FIDO2: il nuovo standard per il login sicuro sul web

La re­gi­stra­zio­ne tramite utente e password sul web per vari motivi non è più al passo coi tempi: da un lato, l’in­se­ri­men­to dei dati personali degli utenti diventa sempre più com­pli­ca­to a causa del numero crescente di servizi uti­liz­za­ti. Dall’altro, la sicurezza dei dati di accesso è sempre più a rischio a causa delle crescenti pos­si­bi­li­tà tecniche di cui di­spon­go­no i criminali in­for­ma­ti­ci. Gli attacchi brute force o anche le mail di phishing, che possono apparire innocue in un primo momento, stanno au­men­tan­do, e spesso gli utenti nemmeno si accorgono che i propri dati di login siano stati in­ter­cet­ta­ti.

Lo standard di sicurezza FIDO2 affronta questo problema af­fi­dan­do­si all’au­ten­ti­ca­zio­ne a due fattori basata sull’uso di chiavi di sicurezza (FIDO2 keys) e token hardware. Grazie all’in­te­gra­zio­ne dello standard W3C WebAuthn, questa procedura consente login criptati e anonimi, senza l’utilizzo di password. Ma come fun­zio­na­no esat­ta­men­te i token e le chiavi di FIDO2 e quali sono i requisiti per poter uti­liz­za­re questa procedura di login per le attività sul web?

FIDO2 è l’ultima specifica dell’alleanza non com­mer­cia­le FIDO (Fast Identity Online), creata con l’obiettivo di svi­lup­pa­re standard aperti e senza licenza per l’au­ten­ti­ca­zio­ne sicura sul World Wide Web in tutto il mondo. Dopo FIDO Universal Second Factor (FIDO U2F) e FIDO Universal Au­then­ti­ca­tion Framework (FIDO UAF), FIDO2 è già il terzo standard che emerge dal lavoro dell’alleanza.

Il nucleo di FIDO2 è co­sti­tui­to dal Client to Au­then­ti­ca­tor Protocol (CTAP) e dallo standard W3C WebAuthn, che insieme con­sen­to­no l’au­ten­ti­ca­zio­ne in cui gli utenti si iden­ti­fi­ca­no tramite au­ten­ti­fi­ca­to­ri crit­to­gra­fi­ci (come fattori bio­me­tri­ci o PIN) o au­ten­ti­fi­ca­to­ri esterni (come le chiavi FIDO, wearables o di­spo­si­ti­vi mobili) presso un peer remoto WebAuthn di fiducia (noto anche come server FIDO2), che ti­pi­ca­men­te ap­par­tie­ne a un sito web o a un’ap­pli­ca­zio­ne web.

FIDO2 consente sia un’au­ten­ti­ca­zio­ne a due fattori, dove i soliti user name e password per il login sono integrati da una crit­to­gra­fia con le chiavi FIDO2 e un ulteriore token FIDO2 (hardware), che un’au­ten­ti­ca­zio­ne com­ple­ta­men­te priva di password.

Entrambe le opzioni hanno in comune il vantaggio di eliminare la nota debolezza del login standard con nome utente e password, nonché le semplici au­ten­ti­ca­zio­ni a due fattori (e-mail, app mobile, SMS): im­pe­di­sco­no infatti che i criminali in­for­ma­ti­ci possano avere successo e rilevare l’account tramite schemi di attacco tipici come man in the middle o il già citato phishing. Anche se i dati di accesso dovessero essere com­pro­mes­si, l’accesso a FIDO2 ha successo solo con il ri­spet­ti­vo token hardware o chiave privata, che è legata a un hardware dedicato.

Il fatto che FIDO2 sia uno standard aperto rende a sua volta più semplice per gli svi­lup­pa­to­ri di software e hardware im­ple­men­ta­re il processo nel proprio prodotto, al fine di offrire agli utenti questa modalità di accesso molto sicura.

Il grande obiettivo che l’alleanza FIDO ha per­se­gui­to e portato avanti con i suc­ces­si­vi sviluppi di FIDO è il crescente processo di eli­mi­na­zio­ne delle password sul web. A tal fine, il percorso di co­mu­ni­ca­zio­ne sicuro tra il client (browser) e i ri­spet­ti­vi servizi web viene ini­zial­men­te impostato o re­gi­stra­to per essere di­spo­ni­bi­le in modo per­ma­nen­te per gli accessi suc­ces­si­vi. In questo contesto vengono generate e ve­ri­fi­ca­te le già men­zio­na­te chiavi FIDO2, il che ga­ran­ti­sce la crit­to­gra­fia del processo di re­gi­stra­zio­ne. La procedura è gros­so­mo­do la seguente:

1. L’utente si registra con un servizio online e genera una nuova coppia di chiavi sul di­spo­si­ti­vo uti­liz­za­to, co­sti­tui­to da una chiave privata (private key) e una chiave FIDO2 pubblica (public key).
2. Mentre la chiave privata è me­mo­riz­za­ta sul di­spo­si­ti­vo ed è nota solo al client, la chiave pubblica è re­gi­stra­ta nel database delle chiavi del servizio web.
3. Le au­ten­ti­ca­zio­ni suc­ces­si­ve ora riescono solo mediante la prova della chiave privata, che deve sempre essere sbloccata tramite un’azione compiuta dall’utente. Esistono varie opzioni come l’im­mis­sio­ne di un PIN, la pressione di un pulsante, l’im­mis­sio­ne di un comando vocale o il col­le­ga­men­to di un hardware a due fattori separato (token FIDO2). Persino alcuni sistemi operativi come Windows 10 e Android possono ora fungere anche da token di sicurezza.

La specifica FIDO2 sta­bi­li­sce tutti i com­po­nen­ti necessari per il moderno processo di au­ten­ti­ca­zio­ne.

Il primo e più volte citato è lo standard W3C WebAuthn, che consente ai servizi online di abilitare l’au­ten­ti­ca­zio­ne FIDO at­tra­ver­so un’API web standard (scritta in Ja­va­Script) che viene im­ple­men­ta­ta anche in diversi browser e sistemi operativi. Le ap­pli­ca­zio­ni che già sup­por­ta­no lo standard di­chia­ra­to nel marzo 2019 includono Windows, Android e iOS (versione 13 o suc­ces­si­va), così come i browser Google Chrome, Mozilla Firefox, Microsoft Edge e Apple Savari (a partire dalla versione 13).

Il secondo com­po­nen­te critico è il Client to Au­then­ti­ca­tor Protocol (CTAP). Questo pro­to­col­lo permette ai vari token FIDO2 di in­te­ra­gi­re con i browser e di agire anche come au­ten­ti­ca­to­ri. Sia il browser uti­liz­za­to che il token hardware de­si­de­ra­to devono quindi essere in grado di co­mu­ni­ca­re tramite CTAP per poter uti­liz­za­re questa funzione di sicurezza (compreso il login senza password).

Che le procedure di login senza password, anche ul­te­rior­men­te as­si­cu­ra­te dall’au­ten­ti­ca­zio­ne a due fattori come FIDO2, rap­pre­sen­ti­no il futuro, è un fatto che è già stato discusso nell’in­tro­du­zio­ne: rispetto al tra­di­zio­na­le login con password, offrono una su­per­fi­cie di attacco molto più limitata per i criminali in­for­ma­ti­ci. Le password possono essere scoperte con rapidità con gli strumenti giusti, mentre nel caso di FIDO2 i ma­lin­ten­zio­na­ti avrebbero bisogno del token di sicurezza hardware per ef­fet­tua­re un accesso non au­to­riz­za­to a un account utente protetto da FIDO2. Inoltre, è possibile uti­liz­za­re un token FIDO2 per diversi servizi web invece di dover creare (e ricordare!) più password.

Vi pre­sen­tia­mo uno schema rias­sun­ti­vo sui vantaggi dell’au­ten­ti­ca­zio­ne tramite FIDO2:

Sebbene il processo FIDO2 sia van­tag­gio­so sotto molti aspetti, ha anche i suoi punti deboli: at­tual­men­te ci sono solo pochi servizi web che offrono questa forma di au­ten­ti­ca­zio­ne, ma questo è un pre­re­qui­si­to fon­da­men­ta­le per il suo utilizzo. Anche quando è con­sen­ti­to l’utilizzo di FIDO2, bisogna tenere conto dei costi ag­giun­ti­vi per l’acquisto di token di sicurezza esterni. Spe­cial­men­te nelle aziende in cui ogni di­pen­den­te ha bisogno della propria chiave di sicurezza, il passaggio a FIDO2 può ra­pi­da­men­te tra­sfor­mar­si in un in­ve­sti­men­to di rilievo in termini di denaro.

Infine, il metodo di au­ten­ti­ca­zio­ne stan­dar­diz­za­to richiede un passo in più rispetto al normale login con password se è im­ple­men­ta­to come com­po­nen­te com­ple­men­ta­re in un’au­ten­ti­ca­zio­ne a due fattori. Quindi, se si accede a uno o più servizi più volte al giorno, FIDO2 potrebbe non rivelarsi la tecnica di accesso più ef­fi­cien­te o pratica.