In uno sforzo congiunto per rendere il Web più sicuro e utilizzabile per tutti, Apple, Google e Microsoft hanno annunciato l’intenzione di espandere il supporto per uno standard di accesso senza password comune creato da FIDO Alliance e World Wide Web Consortium.
La nuova funzionalità consentirà ai siti Web e alle app di offrire accessi senza password coerenti, sicuri e facili ai consumatori su tutti i dispositivi e le piattaforme.
L’autenticazione della sola password è uno dei maggiori problemi di sicurezza sul Web e la gestione di così tante password è ingombrante per gli utenti, i quali spesso trovano il processo noioso e quindi decidono di ricorrere alla medesima password per tutti i servizi.
Nel comunicato stampa diffuso da Apple si legge:
“Allo stesso modo di come progettiamo i nostri prodotti in modo che siano intuitivi, li progettiamo anche per essere sicuri – ha dichiarato Kurt Knight, Senior Director of Platform Product Marketing di Apple. Lavorare con le altre aziende del settore per stabilire nuovi metodi di accesso, più sicuri e che eliminino le vulnerabilità delle password è fondamentale per il nostro impegno nella creazione di prodotti che offrano la massima sicurezza e un’esperienza d’uso trasparente, il tutto con l’obiettivo di mantenere al sicuro le informazioni personali degli utenti”.
Mark Risher, Senior Director of Product Management di Google ha dichiarato:
“Per Google, è il coronamento di quasi dieci anni di lavoro al fianco di FIDO. Non vediamo l’ora di rendere disponibile la tecnologia FIDO su Chrome, ChromeOS, Android e le altre piattaforme, e incoraggiamo gli sviluppatori di app e siti web a fare lo stesso affinché le persone di tutto il mondo possano eliminare rischi e seccature delle password”.
Come funziona il sistema di protezione FIDO?
Quando ci si registra a un servizio online, il dispositivo — lo smartphone, per intenderci — crea una nuova coppia di chiavi. Quella privata viene conservata sul dispositivo stesso, mentre quella pubblica viene registrata dall’app o dal sito web. Quando l’utente vuole entrarvi successivamente, il dispositivo deve «dimostrare» di avere la sua chiave privata al servizio. La chiave privata viene sbloccata attraverso l’inserimento di un Pin, il riconoscimento facciale o qualsiasi altro strumento che utilizziamo per sbloccare il nostro telefono, Pc o tablet. Un po’ come un password manager, dove vi è un’unica password (in questo caso l’autenticazione sullo smartphone) da ricordare.