FIDO Alliance e W3C hanno annunciato un nuovo standard per l’autenticazione ai servizi via browser che non richiede più l’utilizzo di password. Denominato WebAuthn, questo metodo rende più semplice offrire credenziali di crittografia uniche per ogni sito.

WebAuthn mantiene possibile l’utilizzo di lettori di impronte digitali, fotocamera o chiavette USB e può essere utilizzato sia in sostituzione sia in aggiunta alle password. L’unicità sito per sito riduce le possibilità che una eventuale password compromessa (dite la verità, utilizzate più volte la stessa per siti o servizi diversi, NdR) possa essere sfruttata per avere altri accessi.

Il sistema di per sé non è una novità ed è già presente su alcuni importanti servizi come Facebook e Google, dove risulta possibile eseguire il login utilizzando un token Yubikey (di cui abbiamo già parlato in passato), conforme allo standard FIDO. WebAuthn permetterà di rendere questi sistemi più semplici da implementare anche nei servizi minori, sia nel caso di utilizzo come secondo fattore di autenticazione sia in quello in cui costituisca l’unica password.

Grazie all’open source sarà più semplice per gli sviluppatori implementare questi nuovi metodi di accesso, contribuendo potenzialmente a far sparire l’uso della classiche password dal Web. Selena Deckelmann, che ha lavorato all’implementazione su Mozilla Firefox, ha spiegato:

“In precedenza, il lavoro per supportare i token è stato affrontato presso grandi compagnie come Google, Microsoft e Facebook, che implementavano i loro driver. Grazie a WebAuthn si potranno utilizzare librerie comunemente disponibili.”

Al momento questo genere di login non risulta in effetti molto utilizzato, ma l’annuncio del nuovo standard e la sua “semplificazione” potrebbe contribuire alla sua diffusione, fornendo metodi di accesso più sicuri e meno impegnativi a utenti privati e aziende. Si tratta di fatto di utilizzare altro hardware per avere l’accesso, al posto di doversi ricordare le password.

Il supporto a WebAuthn è già garantito dal browser Mozilla Firefox e dovrebbe arrivare nei prossimi mesi, secondo quanto riferito, anche su Google Chrome e Microsoft Edge (altri probabilmente seguiranno).