WebAuthn (Web Au­then­ti­ca­tion)

Se siete utenti abituali di Internet pro­ba­bil­men­te avrete in­nu­me­re­vo­li password e username. Social media, e-commerce e account di posta elet­tro­ni­ca: per qualsiasi cosa servono dati di accesso. In futuro navigare sul web potrebbe però diventare molto più comodo, o almeno così sostiene il World Wide Web Con­sor­tium (W3C). Il nuovo standard WebAuthn dovrebbe rendere non più ne­ces­sa­ria la me­mo­riz­za­zio­ne delle password, senza mettere a rischio dati sensibili.

Finora l'unico modo per con­fer­ma­re la propria identità su Internet è stata la com­bi­na­zio­ne di nome utente e password. At­tra­ver­so il nome utente (o in alcuni casi l'in­di­riz­zo e-mail), un utente specifica a quale account accedere. Una password che solo lui conosce conferma la sua identità.

Tuttavia tale procedura si rivela spesso ina­de­gua­ta. Per le proprie password, gli utenti tendono a preferire com­bi­na­zio­ni di caratteri facili da ricordare, che possono essere ra­pi­da­men­te decifrate, o per comodità usano la stessa password per tutti gli account. Per con­tra­sta­re questo fenomeno sono stati in­tro­dot­ti password manager e l’au­ten­ti­ca­zio­ne a due fattori. Ma anche queste misure risultano spesso poco pratiche per gli utenti.

Il World Wide Web Con­sor­tium (un'as­so­cia­zio­ne di aziende in­for­ma­ti­che che pubblica re­go­lar­men­te standard per il web) ha ri­co­no­sciu­to il problema e ha cercato una soluzione. Con la col­la­bo­ra­zio­ne di FIDO Alliance (una coo­pe­ra­zio­ne di diverse aziende per l’uni­for­ma­zio­ne delle misure di au­ten­ti­ca­zio­ne) sono state svi­lup­pa­te diverse misure nell’ambito del progetto FIDO2: oltre al FIDO Client-to-Au­then­ti­ca­tor-Protocol (CTAP) si tratta so­prat­tut­to del nuovo standard WebAuthn.

Il Web Au­then­ti­ca­tor vuole essere un'op­zio­ne di au­ten­ti­ca­zio­ne uniforme che non si basa più su password ma su dati bio­me­tri­ci. Lo standard prevede quindi che gli utenti possano accedere ai propri account uti­liz­zan­do le impronte digitali o il ri­co­no­sci­men­to facciale. Al giorno d’oggi sono molti i di­spo­si­ti­vi (so­prat­tut­to smart­pho­ne e laptop) dotati hardware e software in grado di leggere questi dati, di facile utilizzo anche per gli utenti. In al­ter­na­ti­va, esiste anche la pos­si­bi­li­tà di ef­fet­tua­re l’iden­ti­fi­ca­zio­ne at­tra­ver­so un token hardware. Vista la natura fisica e personale di questi dati d’accesso, è im­pos­si­bi­le di­men­ti­car­li o tra­smet­ter­li in­vo­lon­ta­ria­men­te: proprio per questo WebAuthn potrebbe po­ten­zial­men­te risolvere una volta per tutte il problema del phishing.

In futuro WebAuthn fun­zio­ne­rà su tutti i browser. Chrome, Firefox, (in parte) Safari ed Edge lo sup­por­ta­no già. I siti web che ve­ri­fi­ca­no l'i­den­ti­tà dei propri utenti tramite login accedono all'API di au­ten­ti­ca­zio­ne web del browser. L’utente a sua volta conferma la propria identità solo sul proprio di­spo­si­ti­vo, ad esempio usando uno scanner di impronte digitali o col­le­gan­do il proprio token a un computer portatile o a un PC. In questo modo i dati sensibili relativi all’identità dell’utente (ad es. l'im­pron­ta digitale) non lasciano il di­spo­si­ti­vo. Tramite una procedura di public key (chiave pubblica) viene inviata una conferma del browser al servizio web e l'utente non deve inserire né password né nome utente.

L'in­ter­fac­cia si apre tramite Ja­va­Script. Questo facilita no­te­vol­men­te l’im­ple­men­ta­zio­ne dell’au­ten­ti­ca­zio­ne web agli operatori dei siti web e ga­ran­ti­sce una rapida dif­fu­sio­ne dello standard. Se il servizio web desidera impostare misure di sicurezza ancora maggiori, è anche possibile ri­chie­de­re con­tem­po­ra­nea­men­te una WebAuthn e un’au­ten­ti­ca­zio­ne Mul­ti­fat­to­re MFA (Multi Factor Au­ten­ti­ca­tion), oltre che la classica password.

Inoltre, poiché gli utenti non sono più re­spon­sa­bi­li della creazione di password e nomi utente, non vi è il rischio che gli stessi dati vengano uti­liz­za­ti per account diversi. Lo standard assicura che dati di accesso univoci siano di­spo­ni­bi­li per ogni account di ciascun utente. È suf­fi­cien­te re­gi­stra­re l'au­ten­ti­ca­to­re (impronte digitali, token, ecc.) una sola volta con il servizio web ed ef­fet­tua­re così co­mo­da­men­te il login.

A dif­fe­ren­za delle classiche misure di sicurezza basate su password, WebAuthn offre diversi vantaggi sia per gli utenti che per i servizi web. Per prima cosa a con­vin­ce­re gli utenti dovrebbe bastare il comfort che offre: grazie a WebAuthn non c'è più bisogno di me­mo­riz­za­re le in­for­ma­zio­ni riguardo ai dati di accesso. A ciò si ac­com­pa­gna anche un grande guadagno in termini di sicurezza. Le password infatti possono essere violate at­tra­ver­so attacchi Brute Force o Rainbow Tables, oppure tramite phishing. Con WebAuthn invece il problema non sussiste, dato che le password non sono ne­ces­sa­rie.

Poiché il nuovo standard non trasmette dati iden­ti­fi­ca­ti­vi tramite Internet, anche un attacco man-in-the-middle, che prevede l’in­ter­cet­ta­zio­ne dei dati durante la tra­smis­sio­ne, ri­sul­te­reb­be inutile. Inoltre, anche la tra­smis­sio­ne del cer­ti­fi­ca­to di au­ten­ti­ci­tà è crit­to­gra­fi­ca­men­te protetta da chiave pubblica.

Il fatto che tutti i dati sensibili rimangano nel di­spo­si­ti­vo del­l'u­ten­te è un vantaggio anche per gli operatori dei siti web. I servizi che ri­chie­do­no la re­gi­stra­zio­ne devono at­tual­men­te investire molte energie e com­pe­ten­ze per pro­teg­ge­re le password e i nomi degli utenti. Sarebbe un grosso problema se i criminali riu­scis­se­ro a penetrare nelle banche dati del provider. Le aziende che non sono in grado di evitare un simile attacco subiscono gravi con­se­guen­ze e gli utenti coinvolti devono fare i conti con un si­gni­fi­ca­ti­vo uso improprio dei propri dati, so­prat­tut­to se uti­liz­za­no le stesse cre­den­zia­li anche su altre piat­ta­for­me.

In aggiunta a ciò, WebAuthn è con­si­de­ra­to più sicuro dell'au­ten­ti­ca­zio­ne a due fattori. Anche se l’iden­ti­fi­ca­zio­ne ag­giun­ti­va richiesta al momento del login tramite MFA offre una pro­te­zio­ne ulteriore, anche questa procedura non è comunque del tutto priva di rischi. Alcune funzioni di au­ten­ti­ca­zio­ne, come un codice di sicurezza inviato via SMS, possono essere in­ter­cet­ta­te con relativa facilità. Queste password a breve termine sono diventate obiettivi popolari per gli attacchi di phishing. Senza contare che la MFA è una procedura re­la­ti­va­men­te lunga, mentre WebAuthn funziona più ve­lo­ce­men­te ed è più facile da usare.

Tuttavia WebAuthn comporta anche degli svantaggi, ad esempio quando un nuovo au­ten­ti­ca­to­re deve essere re­gi­stra­to per un conto esistente. Per esempio, se il token hardware viene perso, ne serve uno nuovo. Questo nuovo token non può però essere subito collegato al profilo esistente, poiché ciò co­sti­tui­reb­be un rischio troppo grande per la sicurezza. A tal proposito l’ideale sarebbe disporre di un au­ten­ti­ca­to­re so­sti­tu­ti­vo destinato esat­ta­men­te a questo uso; in al­ter­na­ti­va è ne­ces­sa­rio ef­fet­tua­re un reset. Que­st'ul­ti­ma procedura è simile alla reim­po­sta­zio­ne di una password ed è par­ti­co­lar­men­te adatta per servizi che non ri­chie­do­no un elevato standard di sicurezza.