Il protocollo FIDO2 memorizza la chiave di autenticazione solo sul dispositivo dell'utente in condizioni offline. Pertanto, è molto più sicuro, affidabile e più facile da usare.
Aggiornamento 2 (13/08/19 alle 9:50 ET): Google sta implementando l'autenticazione FIDO2 senza password per gli account Google sui dispositivi Android.
Aggiornamento 1 (7/5/19 alle 13:31 ET): Google ha annunciato la disponibilità generale di questa nuova funzionalità, che consente di utilizzare il telefono come chiave di sicurezza per l'autenticazione in due passaggi.
Vivere in un mondo senza password è il futuro che molti appassionati di tecnologia sognano. Non esiste un ETA o una barra di avanzamento riguardo al picco di avanzamento di questa tecnologia, ma il suo arrivo è inevitabile. Le password sono datate, facilmente dimenticabili e molto spesso insicure, anche quando si adottano misure aggiuntive come l'autenticazione a 2 fattori. Come molte delle principali tendenze imminenti, anche in questo Google gioca un ruolo importante. Ciò non dovrebbe sorprendere, considerando che questa azienda possiede il sistema operativo mobile, il browser Web e il motore di ricerca più popolari. Google ha lavorato allo sviluppo di questa tecnologia con partner come Microsoft e altri giganti della tecnologia negli ultimi due anni. Ieri l'azienda ha fatto un altro grande passo verso la funzionalità senza password.
L'Alleanza FIDO annunciato al Mobile World Congress di ieri che Android è ora certificato FIDO2. Se non ne hai mai sentito parlare, la FIDO Alliance è un'associazione che lavora e definisce gli standard dell'autenticazione senza password. Alcuni dei membri dell'alleanza sono Google, Facebook, GitHub, Dropbox, eBay e molti altri. Insieme ai partner di tutto il mondo, FIDO Alliance ha lavorato alla certificazione FIDO2 negli ultimi due anni.
A parte gli ovvi miglioramenti in termini di comodità e usabilità rispetto alle normali password datate, il protocollo FIDO2 offre anche una sicurezza molto migliore. Vedete, tradizionalmente l'autenticazione tramite password funzionava così: sia l'utente che il servizio avevano una chiave segreta memorizzata sul server e sul dispositivo. Durante il processo di autenticazione, l'utente invia la password al server, dove viene crittografata e confrontata con la chiave memorizzata. Se le chiavi corrispondono, l'utente ottiene l'accesso al proprio account/contenuto. Ora, questo metodo ha un grosso difetto: le chiavi di autenticazione vengono archiviate in due posizioni diverse, rendendole 2 volte più vulnerabili agli attacchi. È vero, esistono metodi, come la crittografia end-to-end, per prevenirli, ma gli hacker escogitano sempre nuovi modi per sfruttare questi evidenti difetti.
Il protocollo FIDO2 memorizza la chiave di autenticazione solo sul dispositivo dell'utente in condizioni offline. Pertanto, è molto più sicuro, affidabile e più facile da usare. La certificazione FIDO2 è ora disponibile su tutti i dispositivi mobili con Android 7.0 Nougat o versioni successive. Gli sviluppatori di applicazioni mobili e web possono già utilizzare le API per implementare la funzionalità nei propri servizi.
Aggiornamento 2: Account Google
Google ha iniziato a implementare l'autenticazione FIDO2 senza password per gli account Google sui dispositivi Android 7+, a partire da oggi con i dispositivi Pixel. Gli utenti possono utilizzare l'impronta digitale o il metodo di blocco dello schermo invece di digitare la password quando visitano determinati servizi Google. Ciò significa che un utente può registrare il proprio dito una volta e utilizzarlo per una serie di servizi nativi e web. L'impronta digitale non viene mai inviata ai server di Google.
Per provarlo subito, vai su passwords.google.com, scegli un sito per visualizzare o gestire una password salvata e segui le istruzioni per confermare la tua identità.
Fonte: Google