Per decenni abbiamo uti­liz­za­to il classico sistema di sicurezza con la com­bi­na­zio­ne di password e nome utente. Se si desidera ef­fet­tua­re il login da qualche parte in Internet, in­di­pen­den­te­men­te che si tratti di una piat­ta­for­ma social o di un negozio online, si inserisce il nome del proprio account e quindi una password segreta. Ma nel frattempo si è scoperto che questa tec­no­lo­gia non è così perfetta come si supponeva da molto tempo: gli utenti spesso scelgono password troppo facili, usano le stesse password per molti account e si rendono così vul­ne­ra­bi­li agli attacchi. Per questo motivo la FIDO Alliance ha unito le forze con il World Wide Web Con­sor­tium (W3C) per svi­lup­pa­re un sistema che sia più sicuro e più comodo della vecchia pro­te­zio­ne con password.

Il risultato di questa col­la­bo­ra­zio­ne sono gli standard FIDO2 e WebAuthn. Un altro mec­ca­ni­smo che viene spesso nominato in cor­re­la­zio­ne con la nuova pro­te­zio­ne online è il Client to Au­then­ti­ca­tor Protocol (CTAP). Ma che cosa si nasconde esat­ta­men­te dietro questo concetto?

Cos'è il CTAP?

FIDO2 e WebAuthn hanno lo scopo di so­sti­tui­re la classica password. I dati bio­me­tri­ci come le impronte digitali do­vreb­be­ro invece pro­teg­ge­re gli account online. Ma anche un token, per esempio sotto forma di chiavetta USB , può essere usato per l'au­ten­ti­ca­zio­ne. Questi di­spo­si­ti­vi sono chiamati au­ten­ti­ca­to­ri nel­l'am­bi­to dello standard FIDO. La co­mu­ni­ca­zio­ne tra questo token e il sistema del­l'u­ten­te è con­trol­la­ta dal CTAP. Il pro­to­col­lo determina quindi il modo in cui i due com­po­nen­ti devono co­mu­ni­ca­re tra loro al fine di ottenere l'au­ten­ti­ca­zio­ne e per­met­te­re il login sul web.

Il pro­to­col­lo CTAP è di­spo­ni­bi­le in due diverse versioni. La prima versione del pro­to­col­lo era nota anche come Universal 2nd Factor (U2F) e si riferiva prin­ci­pal­men­te all'au­ten­ti­ca­zio­ne a due fattori. CTAP2 è usato per l'in­no­va­zio­ne ri­guar­dan­te lo standard FIDO2. Il nuovo pro­to­col­lo in com­bi­na­zio­ne con WebAuthn assicura il fun­zio­na­men­to di FIDO2. WebAuthn regola il col­le­ga­men­to tra il sistema del­l'u­ten­te e il sito web sul quale la persona deve iden­ti­fi­car­si. Il pro­to­col­lo CTAP, invece, regola il col­le­ga­men­to tra l'au­ten­ti­ca­to­re (au­then­ti­ca­tor) e il PC o il portatile o il browser del­l'u­ten­te sulla piat­ta­for­ma, in quanto que­st'ul­ti­mo è re­spon­sa­bi­le del­l'au­ten­ti­ca­zio­ne.

Fun­zio­na­men­to del Client to Au­then­ti­ca­tor Protocol

Immagine: Rappresentazione schematica del protocollo CTAP
WebAuthn e CTAP col­la­bo­ra­no per con­sen­ti­re il fun­zio­na­men­to dello standard FIDO2.

Per garantire che solo le persone au­to­riz­za­te possano accedere a un account online, ci deve essere una qualche forma di au­ten­ti­ca­zio­ne. Con FIDO2 deve essere uti­liz­za­to a tale scopo un di­spo­si­ti­vo ag­giun­ti­vo, con il quale ci si può iden­ti­fi­ca­re come utente di una piat­ta­for­ma online. Questi token do­vreb­be­ro so­sti­tui­re le password poco pratiche e in parte meno sicure. È previsto che l'au­ten­ti­ca­to­re si colleghi al di­spo­si­ti­vo sul quale l'utente sta navigando via USB, NFC o Bluetooth. Affinché CTAP, WebAuthn e FIDO2 possano fun­zio­na­re, il browser uti­liz­za­to deve sup­por­ta­re anche i nuovi standard. Tuttavia, le attuali versioni dei leader di mercato hanno già im­ple­men­ta­to FIDO2.

N.B.

Ci sono anche altre forme di au­ten­ti­ca­to­ri, integrati di­ret­ta­men­te nel PC, nel computer portatile o nello smart­pho­ne. Si tratta prin­ci­pal­men­te di strumenti per l'ac­qui­si­zio­ne di FaceID o TouchID, cioè scanner di impronte digitali o fo­to­ca­me­re con ri­co­no­sci­men­to facciale. Poiché questo hardware non è esterno, i com­po­nen­ti hardware non ri­chie­do­no un pro­to­col­lo di co­mu­ni­ca­zio­ne separato.

La co­mu­ni­ca­zio­ne tramite CTAP segue uno schema specifico. In primo luogo, il browser (o un altro software re­spon­sa­bi­le) si collega al­l'au­ten­ti­ca­to­re e gli richiede le in­for­ma­zio­ni. Il sistema determina quale opzione di au­ten­ti­ca­zio­ne offre il di­spo­si­ti­vo esterno. Sulla base di queste in­for­ma­zio­ni, il sistema può quindi inviare un comando al­l'au­ten­ti­ca­to­re, che invia quindi una risposta o un messaggio di errore se il comando non cor­ri­spon­de alle opzioni presenti nel di­spo­si­ti­vo.

Con questo metodo, i dati di au­ten­ti­ca­zio­ne, ad esempio l'im­pron­ta digitale, non lasciano mai l'area di accesso del­l'u­ten­te. I dati sensibili rimangono nel sistema. Il browser invia tramite WebAuthn solo la conferma che l'accesso è legale. Questa tra­smis­sio­ne funziona a propria volta at­tra­ver­so una procedura a chiave pubblica. Non sono quindi possibili attacchi man in the middle. Anche gli attacchi di phishing diventano inutili con CTAP, WebAuthn e FIDO2: se gli utenti non devono più fornire password e nomi utente, non possono essere neanche vittime di tentativi di frode.

N.B.

Un au­ten­ti­ca­to­re può essere im­ple­men­ta­to come chiave di sicurezza FIDO2. Si tratta di una piccola chiavetta USB che funziona come una chiave. Pos­se­den­do la chiave di sicurezza, l'utente dimostra di avere il permesso di accesso al­l'ac­count online. In questo caso, la chiave e il sistema co­mu­ni­ca­no anche tra loro tramite il pro­to­col­lo Client to Au­then­ti­ca­tor.

Vai al menu prin­ci­pa­le