Cos'è FIDO2?

FIDO2 è costituito da due protocolli: Web Authentication (WebAuthn) e Client to Authenticator Protocol 2 (CTAP2). Insieme, questi protocolli consentono agli utenti di accedere a un sito web o a un'applicazione senza l'uso di password tradizionali.

Invece delle password, l'autenticazione FIDO2 utilizza gli stessi metodi utilizzati dalle persone per sbloccare un dispositivo come uno smartphone o un laptop. Gli utenti di FIDO2 possono autenticarsi con il riconoscimento facciale, un lettore di impronte digitali o inserendo un PIN. Possono anche utilizzare un token hardware fisico noto come chiave di sicurezza FIDO2.

Poiché FIDO2 si basa sulla crittografia a chiave pubblica, fornisce un metodo di autenticazione più sicuro rispetto alle password, che i malintezionati spesso prendono di mira. L'IBM® X-Force Threat Intelligence Index riporta che quasi un terzo degli attacchi informatici riguarda il dirottamento di account utente validi.

Eliminando le password, FIDO2 riduce molte minacce alla cybersecurity come phishing, attacchi man-in-the-middle e dirottamento degli account. Offre anche un'esperienza utente più comoda perché non è necessario ricordare le password, cambiarle regolarmente o occuparsi dei processi di recupero e reimpostazione.

L'autenticazione FIDO2 utilizza la crittografia a chiave pubblica per generare una coppia di chiavi crittografiche univoca, chiamata "passkey", associata all'account di un utente. La coppia di chiavi è composta da una chiave pubblica che rimane presso il fornitore di servizi e da una chiave privata che risiede sul dispositivo dell'utente.

Quando l'utente accede al proprio account, il provider di servizi invia una richiesta (tipicamente una stringa casuale di caratteri) al dispositivo dell'utente. Il dispositivo richiede all'utente di autenticarsi inserendo un PIN o utilizzando l'autenticazione biometrica.

Se l'utente si autentica correttamente, il dispositivo utilizza la chiave privata per firmare la richiesta e inviarla al provider del servizio. Il provider del servizio utilizza la chiave pubblica per verificare che sia stata utilizzata la chiave privata corretta e, in tal caso, concede all'utente l'accesso al proprio account.

Una password memorizzata su un dispositivo può essere utilizzata per accedere a un servizio su un altro dispositivo. Ad esempio, se un utente imposta una passkey per il proprio account di posta elettronica sul dispositivo mobile, può comunque accedere a quell'account su un laptop. L'utente completerebbe la richiesta di autenticazione sul dispositivo mobile registrato.

FIDO2 supporta anche l'uso di chiavi di sicurezza, come ad esempio una YubiKey o Google Titan, quale metodo di autenticazione.

Le chiavi di sicurezza, chiamate anche "token hardware", sono piccoli dispositivi fisici che trasmettono le informazioni di autenticazione direttamente a un servizio. Possono connettersi tramite Bluetooth, protocolli NFC (Near Field Communication) o una porta USB. Gli utenti possono utilizzare una chiave di sicurezza FIDO2 invece dei dati biometrici o di un PIN per autenticarsi e firmare una richiesta.

Poiché la chiave privata viene memorizzata sul dispositivo dell'utente (e non lo lascia mai), la possibilità di una violazione della sicurezza è ridotta al minimo. Gli hacker non possono rubarla entrando in un database o intercettando le comunicazioni. La chiave pubblica che risiede presso il provider di servizi non contiene informazioni sensibili ed è di scarsa utilità per gli hacker.

Supponiamo che un utente desideri utilizzare l'autenticazione FIDO per accedere al proprio account e-mail. La procedura per creare una passkey e autenticarsi con essa sarebbe la seguente:

1. Nelle impostazioni dell'account, l'utente seleziona "passkey" come metodo di autenticazione.
   
   
2. L'utente seleziona il dispositivo su cui desidera creare la passkey. Questo dispositivo è solitamente quello che stanno utilizzando al momento, ma può anche essere un altro dispositivo di loro proprietà.
   
   
3. Il dispositivo selezionato richiede all'utente di autenticarsi tramite dati biometrici, un PIN o una chiave di sicurezza.
   
   
4. Il dispositivo dell'utente crea una coppia di chiavi crittografiche. La chiave pubblica viene inviata al provider di posta elettronica, mentre la chiave privata viene archiviata sul dispositivo.
   
   
5. Al successivo accesso da parte dell'utente, il provider di e-mail invia una richiesta al dispositivo dell'utente.
   
   
6. L'utente risponde alla richiesta autenticandosi tramite biometria, un PIN o una chiave di sicurezza.
   
   
7. Il dispositivo restituisce la richiesta di autenticazione al provider di e-mail, che utilizza la chiave pubblica per verificarla.
   
   
8. All'utente viene concesso l'accesso all'account di e-mail.

FIDO2 supporta due tipi di passkey: passkey sincronizzate e passkey associate al dispositivo.

Le password sincronizzate possono essere utilizzate su più dispositivi, il che le rende più convenienti. I gestori di credenziali come Apple Passwords, Windows Hello e Google Password Manager possono memorizzare le passkey sincronizzate e renderle disponibili agli utenti su qualsiasi dispositivo.

Ad esempio, un utente potrebbe registrare una passkey su uno smartphone per accedere a un'applicazione bancaria. La stessa passkey sarà disponibile tramite il gestore delle credenziali quando l'utente accederà all'applicazione bancaria dal proprio laptop o tablet.

Questo tipo di passkey è associato a un singolo dispositivo e offre il massimo livello di sicurezza.

Le passkey legate al dispositivo sono in genere accessibili con una chiave di sicurezza fisica collegata a un particolare dispositivo. La passkey non può lasciare il dispositivo, quindi è meno vulnerabile agli accessi non autorizzati.

Le password associate al dispositivo vengono spesso utilizzate per accedere a informazioni altamente sensibili come dati finanziari, proprietà intellettuale aziendale o documentazione governativa riservata.

Nel 2013 un gruppo di aziende tecnologiche ha fondato la FIDO Alliance. L'obiettivo dell'organizzazione era quello di ridurre la dipendenza dalle password a livello globale.

Un anno dopo, l'associazione ha introdotto lo standard FIDO 1.0, che consisteva in due protocolli: Universal Authentication Framework (UAF) e Universal Second Factor (U2F). Il nuovo standard ha gettato le basi per l'autenticazione senza password, ma aveva un ambito limitato.

Ad esempio, FIDO 1.0 si è concentrato principalmente sul fornire un secondo fattore per l'autenticazione basata su password invece di eliminare completamente le password. Inoltre, era privo di una standardizzazione che ne consentisse una facile adozione su diverse piattaforme, applicazioni e browser web.

La FIDO Alliance ha colmato queste lacune nel 2018, quando ha lanciato i due nuovi protocolli FIDO2, Client to Authenticator Protocol 2 (CTAP2) e Web Authentication (WebAuthn).

CTAP2 offre un'esperienza di autenticazione senza password a fattore singolo. WebAuthn semplifica l'adozione di FIDO con un'interfaccia di application programming interface (API) standardizzata basata su browser. Questa funzionalità estesa ha aiutato FIDO2 a diventare uno standard di autenticazione ampiamente adottato per siti web, applicazioni e servizi online.

Oggi, milioni di persone utilizzano l'autenticazione FIDO2 per accedere a siti web e app. Lo standard FIDO2 è supportato dalla maggior parte dei dispositivi utente, dei browser web, dei sistemi single sign-on (SSO), delle soluzioni di gestione delle identità e degli accessi (IAM), dei server web e dei sistemi operativi, tra cui iOS, macOS, Android e Windows.

2013: viene fondata la FIDO Alliance con l'obiettivo di ridurre la dipendenza dall'autenticazione basata su password.

2014:  viene rilasciato FIDO 1.0.

2015: gli standard FIDO iniziano ad essere riconosciuti in tutto il mondo. la FIDO Alliance si espande a oltre 250 membri, tra cui aziende come Microsoft, Google, PayPal e Bank of America.

2016: FIDO Alliance inizia a lavorare su FIDO2. Il gruppo collabora con l'influente World Wide Web Consortium per garantire che il nuovo standard sia supportato su diversi browser web e piattaforme.

2018: viene lanciato FIDO2 che amplia le funzionalità di FIDO 1.0.

2020: FIDO2 è supportato e implementato nei principali browser web e sistemi operativi, tra cui Firefox, Chrome, Edge, Safari, Android, iOS e Windows.

2024: la FIDO Alliance annuncia che oltre 15 miliardi di account utente in tutto il mondo sono in grado di utilizzare l'autenticazione FIDO2.

Sebbene FIDO 1.0 e FIDO2 consentano entrambi l'autenticazione senza password, FIDO2 estende significativamente la portata e le funzionalità dello standard FIDO con un'autenticazione avanzata completamente senza password tramite dispositivi mobili, desktop o chiavi di sicurezza.

FIDO2 offre un'esperienza di accesso più intuitiva eliminando la necessità di inserire le password come primo fattore nell'autenticazione a più fattori (MFA). Fornisce inoltre un'API standardizzata basata sul web per una facile adozione.

Per avere un quadro più chiaro della differenza tra FIDO 1.0 e FIDO2, è utile esaminare i protocolli specifici alla base di ciascuna iterazione dello standard. 

FIDO UAF è stato tra i primi protocolli sviluppati dalla FIDO Alliance. Fornisce la funzionalità per accedere a un servizio senza utilizzare una password. Infatti, un utente può autenticarsi direttamente da un dispositivo utilizzando dati biometrici come il riconoscimento vocale o facciale, o un PIN.

Tuttavia, la mancanza di standardizzazione di UAF ha reso difficile l'integrazione e l'implementazione su vari browser web, applicazioni e server. Questa limitata interoperabilità ha rappresentato un ostacolo alla sua adozione su larga scala.

L'U2F di FIDO è stato sviluppato per fornire l'autenticazione a due fattori (2FA) per i sistemi che si basano su nomi utente e password. I metodi 2FA richiedono un secondo fattore per confermare l'identità degli utenti. U2F utilizza una chiave di sicurezza fisica come secondo fattore di autorizzazione. Dopo il lancio di FIDO2, l'U2F è stato rinominato "CTAP1".

La dipendenza dell'U2F dalla sicurezza fisica anziché da una gamma più ampia di dispositivi, come smartphone e laptop, è stato un fattore limitante per la sua adozione.

WebAuthn estende le funzionalità di UAF fornendo un'API web che rende l'autenticazione senza password facilmente accessibile alle parti che si affidano a questo tipo di autenticazione. Le "parti" sono i siti web e le app web che utilizzano l'autenticazione FIDO.

WebAuthn fornisce anche standard FIDO che definiscono il modo in cui devono fluire le interazioni tra l'applicazione web, il browser web e un autenticatore, come i dati biometrici o una chiave di sicurezza.

CTAP2 definisce il modo in cui un client FIDO, ad esempio un browser web o un sistema operativo, comunica con un autenticatore. Un autenticatore è il componente che verifica l'identità di un utente. In U2F (o CTAP1), l'autenticatore è sempre stato una chiave di sicurezza. CTAP2 aggiunge autenticatori aggiuntivi che risiedono sul dispositivo di un utente, come il riconoscimento biometrico vocale e facciale, le impronte digitali o un PIN.