Un anno di lavoro per
cambiare il web per come lo conosciamo e lo abbiamo conosciuto negli anni
passati. Questo l'obiettivo che si pone il Web Authentication Working Group,
gruppo di lavoro creato dal World Wide Web Consortium a inizio 2016 per
incrementare il livello di sicurezza di applicativi, servizi e portali web. Uno
scopo da raggiungere favorendo l'utilizzo dell'autenticazione in due passaggi e
di dispositivi hardware (come chiavette crittografiche, ad esempio) al posto
delle "solite" password.
Il gruppo di lavoro,
diretto da Richard Barnes di Mozilla e Anthony Nadalin di Microsoft si occuperà
di sviluppare una suite di API da integrare nei web browser (non solo Firefox o
Edge, ma anche Safari, Opera e Chrome solo per citare i più importanti) per
rivoluzionare il modo in cui siamo soliti effettuare il login. Il working group
si occuperà di determinare quali siano i casi nei quali le API devono entrare
in gioco e, partendo da queste situazioni-tipo, derivare i requisiti software
da sviluppare in un secondo momento. In particolare, chi si troverà a definire
lo standard dovrà pensare e realizzare anche un sistema crittografico
asimmetrico capace di proteggere le informazioni personali inviate in fase di
login.
Bisogna dire che il
lavoro degli ingegneri del W3C non partirà da zero. Il gruppo di lavoro Web
Authentication potrà contare sulle specifiche del progetto FIDO 2.0, presentato
nel 2015 da un'equipe di ricercatori di sicurezza web alle dipendenze Google, Microsoft
e PayPal. In particolare, il progetto FIDO fa affidamento su un sistema di
verifica dell'identità dell'utente basato sullo smartphone: sfruttando una
suite di API, una volta caricata la pagina di login l'utente dovrà compiere
un'azione con il proprio telefonino (il funzionamento è, a grandi linee, lo
stesso utilizzato dalle app per l'autenticazione in due passaggi). In questo
modo sarà possibile eliminare la password e autenticarsi, ogni volta, compiendo
un'azione univoca.
Ovviamente, il sistema
proposto da Google, Microsoft e PayPal (a vario titolo interessati ai temi
della sicurezza informatica e della protezione dei dati personali degli utenti)
prevede anche dispositivi di sicurezza tesi a evitare furti di identità online.
Nel caso in cui si smarrisse lo smartphone solitamente utilizzato per
l'autenticazione, l'utente dovrà inviare una segnalazione ai server FIDO, che
provvederanno a eliminare la sincronizzazione tra telefono e account. Solo nel
momento in cui l'utente invierà richiesta di nuova sincronizzazione da un altro
dispositivo potrà tornare a loggarsi utilizzando il sistema senza password
ideato da Microsoft, Google e PayPal.
Come detto, il lavoro del
team del W3C ha preso il via a inizio 2016 (febbraio 2016, per l'esattezza) e
durerà un anno circa. La prima proposta di protocollo standard è attesa tra il
dicembre 2016 e gennaio 2017, ma si tratta solo del primo passaggio formale
verso l'approvazione definitiva. Il processo di definizione degli standard del
World Wide Web Consortium si compone di quattro step e solitamente richiede
alcuni anni prima di essere completato. Insomma, saremo "costretti" a
utilizzare password per accedere ai nostri profili web ancora per qualche
tempo.
Fonte: Fastweb
Nessun commento:
Posta un commento