FIDO Alliance: anche Apple vuol dire addio alle password

Apple ha aderito a FIDO Alliance per supportare uno standard votato alla sostituzione delle password con altri metodi più rapidi e sicuri per accedere a servizi e app online.

fido alliance

Con una mossa piuttosto insolita, Apple ha aderito alla Fast IDentity Online Alliance (FIDO), un gruppo di standard di autenticazione dedicato alla sostituzione delle password con altri metodi più rapidi e sicuri per accedere a servizi e app online. Apple è tra gli ultimi colossi tech ad aderire a FIDO, i cui membri includono già Amazon, Facebook, Google, Intel, Microsoft, RSA, Samsung, Qualcomm e VMware. Il gruppo vanta anche più di una dozzina di società di servizi finanziari come American Express, ING, Mastercard, PayPal, Visa e Wells Fargo.

“Di solito Apple non è in prima linea nell’adesione a nuove organizzazioni e spesso attende di vedere se guadagnano abbastanza trazione prima di aderire. Questo passo quindi è abbastanza atipico per Cupertino” ha dichiarato Jack Gold, presidente e analista principale di J. Gold Associates. “Apple cerca spesso di presentare i propri standard di settore per una loro ampia adozione, ma in genere non è uno dei primi ad adottare veri e propri standard di settore multi-vendor. Soprattutto in un mondo basato su cloud, FIDO Alliance è un’iniziativa chiave per l’autenticazione che le aziende non possono più ignorare”.

David Mahdi, direttore senior della ricerca per la sicurezza e la privacy di Gartner, ha affermato che la mossa di Apple è degna di nota. “È un passo significativo nella realizzazione di un mondo senza password”, ha detto Mahdi. “L’adesione di Apple è un passo davvero significativo.” Fondata nel 2012, FIDO Alliance ha come scopo quello di spingere l’autenticazione a due fattori per servizi e app perché i codici di accesso sono intrinsecamente insicuri. La ricerca sostiene questa missione, visto che l’81% di tutte le violazioni della sicurezza da parte di hacker può essere ricondotto a password rubate o di scarsa efficacia, secondo l’ultimo Data Breach Investigations Report di Verizon.

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

Insieme a W3C, FIDO ha scritto e utilizza l’API di autenticazione Web emergente (meglio nota come WebAuthn). Le specifiche di WebAuthn sono già supportate – in misura diversa – dai principali browser come Google Chrome, Mozilla Firefox e Microsoft Edge. Tali browser supportano anche la creazione di credenziali cloud tramite un token U2F, che può utilizzare Bluetooth, NFC o USB per fornire l’autenticazione a due fattori per servizi e app online.

Nel 2018 Apple annunciava che stava aggiungendo a Safari il supporto “sperimentale” per il protocollo WebAuthn. A dicembre Apple ha aggiunto il supporto nativo per le chiavi di sicurezza conformi a FIDO, come quelle di Yubico e Feitian, che utilizzano lo standard WebAuthn su comunicazioni near-field (NFC), USB o Lightning in iOS 13.3.

“FIDO è come il Bluetooth per l’autenticazione, il che significa che abbiamo un numero di dispositivi con caratteristiche e funzioni che possono essere utilizzate per fornire l’autenticazione”, ha affermato Mahdi. “I dispositivi mobili o i laptop possono utilizzare lettori di impronte digitali o tecnologia di riconoscimento facciale per abilitare l’accesso. Entrambe le tecnologie potevano essere sfruttate già prima per l’autenticazione, ma senza un linguaggio comune era difficile e richiedevano driver e software proprietari”.

“FIDO, come il Bluetooth, consente agli sviluppatori di applicazioni e ai responsabili della sicurezza che desiderano abilitare un’autenticazione forte (ad esempio, in un’app mobile o un sito Web) di coprire una vasta gamma di metodi di autenticazione disponibili in dispositivi senza dover preoccuparsi di driver proprietari”.

“Nel complesso, le specifiche di FIDO indicano che i servizi digitali offerti da banche, siti di e-commerce e altri possono riconoscere gli utenti attraverso i loro dispositivi, piuttosto che con nomi utente e password. Ad esempio, gli utenti potrebbero registrarsi a un servizio online, creare un nome utente, registrare i propri dispositivi e selezionare un metodo di autenticazione preferito (ad esempio dito, viso, e/o PIN). Non sarebbe necessaria alcuna password”, continua Mahdi.

Come funzionano le specifiche di FIDO

Le specifiche di FIDO Alliance funzionano consentendo a chiunque lo utilizzi di accedere a un’app o a un servizio online con una coppia di chiavi privata e pubblica. Quando un utente si registra a un servizio online come PayPal, il dispositivo di autenticazione (un server) crea una coppia di chiavi privata/pubblica unica. La chiave privata è memorizzata sul dispositivo dell’utente, mentre la chiave pubblica viene associata a quel dispositivo tramite il servizio online o l’app.

Le chiavi private del client possono essere utilizzate solo dopo essere state sbloccate localmente sul dispositivo dall’utente. Lo sblocco locale viene eseguito da un’azione sicura come un lettore biometrico (ovvero una scansione delle impronte digitali o il riconoscimento facciale), l’inserimento di un PIN o la comunicazione al microfono.

U2F è uno standard di autenticazione che consente agli utenti di Internet di accedere in modo sicuro con una chiave di sicurezza istantaneamente e senza bisogno di driver o software client, secondo il membro di FIDO e fornitore di autenticazione Yubico. FIDO2 è l’ultima generazione del protocollo U2F. Lo scorso aprile Google ha aggiunto l’autenticazione a due fattori attraverso le specifiche di FIDO per i dispositivi con Android 7 e versioni successive.

Jamf, un fornitore di software di gestione dell’autenticazione aziendale a più fattori per la piattaforma Mac, è entrato a far parte di FIDO il mese scorso. “Dato che stavamo supportando molti di questi dispositivi a più fattori e diversi fornitori di identità, il tutto è diventato piuttosto complesso molto rapidamente” ha dichiarato Joel Rennich, direttore di Jamf Connect, un prodotto di autenticazione e gestione delle identità per Mac. “E avevamo ancora il problema che dovevamo tornare ad avere una password. Sul Mac non esiste infatti un modo integrato per supportare le credenziali dell’utente senza digitare una password.”

Rennich ha affermato che Jamf sta adottando il protocollo di autenticazione FIDO perché è “incredibilmente” sicuro e consente molta flessibilità grazie al vasto supporto del settore. In particolare, grazie all’utilizzo da parte di FIDO della crittografia a curva ellittica (la stessa utilizzata da Apple Secure Enclave), Jamf può ora sfruttare la tecnologia per creare (ad esempio) un accesso di classe enterprise ad iPhone.

“Quindi, possiamo usare hardware già presente nel dispositivo per lavorare con i protocolli FIDO con il minimo sforzo e ciò ha reso lo sviluppo davvero rapido”, ha detto Rennich. Sebbene non sia ancora disponibile, Jamf ha anche creato una smart card virtuale che consente agli utenti di accedere ai dispositivi Mac dal cloud utilizzando le chiavi di associazione della crittografia a curva ellittica allo stesso modo delle specifiche FIDO.

AUTOREJonny Evans
FONTEComputerworld.com
Jonny Evans
Collaboratore di Computerworld.com Jonny è un freelance che scrive di tecnologia dal 1999, in particolare riguardo a Apple e la digital transformation. Cura su Computerworld.com il blog Apple Holic, con post a volte interessanti e a volte provocatori su tutto quel che succede a Cupertino. Le traduzioni dei suoi articoli appaiono su Computerworld in virtù dell'accordo di licenza con l'editore americano IDG Communications. Lo potete trovare su Twitter come @jonnyevans_cw