Oggi il W3C (corpo degli standard web) e l'Alleanza FIDO (che sta lavorando duramente per fornire un'autenticazione più semplice e più forte per sostituire le password) hhanno annunciato di aver finalizzato lo standard WebAuthn per connessioni sicure senza password.
WebAuthn è un contesto di sicurezza guidato dal furto di password e dalla fuga di dati che, Nel maggio 2016, il gruppo di lavoro sull'autenticazione web del W3C (WebAuthn) e la FIDO Alliance (Fast IDentity Online) hanno pubblicato una bozza sulla specifica di uno standard di autenticazione per diversi browser, lo standard WebAuthn.
Il suo scopo è consentire a qualsiasi sito web o servizio online di utilizzare applicazioni, chiavi di sicurezza o dati biometrici come login invece di password o utilizzare questi approcci alternativi come secondo metodo di verifica.
Questo standard ha lo scopo di eliminare la necessità di inserire password quando gli utenti si connettono a Internet.
Per l'obiettivo principale è garantire l'accesso alle applicazioni web.
È giunto il momento per i servizi Web e le aziende di adottare WebAuthn per prevenire la vulnerabilità delle password e migliorare la sicurezza delle esperienze online degli utenti Web ", ha affermato Jeff Jaffe.
È con queste parole che il CEO del W3C ha commentato il successo di uno sforzo per finalizzare le password.
E bene, oggi WebAuthn è ora uno standard web ufficiale, che considerano un passo importante per rendere il web più sicuro e più utilizzabile dagli utenti di tutto il mondo.
Ora chiedono alle piattaforme online di adottare questo nuovo standard.
“Le applicazioni e i servizi Web possono e devono abilitare questa funzione in modo che i loro utenti possano connettersi più facilmente tramite biometria, dispositivi mobili o chiavi di sicurezza FIDO, con molta più sicurezza delle semplici parole. password “, sostengono congiuntamente il W3C e l'alleanza FIDO.
FIDO2 e WebAuthn: una soluzione al problema delle password
Per tua informazione, FIDO2 soddisfa la specifica di autenticazione Web W3C e il protocollo CTAP (Alliance Client Authentication Protocol) FIDO.
Tramite FIDO2 e WebAuthn, le due organizzazioni credono che la comunità tecnologica globale hha sviluppato una soluzione comune al problema delle password comuni- Una soluzione ergonomica contro il furto di password, il phishing e altri tipi di attacchi di questo tipo.
FIDO2 risolverebbe tutti i problemi associati all'autenticazione tradizionale, come spiegato nel comunicato stampa del W3C e dell'alleanza FIDO:
Sicurezza: Le credenziali di accesso crittografiche di FIDO2 sono univoche su ciascun sito Web e non sono presenti informazioni biometriche o altre informazioni segrete come password che escono dal terminale dell'utente o memorizzate su un server.
Questo modello di sicurezza elimina qualsiasi rischio di phishing, tutte le forme di furto di password e attacchi "replay".
il comfort: gli utenti si connettono con metodi convenienti come lettori di impronte digitali, fotocamere, chiavi di sicurezza FIDO o dispositivi mobili.
Confidencialidad: Le chiavi FIDO sono univoche per ogni sito Web, non possono essere utilizzate per il monitoraggio tra i siti.
Scalabilità: i siti web possono abilitare FIDO2 con una semplice chiamata API su tutti i browser e piattaforme.
WebAuthn farà risparmiare tempo e offrirà sicurezza
In uno studio 2017 di Verizon Security, la W3C Alliance e la FIDO spiegano che ora è stato stabilito che le password hanno perso la loro efficacia.
Password predefinite, basse o rubate non solo causano l'81% delle violazioni dei dati, ma fanno anche sprecare tempo e risorse.
Riferendosi anche a un recente studio del fornitore di chiavi di sicurezza Yubico, ancora affermare che gli utenti trascorrono 10.9 ore all'anno inserendo o reimpostando le password, il che costa alle aziende una media di $ 5.2 milioni all'anno.
WebAuthn ha già il supporto
WebAuthn supporta già Windows 10 e Android, nonché i browser web Google Chrome, Mozilla Firefox, Microsoft Edge e Apple Safari (in anteprima).
Questo dimostra che la tua adozione è sulla strada giusta. La FIDO Alliance ha anche lanciato un programma di certificazione per i fornitori pronti a implementare lo standard sui loro browser o piattaforme. Ciò accelererà la fine delle password.
fonte: www.w3.org