Cos'è l'autenticazione FIDO (Fast Identity Online)?

Le passkey vengono memorizzate sul dispositivo dell'utente, ad esempio uno smartphone. Consentono all'utente di accedere a un sito web o a un'applicazione con gli stessi metodi utilizzati per sbloccare il dispositivo, come il riconoscimento facciale, la scansione delle impronte digitali o l'immissione di un PIN.

L'IBM X-Force Threat Intelligence Index riporta che il furto di credenziali è l'impatto più comune subito dalle vittime di violazioni. I criminali informatici usano attacchi di phishing e malware per raccogliere queste credenziali, che possono vendere sul dark web o usare per espandere la propria presenza all'interno di una rete. Quasi un terzo degli attacchi informatici prevede il dirottamento di account utente validi.

L'autenticazione FIDO aiuta a ridurre al minimo le minacce alla cybersecurity rappresentate dal furto di credenziali e dal dirottamento dell'account. Le passkey non possono essere rubate facilmente come le password. Per entrare in un account protetto da passkey, un utente malintenzionato deve ottenere l'accesso al dispositivo dell'utente e inserire correttamente il PIN o aggirare la sicurezza biometrica.

La FIDO Alliance è un consorzio di agenzie governative, aziende e società tecnologiche tra cui IBM, Apple, Amazon, Microsoft, PayPal e molte altre. Il gruppo sviluppa e mantiene gli standard di autenticazione FIDO con l'obiettivo di ridurre la dipendenza dalle password.

La FIDO Alliance ha rilasciato FIDO 1.0, il primo protocollo FIDO, nel 2014. L'ultimo protocollo, FIDO2, è stato sviluppato in collaborazione con il World Wide Web Consortium ed è stato rilasciato nel 2018.

Oggi, milioni di persone utilizzano l'autenticazione FIDO per accedere a siti web e applicazioni. Il protocollo FIDO2 è supportato dai principali browser web, sistemi single sign-on (SSO), soluzioni di gestione delle identità e degli accessi (IAM), server web e sistemi operativi tra cui iOS, macOS, Android e Windows.

L'autenticazione FIDO utilizza la crittografia a chiave pubblica (PKC) per generare una coppia di chiavi crittografiche univoca associata all'account di un utente. Questa coppia di chiavi, chiamata "passkey", è composta da una chiave pubblica che rimane presso il fornitore di servizi e da una chiave privata che risiede sul dispositivo dell'utente.

Quando l'utente accede al proprio account, il provider di servizi invia una richiesta (tipicamente una stringa casuale di caratteri) al dispositivo dell'utente. Il dispositivo richiede all'utente di autenticarsi tramite PIN o autenticazione biometrica.

Se l'utente si autentica correttamente, il dispositivo utilizza la chiave privata per firmare la richiesta e inviarla al provider del servizio. Il provider del servizio utilizza la chiave pubblica per verificare che sia stata utilizzata la chiave privata corretta e, in tal caso, concede all'utente l'accesso al proprio account.

Una password memorizzata su un dispositivo può essere utilizzata per accedere a un servizio su un altro dispositivo. Ad esempio, se un utente imposta una passkey per l'account e-mail sul proprio dispositivo mobile, può comunque accedere a quell'account su un laptop. L'utente completerebbe la richiesta di autenticazione sul dispositivo mobile registrato.

FIDO supporta anche l'uso di chiavi di sicurezza, chiamate "token hardware", quale metodo di autenticazione. Le chiavi di sicurezza FIDO sono piccoli dispositivi fisici dedicati, in grado di creare coppie di chiavi e firmare le richieste. Si collegano ad altri dispositivi tramite Bluetooth, protocolli NFC (Near Field Communication) o una porta USB. Una chiave di sicurezza FIDO può sostituire i dati biometrici o un PIN nel processo di autenticazione: il possesso della chiave autentica l'utente.

Poiché la chiave privata viene memorizzata sul dispositivo dell'utente (e non lo lascia mai), la possibilità di una violazione della sicurezza è ridotta al minimo. Gli hacker non possono rubarla entrando in un database o intercettando le comunicazioni. La chiave pubblica che risiede presso il provider di servizi non contiene informazioni sensibili ed è di scarsa utilità per gli hacker.

Per configurare l'autenticazione FIDO su un account di e-mail, un utente può seguire questi passaggi:

1. Nelle impostazioni dell'account, l'utente seleziona "passkey" come metodo di autenticazione.
   
   
2. L'utente seleziona il dispositivo su cui desidera creare la passkey. La maggior parte dei sistemi crea automaticamente una passkey sul dispositivo attualmente in uso, ma gli utenti hanno spesso la possibilità di selezionare un dispositivo diverso di loro proprietà.
     
3. Il dispositivo selezionato chiede all'utente di autenticarsi attraverso la biometria o un PIN.
   
   
4. Il dispositivo dell'utente crea una coppia di chiavi crittografiche. La chiave pubblica viene inviata al provider di posta elettronica, mentre la chiave privata viene archiviata sul dispositivo.
   
   
5. Al successivo accesso da parte dell'utente, il provider di e-mail invia una richiesta al dispositivo dell'utente.
   
   
6. L'utente risponde alla richiesta autenticandosi tramite biometria o PIN.
   
   
7. Il dispositivo restituisce la richiesta firmata al provider di e-mail, che utilizza la chiave pubblica per verificarla.
   
   
8. All'utente viene concesso l'accesso all'account di e-mail.

FIDO supporta due tipi di passkey: passkey sincronizzate e passkey associate al dispositivo.

Le password sincronizzate possono essere utilizzate su più dispositivi, il che le rende più convenienti. I gestori di credenziali come Apple Passwords, Windows Hello e Google Password Manager possono memorizzare le passkey sincronizzate e renderle disponibili agli utenti su qualsiasi dispositivo.

Ad esempio, un utente potrebbe registrare una passkey su uno smartphone per accedere a un'applicazione bancaria. La stessa passkey è disponibile tramite il gestore delle credenziali quando l'utente accede all'applicazione bancaria dal proprio laptop o tablet.

Questo tipo di passkey è associato a un singolo dispositivo e offre il massimo livello di sicurezza.

Le passkey legate al dispositivo sono in genere accessibili con una chiave di sicurezza fisica collegata a un particolare dispositivo. La passkey non può lasciare il dispositivo, quindi è meno vulnerabile agli accessi non autorizzati.

Le password associate al dispositivo vengono spesso utilizzate per accedere a informazioni altamente sensibili come dati finanziari, proprietà intellettuale aziendale o documentazione governativa riservata.

I protocolli FIDO si sono evoluti e sono migliorati dall'introduzione di FIDO 1.0 nel 2014. Le funzionalità dei protocolli introdotti in FIDO 1.0 sono incorporate nei protocolli più recenti di autenticazione FIDO2.

FIDO UAF è stato tra i primi protocolli sviluppati dalla FIDO Alliance e consente di accedere a un servizio senza utilizzare una password. Con UAF, un utente può autenticarsi direttamente da un dispositivo utilizzando dati biometrici come il riconoscimento facciale o un PIN.

U2F è stato sviluppato per fornire l'autenticazione a due fattori (2FA) per i sistemi che si basano su nomi utente e password. I metodi 2FA richiedono un secondo fattore per consentire agli utenti di confermare la propria identità. U2F utilizza una chiave di sicurezza fisica come secondo fattore.

Dopo il rilascio di FIDO2, U2F è stato rinominato "CTAP1".

FIDO2 ha introdotto due nuovi protocolli che espandono la portata e le funzionalità dei protocolli precedenti.

WebAuthn migliora le funzionalità di UAF fornendo una web application programming interface (API) che rende disponibile l'autenticazione senza password alle parti che si affidano a questo tipo di autenticazione. Le "parti" sono i siti web e le app web che utilizzano l'autenticazione FIDO.

Oltre all'API, WebAuthn fornisce anche standard FIDO che definiscono il modo in cui devono fluire le interazioni tra l'applicazione web, il browser web e un autenticatore, come una chiave di sicurezza.

CTAP2 definisce il modo in cui un client FIDO, ad esempio un browser web o un sistema operativo, comunica con un autenticatore. Un autenticatore è il componente che verifica l'identità di un utente.

In U2F (o CTAP1), l'autenticatore è sempre stato una chiave di sicurezza. CTAP2 aggiunge il supporto per autenticatori aggiuntivi che risiedono sul dispositivo di un utente, come il riconoscimento vocale e facciale, le impronte digitali o un PIN.

Le password FIDO offrono un metodo più rapido, facile e sicuro per l'accesso degli utenti. Per i siti di e-commerce e i grandi fornitori di servizi globali, FIDO può migliorare l'esperienza del cliente e ridurre la necessità di recuperare l'account se si perdono o dimenticano le credenziali.

Le aziende utilizzano l'autenticazione FIDO per garantire a dipendenti, fornitori, appaltatori e altri stakeholder un rapido accesso alle risorse. Rispetto all'autenticazione tramite password, le passkey FIDO possono offrire una sicurezza e una facilità d'uso superiori.

FIDO è spesso utilizzato per autenticare i clienti negli ambienti di e-commerce, come la conferma dei pagamenti attraverso le app mobili. Può essere utilizzato anche per verificare l'identità del titolare della carta prima di autorizzare il proseguimento di una transazione.

FIDO non elabora i pagamenti, bensì aiuta a garantire che le persone siano autorizzate a effettuare transazioni, il che può ridurre le frodi.

Alcune agenzie di governo ora utilizzano l'autenticazione FIDO per attività come l'elaborazione delle dichiarazioni dei redditi e la verifica delle richieste di sussidi pubblici. Ad esempio, il servizio login.gov che fornisce ai cittadini un unico punto di accesso per una varietà di agenzie federali statunitensi, utilizza l'autenticazione FIDO2.