’utente e, quindi, non sono mai esposti a terzi.
Scalabilità
I siti web possono abilitare l’autenticazione FIDO2 ai loro servizi online tramite API JavaScript. Questo rende il sistema compatibile con i principali browser e piattaforme e accessibile a qualsiasi numero di utenti.
SafeAccess, la soluzione aziendale di Namirial per l’autenticazione passwordless
Nella battaglia per ridurre la dipendenza dalle password e i rischi connessi, un valido contributo per le aziende arriva da Namirial SafeAccess, piattaforma di autenticazione passwordless di Namirial, basata su standard FIDO2 e sulla PKI (Public Key Infrastructure).
Namirial SafeAccess semplifica la gestione delle credenziali e garantisce l’accesso sicuro alla postazione Pc e agli applicativi aziendali, risolvendo i problemi di sicurezza legati alle password e riducendo i tempi e i costi di manutenzione dei sistemi informatici. La suite, inoltre, traccia i log degli utenti e rileva eventuali minacce.
Namirial SafeAccess è composta da cinque diversi componenti, implementabili singolarmente o in modalità integrata. Tale modularità garantisce massima flessibilità e integrazione in tutti gli ambiti e le strutture, rendendo la soluzione adattabile alle esigenze di ogni organizzazione: dalle aziende private, indipendentemente dalle loro dimensioni, alle Pubbliche Amministrazioni o le strutture sanitarie.