I sistemi di autenticazione non saranno più gli stessi

security-password

Di Sarah Van de Vyver, Product Marketing Manager di OneSpan

Recentemente, la FIDO Alliance (Fast Identity Online), consorzio industriale che sviluppa standard per procedure di autenticazione più semplici e sicure, ha annunciato la disponibilità del suo protocollo FIDO2. Di cosa si tratta e che impatto ha sulle tradizionali password di accesso?

La scomparsa della password tradizionale

Migliorare e semplificare l’esperienza complessiva degli utenti è fondamentale per tutte le organizzazione che implementano applicazioni online e mobile. La user experience ha un impatto diretto sulla fidelizzazione dei clienti, sul ROI dei servizi online e sui costi operativi. Diversi studi, infatti, hanno dimostrato che le probabilità di abbandono di un’applicazione online o mobile sono minori quando i clienti hanno la possibilità di interagire con essa in modo facile, in qualsiasi momento e dovunque essi si trovino.

Tuttavia, per quanto fondamentale, il conseguimento di una customer experience priva di complessità non è l’unica priorità per gli esperti di security. Le organizzazioni devono anche rispettare diversi regolamenti e linee guida (quali, ad esempio, PSD2, GDPR e NIST), mantenere elevati standard di sicurezza e rispettare i budget destinati allo sviluppo e all’operatività. Tutto ciò rende più complesso riuscire ad offrire ai clienti un’esperienza semplificata.

Spesso, il primo ostacolo al customer engagement è la password di accesso. Non solo creare e gestire le password rappresenta un grosso fastidio, ma esse sono notoriamente vulnerabili alle violazioni dei dati.

L’autenticazione FIDO risolve questo problema sostituendo la password tradizionale con opzioni di strong authentication che vanno dall’uso della biometria a quello di token software e hardware.

In sostanza, l’autenticazione FIDO offre un ecosistema interoperabile e standardizzato di autenticatori da utilizzare con applicazioni mobile e online. Esso consente alle organizzazioni di implementare la strong authentication per la convalida degli accessi e delle transazioni, senza dover sopportare costi incrementali di sviluppo interno.

FIDO2 è una combinazione tra l’API WebAuthn del World Wide Web Consortium (W3C) e il protocollo CTAP (Client to Authenticator Protocol) di FIDO.

WebAuthn è un’API standard che consente agli sviluppatori di integrare l’autenticazione FIDO nei browser Web. Con il protocollo CTAP, gli utenti possono accedere senza password utilizzando un autenticatore esterno, quali un telefono cellulare o un dispositivo hardware, per comunicare le proprie credenziali di autenticazione a un PC o a un altro telefono cellulare tramite Bluetooth, NFC o USB. In altre parole, grazie a FIDO2 è più semplice autenticarsi sui browser Web utilizzando un autenticatore hardware FIDO o qualsiasi altro metodo di autenticazione disponibile sul PC dell’utente.

Oltretutto, il protocollo WebAuthn è in corso di implementazione in browser come Google, Mozilla e Firefox. Si prevede che il browser Safari di Apple possa integrare WebAuthn dopo che il W3C avrà approvato lo standard FIDO2 quale standard internazionale (da notare che nonostante Apple non si sia pronunciata su FIDO, la società fa parte del gruppo di lavoro WebAuthn). Una volta che il W3C ratificherà FIDO2 come standard internazionale, il Web senza password diventerà realtà.

Le organizzazioni che desiderano beneficiare del protocollo WebAuthn possono abilitare FIDO sulla propria infrastruttura di servizi online e mobile o implementare una soluzione FIDO completa che gestisca le richieste di autenticazione da qualsiasi tipo di autenticatore FIDO.

Il bello è che FIDO2 è compatibile con tutti gli hardware e software di sicurezza FIDO precedentemente certificati e queste soluzioni continueranno a funzionare con i browser che supportano WebAuthn. La stessa FIDO Alliance raccomanda alle organizzazioni che desiderano abilitare FIDO per i propri servizi online e mobile di impiegare un Universal Server, garantendo il supporto per tutti gli autenticatori con certificazione FIDO, che si tratti di un autenticatore a due fattori, mobile o FIDO2.

Grazie alla standardizzazione, in conclusione, con i metodi certificati FIDO è possibile soddisfare il bisogno di flessibilità e semplificazione di molte organizzazioni in ambito di autenticazione.