In uno sforzo congiunto per rendere il web più sicuro e accessibile a tutti, Apple, Google e Microsoft hanno scelto il World Password Day 2022 (la Giornata Mondiale delle Password) per annunciare congiuntamente l’intenzione di espandere il supporto per uno standard comune di "accesso senza password" (passwordless sign-ins) creato dalla FIDO Alliance e dal World Wide Web Consortium. In questo modo si potrà accedere a siti web e alle app senza dover inserire password, indipendentemente dal dispositivo e dalla piattaforma. Sarà semplice quanto lo è oggi sbloccare il telefono tramite impronta digitale, riconoscimento del volto o digitazione di un pin di sicurezza.
L’autenticazione tramite password può essere un problema di sicurezza sul web, soprattutto quando si scelgono password troppo semplici, e la gestione di tante password può essere snervante per i consumatori iscritti a molti siti web o che utilizzano diverse applicazioni. Questo spesso porta i consumatori a riutilizzare le stesse in più servizi, quando invece la password dovrebbe essere univoca per ogni servizio. Gli strumenti di gestione delle password – come il Google Password Manager – e la forma di autenticazione a due fattori sono soluzioni che rafforzano la sicurezza degli account online, ma si può fare di meglio. Le grandi aziende del web si sono impegnate in una collaborazione a livello di settore per adottare una tecnologia di accesso conveniente e sicura, basata su un nuovo standard comune che darà ai siti web e alle app la possibilità di offrire ai propri utenti un’opzione di log-in alternativa alla password e molto semplice da usare: la stessa azione che si intraprende più volte al giorno per sbloccare il proprio dispositivo, vale a dire la scansione del proprio volto o di una propria impronta digitale piuttosto che inserendo il PIN di sicurezza del dispositivo.
L’accesso ai siti web e alle app che supporteranno lo standard ruoterà attorno alla credenziale "passkey FIDO", basata sulla crittografia a chiave pubblica, che sarà mostrata al fornitore del servizio solo dopo lo sblocco del device tramite impronta, riconoscimento del volto o PIN di sicurezza.
Sui dispositivi mobili l’accesso sarà quindi molto rapido, ma altrettando lo sarà anche tramite computer. Ad esempio, per accedere a un sito web sul computer tramite il browser Chrome, al momento del login basterà selezionare il metodo di autenticazione FIDO per ricevere una notifica sul proprio telefono con la richiesta di sblocco e quindi di verifica dell’identità – una volta sbloccato, il login sarà effettuato nel sito web sul PC. In questo esempio, naturalmente, in Chrome sul pc e sul proprio telefono l’account Google impostato è lo stesso.
Esempio di accesso ad un sito web su PC tramite Chrome con richiesta di verifica dell’identità sul telefono
Centinaia di aziende tecnologiche e fornitori di servizi in tutto il mondo hanno lavorato con FIDO Alliance e W3C per creare le funzionalità avanzate basate su uno standard comune di accesso senza password, che è già supportato in miliardi di dispositivi e tutti i browser Web moderni. Apple, Google e Microsoft ne hanno guidato lo sviluppo, e ora stanno integrando il supporto di queste funzionalità nelle rispettive piattaforme. Noi utenti dovremmo poter inziare ad utilizzare questo standard nel corso del prossimo anno. Naturalmente, ci vorrà del tempo prima che questa tecnologia sia disponibile sui dispositivi di tutti e che gli sviluppatori di siti web e app ne traggano vantaggio. Le password, nel frattempo, non se ne andranno.
"’Autenticazione più semplice e più efficace’ non è solo lo slogan di FIDO Alliance, ma è stato anche un principio guida per le nostre specifiche e le linee guida per l’implementazione. L’ubiquità e l’usabilità sono fondamentali per vedere l’autenticazione a più fattori adottata su larga scala e ci congratuliamo con Apple, Google e Microsoft per aver contribuito a realizzare questo obiettivo impegnandosi a supportare questa innovazione di facile utilizzo nelle loro piattaforme e prodotti", ha affermato Andrew Shikiar , direttore esecutivo e CMO di FIDO Alliance. "Questa nuova funzionalità offrirà ai fornitori di servizi una gamma completa di opzioni per l’implementazione di un’autenticazione moderna e resistente al phishing".
“Gli standard sviluppati dalla FIDO Alliance e dal World Wide Web Consortium e guidati nella pratica da queste aziende innovative sono il tipo di pensiero lungimirante che alla fine manterrà il popolo americano più sicuro online. Plaudo all’impegno dei nostri partner del settore privato nell’aprire standard che aggiungono flessibilità per i fornitori di servizi e una migliore esperienza utente per i clienti", ha affermato Jen Easterly, Direttore della US Cybersecurity and Infrastructure Security Agency. “Alla CISA, stiamo lavorando per aumentare la linea di base della sicurezza informatica per tutti gli americani. Oggi è una pietra miliare importante nel percorso di sicurezza per incoraggiare le best practice di sicurezza integrate e aiutarci ad andare oltre le password.”.
"Così come progettiamo i nostri prodotti in modo che siano intuitivi e capaci, li progettiamo anche per essere privati ​​e sicuri", ha affermato Kurt Knight, Senior Director of Platform Product Marketing di Apple. "Lavorare con il settore per stabilire nuovi metodi di accesso più sicuri che offrano una migliore protezione ed eliminino le vulnerabilità delle password è fondamentale per il nostro impegno nella creazione di prodotti che offrano la massima sicurezza e un’esperienza utente trasparente, il tutto con l’obiettivo di mantenere le informazioni personali degli utenti al sicuro."
"Questa pietra miliare è una testimonianza del lavoro collaborativo svolto in tutto il settore per aumentare la protezione ed eliminare l’autenticazione basata su password ormai obsoleta", ha affermato Mark Risher, Senior Director of Product Management di Google. “Per Google, rappresenta quasi un decennio di lavoro che abbiamo svolto insieme a FIDO, come parte della nostra continua innovazione verso un futuro senza password. Non vediamo l’ora di rendere disponibile la tecnologia basata su FIDO su Chrome, ChromeOS, Android e altre piattaforme e incoraggiamo gli sviluppatori di app e siti web ad adottarla, in modo che le persone in tutto il mondo possano allontanarsi in sicurezza dal rischio e dalla seccatura delle password".
"Oggi le password sono essenziali per la sicurezza online, ma minacce come phishing, truffe e scarsa qualità delle password continuano a rappresentare un rischio per gli utenti. Google ha riconosciuto da tempo questi problemi, motivo per cui abbiamo creato difese come la verifica in due passaggi e Google Password Manager. Tuttavia, per affrontare davvero i problemi con le password, dobbiamo andare oltre le password, motivo per cui da oltre un decennio prepariamo le basi per un futuro senza password. " ha detto il PM Director, Secure Authentication, Google and President, FIDO Alliance Sampath Srinivas. "Oggi, in onore della Giornata mondiale della password, annunciamo un’importante pietra miliare in questo viaggio: intendiamo implementare il supporto senza password con gli standard di accesso FIDO in Android e Chrome. Apple e Microsoft hanno anche annunciato che offriranno supporto per le loro piattaforme. Ciò semplificherà gli accessi su dispositivi, siti web e applicazioni indipendentemente dalla piattaforma, senza la necessità di usare una password. Queste capacità saranno disponibili nel corso del prossimo anno."
“Il passaggio completo ad un mondo senza password inizierà con i consumatori che lo renderanno una parte naturale della loro vita. Qualsiasi soluzione praticabile deve essere più sicura, più semplice e più veloce delle password e dei metodi di autenticazione a più fattori legacy utilizzati oggi", afferma Alex Simons, Corporate Vice President, Identity Program Management di Microsoft. “Lavorando insieme come una comunità su più piattaforme, possiamo finalmente realizzare questa visione e fare progressi significativi verso l’eliminazione delle password. Vediamo un futuro radioso per le credenziali basate su FIDO sia negli scenari consumer che enterprise e continueremo a creare supporto su app e servizi Microsoft".
