WebAuthn (Web Authentication)

Se siete utenti abituali di Internet probabilmente avrete innumerevoli password e username. Social media, e-commerce e account di posta elettronica: per qualsiasi cosa servono dati di accesso. In futuro navigare sul web potrebbe però diventare molto più comodo, o almeno così sostiene il World Wide Web Consortium (W3C). Il nuovo standard WebAuthn dovrebbe rendere non più necessaria la memorizzazione delle password, senza mettere a rischio dati sensibili.

Finora l'unico modo per confermare la propria identità su Internet è stata la combinazione di nome utente e password. Attraverso il nome utente (o in alcuni casi l'indirizzo e-mail), un utente specifica a quale account accedere. Una password che solo lui conosce conferma la sua identità.

Tuttavia tale procedura si rivela spesso inadeguata. Per le proprie password, gli utenti tendono a preferire combinazioni di caratteri facili da ricordare, che possono essere rapidamente decifrate, o per comodità usano la stessa password per tutti gli account. Per contrastare questo fenomeno sono stati introdotti password manager e l’autenticazione a due fattori. Ma anche queste misure risultano spesso poco pratiche per gli utenti.

Il World Wide Web Consortium (un'associazione di aziende informatiche che pubblica regolarmente standard per il web) ha riconosciuto il problema e ha cercato una soluzione. Con la collaborazione di FIDO Alliance (una cooperazione di diverse aziende per l’uniformazione delle misure di autenticazione) sono state sviluppate diverse misure nell’ambito del progetto FIDO2: oltre al FIDO Client-to-Authenticator-Protocol (CTAP) si tratta soprattutto del nuovo standard WebAuthn.

Il Web Authenticator vuole essere un'opzione di autenticazione uniforme che non si basa più su password ma su dati biometrici. Lo standard prevede quindi che gli utenti possano accedere ai propri account utilizzando le impronte digitali o il riconoscimento facciale. Al giorno d’oggi sono molti i dispositivi (soprattutto smartphone e laptop) dotati hardware e software in grado di leggere questi dati, di facile utilizzo anche per gli utenti. In alternativa, esiste anche la possibilità di effettuare l’identificazione attraverso un token hardware. Vista la natura fisica e personale di questi dati d’accesso, è impossibile dimenticarli o trasmetterli involontariamente: proprio per questo WebAuthn potrebbe potenzialmente risolvere una volta per tutte il problema del phishing.

In futuro WebAuthn funzionerà su tutti i browser. Chrome, Firefox, (in parte) Safari ed Edge lo supportano già. I siti web che verificano l'identità dei propri utenti tramite login accedono all'API di autenticazione web del browser. L’utente a sua volta conferma la propria identità solo sul proprio dispositivo, ad esempio usando uno scanner di impronte digitali o collegando il proprio token a un computer portatile o a un PC. In questo modo i dati sensibili relativi all’identità dell’utente (ad es. l'impronta digitale) non lasciano il dispositivo. Tramite una procedura di public key (chiave pubblica) viene inviata una conferma del browser al servizio web e l'utente non deve inserire né password né nome utente.

L'interfaccia si apre tramite JavaScript. Questo facilita notevolmente l’implementazione dell’autenticazione web agli operatori dei siti web e garantisce una rapida diffusione dello standard. Se il servizio web desidera impostare misure di sicurezza ancora maggiori, è anche possibile richiedere contemporaneamente una WebAuthn e un’autenticazione Multifattore MFA (Multi Factor Autentication), oltre che la classica password.

Inoltre, poiché gli utenti non sono più responsabili della creazione di password e nomi utente, non vi è il rischio che gli stessi dati vengano utilizzati per account diversi. Lo standard assicura che dati di accesso univoci siano disponibili per ogni account di ciascun utente. È sufficiente registrare l'autenticatore (impronte digitali, token, ecc.) una sola volta con il servizio web ed effettuare così comodamente il login.

A differenza delle classiche misure di sicurezza basate su password, WebAuthn offre diversi vantaggi sia per gli utenti che per i servizi web. Per prima cosa a convincere gli utenti dovrebbe bastare il comfort che offre: grazie a WebAuthn non c'è più bisogno di memorizzare le informazioni riguardo ai dati di accesso. A ciò si accompagna anche un grande guadagno in termini di sicurezza. Le password infatti possono essere violate attraverso attacchi Brute Force o Rainbow Tables, oppure tramite phishing. Con WebAuthn invece il problema non sussiste, dato che le password non sono necessarie.

Poiché il nuovo standard non trasmette dati identificativi tramite Internet, anche un attacco man-in-the-middle, che prevede l’intercettazione dei dati durante la trasmissione, risulterebbe inutile. Inoltre, anche la trasmissione del certificato di autenticità è crittograficamente protetta da chiave pubblica.

Il fatto che tutti i dati sensibili rimangano nel dispositivo dell'utente è un vantaggio anche per gli operatori dei siti web. I servizi che richiedono la registrazione devono attualmente investire molte energie e competenze per proteggere le password e i nomi degli utenti. Sarebbe un grosso problema se i criminali riuscissero a penetrare nelle banche dati del provider. Le aziende che non sono in grado di evitare un simile attacco subiscono gravi conseguenze e gli utenti coinvolti devono fare i conti con un significativo uso improprio dei propri dati, soprattutto se utilizzano le stesse credenziali anche su altre piattaforme.

In aggiunta a ciò, WebAuthn è considerato più sicuro dell'autenticazione a due fattori. Anche se l’identificazione aggiuntiva richiesta al momento del login tramite MFA offre una protezione ulteriore, anche questa procedura non è comunque del tutto priva di rischi. Alcune funzioni di autenticazione, come un codice di sicurezza inviato via SMS, possono essere intercettate con relativa facilità. Queste password a breve termine sono diventate obiettivi popolari per gli attacchi di phishing. Senza contare che la MFA è una procedura relativamente lunga, mentre WebAuthn funziona più velocemente ed è più facile da usare.

Tuttavia WebAuthn comporta anche degli svantaggi, ad esempio quando un nuovo autenticatore deve essere registrato per un conto esistente. Per esempio, se il token hardware viene perso, ne serve uno nuovo. Questo nuovo token non può però essere subito collegato al profilo esistente, poiché ciò costituirebbe un rischio troppo grande per la sicurezza. A tal proposito l’ideale sarebbe disporre di un autenticatore sostitutivo destinato esattamente a questo uso; in alternativa è necessario effettuare un reset. Quest'ultima procedura è simile alla reimpostazione di una password ed è particolarmente adatta per servizi che non richiedono un elevato standard di sicurezza.