Membri del Consiglio della FIDO (“Fast IDentity Online”) Alliance – che include rappresentanti di Amazon, Google, PayPal, RSA, Apple, Microsoft, Intel e Arm, riferiscono che la loro mission è ridurre l’eccessiva dipendenza del mondo dalle password.
L’organizzazione in questione ha recentemente pubblicato un libro bianco (PDF) indicando la vision che dovrebbe permettere di risolvere le problematiche legate all’usabilità e consentire l’adozione su larga scala della tecnologia che promette di dire addio alle password.
Nel documento si spiega che dopo anni di investimenti per integrare standard per l’accesso senza password quali FIDO2 e WebAuthn in Windows, iOS, Android e altri sistemi, ora tutto è pronto per il passo successivo e secondo l’Alleanza tutto si riduce al rendere disponibili procedure specifiche nelle fasi di cambio o aggiunta di un dispositivo ai propri account.
Se la procedura di impostazione di un nuovo telefono è troppo complicata, senza un modo semplice per effettuare automaticamente il login in tutte le app legate al proprio account, molti utenti sono costretti a effettuare procedure seccanti e non cambierà mai lo status quo.
Lo standard FIDO fa affidamento agli scanner biometrici già disponibili su tanti dispositivi (oppure a un master PIN) per consentire all’utente di autenticarsi in locale, senza bisogno di passare per internet per l’autenticazione tramite un web server. Secondo l’Allenza il problema sarà risolto definitivamente con l’implementazione di un gestore di credenziali FIDO direttamente nel sistema operativo, un meccanismo che consente di memorizzare chiavi crittografiche sincronizzabili tra dispositivi, protette dalla biometria o blocco con codice del dispositivo.
Alla Worldwide Developer Conference (WWDC) dello scorso anno, Apple ha annunciato la sua implementazione di FIDO, spiegando che era una sorta di passepartout per il portachiavi iCloud, il suo contributo a un mondo senza password.
La passkey citata da Apple sfrutta a una chiave pubblica e una chiave privata e si appoggia allo standard WebAuthn, un’opzione di autenticazione uniforme che non si basa più su password ma su dati biometrici. Questo standard prevede che gli utenti possano accedere ai propri account utilizzando le impronte digitali o il riconoscimento facciale. Vista la natura fisica e personale di questi dati d’accesso, è in pratica impossibile dimenticarli o trasmetterli involontariamente; l’adozione di un sistema del genere – tra le altre cose- permetterebbe di risolvere una volta per tutte anche il problema del phishing.
Nel libro bianco della FIDO Alliance, si fa riferimento ad ulteriori meccanismi per consentire l’uso ad esempio di laptop nelle vicinanze alla stregua di un token hardware, per permettere l’accesso sicuro ai propri account e servizi personali e professionali. La speranza è che il sistema prneda effettivamente piede, consente login criptati e anonimi, senza l’utilizzo di password, con tutti i vantaggi che questo comporta: basta impostare la prima volta il meccanismo di autenticazione (impronte digitali o volto) con il servizio web ed effettuare di volta in volta il login, senza bisogno di ricordare ogni volta password, guadagnando in sicurezza e velocità.
