FIDO2 - Login Sicuri Senza Password
L'utente medio di Internet ha circa 150 account, che sia per l'online banking, i social network o la posta elettronica. Ed ecco un'altra statistica per te: un enorme 81% di tutti i furti di dati segnalati può essere ricondotto ad una password compromessa o rubata. FIDO2 promette un'autenticazione più sicura e veloce, il tutto senza password. Di seguito, ti spiegheremo come funziona FIDO2 e quali vantaggi ha.
Cos'è FIDO2?
FIDO2 è un metodo di autenticazione senza password lanciato da FIDO Alliance e World Wide Web Consortiums (W3C), per dispositivi mobili e browser, con l'acronimo "FIDO" che sta per Fast Identity Online. Il metodo consente di identificare gli utenti con l'ausilio di hardware verificato, eliminando la necessità di inserire una password.
Nel 2012, PayPal, Lenovo, Infineon, Nok Nok Labs, Validity Sensors e Agnitio hanno fondato la FIDO Alliance per promuovere l'identificazione online senza password. A queste società si unirono in seguito altre, come Microsoft, Google e Samsung. La seconda versione dello standard FIDO (FIDO2) è stata rilasciata nel 2018. I suoi fondatori desiderano che l'algoritmo rimanga aperto e non proprietario, consentendone l'utilizzo su larga scala.
Un numero significativo di app e sistemi operativi utilizza già FIDO2, senza che i loro utenti ne sappiano nulla. Un esempio è il servizio di accesso Hello su Microsoft Windows, che richiede solo l'inserimento di un codice numerico. Il PIN corretto viene salvato localmente sul computer e non può essere dissociato da esso. Se i criminali informatici dovessero decifrare il codice, non servirà a niente senza il computer stesso.
Le principali caratteristiche di FIDO2 sono:
Autenticazione con chiavi hardware esterne o integrate invece dei moduli password online;
Autenticazione a due fattori;
Crittografia a chiave pubblica/privata asimmetrica;
Autenticatore archiviato localmente
Una panoramica di come funziona FIDO2.
Chiavi Hardware
Invece di inserire una password, gli utenti di FIDO2 si autenticano tramite un dispositivo attendibile, denominato in termini tecnici autenticatore. La connessione tra l'autenticatore e il browser può essere stabilita tramite Bluetooth, USB o NFC e include:
Chiavette USB come quelle di Yubico o SecureClick. Questi sono noti come stick FIDO2 o token FIDO2.
Smart card come la scheda acustica WEGA 3DSA 2.0.
Chip Trusted Platform Module (TPM) già integrati nella maggior parte degli smartphone, laptop e PC.
Smartphone o laptop: con questi, un'app consente di verificare un'impronta digitale o un PIN.
Autenticazione a due fattori
Sempre più app hanno iniziato ad utilizzare l'autenticazione a due o più fattori. Gli utenti devono accedere con il proprio nome utente e password, dopodiché verrà loro richiesto di inserire un codice aggiuntivo, spesso inviato tramite SMS. Questo metodo è molto sicuro, tuttavia può essere anche una seccatura. Se non hai una connessione di rete forte, potresti non ricevere l'SMS e non sarai in grado di accedere.
L'autenticazione a due fattori di FIDO2 si basa su due componenti indipendenti per riconoscere un utente, ma non sarà necessario un secondo dispositivo, poiché è gestita dall'hardware di FIDO. Invece, tutto ciò che serve è l'autenticatore ed una connessione a Internet. Alcune opzioni includono:
Una soluzione completa e senza password, ad esempio tramite l'utilizzo di una smart card o di un chip TPM, insieme a dati biometrici o un PIN.
Un nome utente/password insieme a un token. In questo caso, FIDO2 migliora la sicurezza dei processi di accesso standard basati su password.
Crittografia a chiavi asimmetriche pubbliche/private
I metodi di autenticazione tradizionali basati su password sono simmetrici, il che significa che i loro utenti, così come il sito Web o il servizio a cui tentano di accedere, conoscono la password. Qualora la password immessa dall'utente corrisponda a quella registrata dal sito web, l'utente sarà legittimato. Questo metodo presenta tuttavia una grave lacuna, in quanto una terza parte può hackerare il server in cui il sito web memorizza la password, rubarla e immetterla allo stesso modo dell'utente autentico.
Al contrario, FIDO2 utilizza una crittografia asimmetrica a chiave pubblica/privata, che si basa su un'unica coppia di chiavi. La chiave pubblica è (come suggerisce il nome) accessibile pubblicamente (cioè archiviata altrove oltre al computer o dispositivo dell'utente), mentre la chiave privata è conservata localmente, essendo memorizzata solo sul dispositivo in questione. Ad ogni scambio, il mittente crittografa i dati che vengono inviati utilizzando la chiave pubblica e, per decrittarli, il destinatario ha bisogno della chiave privata. Ciò rende impossibile l'accesso ai dati solo con la chiave pubblica.
Come funziona FIDO2?
FIDO2 utilizza il Client to Protocol (CTAP) di FIDO Alliance e il WebAuthn-API di W3C. Un'integrazione CTAP facilita la creazione di connessioni tra browser e piattaforme tramite dispositivi compatibili (USB, NFC o Bluetooth). Quando l'applicazione (browser o app) si connette all'autenticatore, invia un comando. L'autenticatore risponde con i dati richiesti o con un errore.
Il protocollo WebAuthn, invece, rende possibile l'autenticazione definendo il processo con cui le web app possono integrare la crittografia a chiave pubblica/privata in un browser. Ciò si verifica quando comunicano tramite protocollo CTAP con l'autenticatore (modulo TPM o chiavetta USB).
La comunicazione tra il server web e l'utente finale avviene in più fasi:
- 1.
Gli utenti si registrano su un sito Web, fornendo il proprio indirizzo e-mail e un PIN o un'impronta digitale.
- 2.
La chiavetta USB o il modulo TPM crea una chiave privata e una pubblica per il sito web.
- 3.
L'applicazione Web salva la chiave pubblica, mentre la chiave privata viene archiviata solo localmente.
- 4.
Al successivo accesso, l'applicazione web invierà una cosiddetta "richiesta di sfida" al dispositivo.
- 5.
L'utente sblocca l'autenticatore con la propria impronta digitale o tramite PIN. Poiché questo passaggio è volontario con la maggior parte degli autenticatori, è possibile configurare una chiavetta USB per sbloccare l'autenticatore semplicemente inserendola in un laptop o in un computer. Naturalmente, in questo caso, la sicurezza è ridotta.
- 6.
Qualora i dati trasmessi dovessero risultare corretti, l'autenticatore assegnerà una firma digitale alla chiave privata memorizzata localmente.
- 7.
Il browser invia quindi la firma digitale all'applicazione Web.
- 8.
Una volta che la firma è stata verificata con successo, l'utente finale verrà autenticato.
Il processo di accesso FIDO2.
Come posso usare FIDO2?
Per far sì che la verifica funzioni, è necessario un browser che supporti lo standard FIDO2. Inoltre, anche il servizio web o l'app con cui intendi utilizzare FIDO2 devono essere compatibili con la struttura. Alcuni esempi di questi includono tutti i servizi Microsoft (Outlook, OneDrive, Office, ecc.) nonché una serie di piattaforme, come Twitter, GitHub e Dropbox.
Al primo accesso sarà necessario registrarsi. Qui è possibile selezionare il metodo di autenticazione. Prendendo Windows Hello come esempio, i primi passi saranno i seguenti:
Vai su Home > Impostazioni > Account > Opzioni di accesso.
Fai clic su Gestisci e seleziona l'autenticatore, scegliendo tra Riconoscimento facciale, Riconoscimento dell'impronta digitala e PIN.
Per aggiungere una chiave di sicurezza ulteriore, accedi al tuo account Microsoft. Vai su Sicurezza > Opzioni di sicurezza aggiuntive.
Scegli Aggiungi un nuovo metodo di accesso o di verifica.
Fai clic su Usa una chiave di sicurezza e seleziona il tipo di chiave (USB o NFC). Poi, fai clic su Avanti.
Inserisci la tua chiave (ovvero la tua chiavetta USB).
Crea un PIN o digita il PIN che hai già creato.
Se necessario, tocca la chiavetta USB. Questa misura di sicurezza verifica che una persona fisica sia effettivamente seduta al PC o al laptop.
Assegna un nome alla tua chiave di sicurezza per identificarla.
Accedi a Windows Hello con la chiave di sicurezza.
Quanto è sicuro FIDO2?
La crittografia a chiave pubblica/privata è considerata altamente sicura poiché è quasi impossibile indovinare la chiave privata. Ciò ha l'ulteriore vantaggio di rendere FIDO2 più affidabile rispetto ai tradizionali processi di autenticazione basati su password, dei quali gli hacker possono facilmente indovinare password deboli.
Oltre a ciò, FIDO2 offre anche alcuni altri vantaggi:
Credenziali di accesso univoche per ogni sito web.
La chiave privata viene salvata solo localmente sul tuo dispositivo e non su un server web, neutralizzando così i pericoli del phishing o della fuga di dati.
I dati di accesso non possono essere estrapolati tracciando il comportamento degli utenti online, poiché ogni coppia di chiavi è unica per ogni sito web.
A differenza degli accessi basati su password, è possibile per lo stesso utente impostare e salvare più coppie di chiavi. In questo modo si può effettuare il login anche in caso di smarrimento delle chiavi.
Tuttavia, anche FIDO2 non offre sicurezza al 100%. Se qualcuno dovesse rubare fisicamente la tua chiavetta FIDO2 e il dispositivo associato, potrà accedere senza problemi. Questo è più facile da prevenire rispetto al furto digitale, poiché la maggior parte delle persone è più consapevole dei propri beni fisici rispetto a quelli digitali.
Se un utente perde il proprio autenticatore, di solito può recuperare il proprio account con un codice di backup o una seconda chiave preregistrata. Naturalmente, questo varia da un'applicazione all'altra. I siti Web che gestiscono i dati di pagamento in genere hanno standard di sicurezza più elevati rispetto, ad esempio, ai social network.
Quali siti supporta FIDO2?
Per completare il processo di autenticazione FIDO2, i servizi online devono disporre dell'API Web WebAuthn. Sia Windows 10 che Android (a partire dalla versione 7.0) la supportano, così come i seguenti browser:
Google Chrome
Mozilla Firefox
Microsoft Edge
Apple Safari
Anche numerosi siti Web e app popolari hanno implementato il supporto per l'autenticazione senza password con FIDO2. Questi includono:
Dropbox
Google Drive
OneDrive
PCloud
Google Wallet
YouTube
Gmail
Conclusioni
Lo standard FIDO2 offre un modo sicuro e relativamente semplice per utilizzare app e servizi Web senza password. Grazie alla sua crittografia asimmetrica, la chiave privata rimane locale, fornendo una protezione estremamente solida contro i ladri di password.
Quasi tutti i browser e i sistemi operativi di uso comune, oltre a numerose app Web, supportano FIDO2. Per iniziare, i potenziali utenti necessitano solo di un chip TPM, una chiavetta FIDO2 esterna, una smart card o qualsiasi altro software che possa fungere da autenticatore. In termini di metodo di autenticazione, possono essere utilizzati sia i PIN che i dati biometrici. Nel complesso, FIDO2 è un'alternativa potente e sicura agli accessi basati su password e particolarmente interessante per gli utenti Internet che sono stanchi di dover ricordare le proprie password.
Se preferisci tenere traccia delle tue password esistenti in un unico posto e non sei ancora pronto per effettuare il passaggio a FIDO2, ti consigliamo di scoprire ed usare il migliore password manager del momento per assicurarti che quelle che usi siano il più possibile sicure.