Di Jeff Broberg, Onelogin’s Senior Director for Mobile products and initiatives – 8 Agosto 2019

 

Il 4 marzo 2019 il W3C e il FIDO hanno annunciato la ratifica di WebAuthn. Poco dopo, OneLogin ha annunciato il supporto per WebAuthn (API di autenticazione Web) all’interno dell’offerta OneLogin. Potrà suonare come una notizia secondaria, ma in realtà cambierà il modo in cui eseguiamo l’autenticazione.

Facciamo un semplice esempio. Mentre utilizziamo i nostri dispositivi mobili per svolgere le attività quotidiane, siamo bombardati da modalità di autenticazione che non sono ideali su tastiera mobile. L’immissione di più password o persino la risposta alle notifiche push OTP non è di facile utilizzo su dispositivi smart. Allo stesso modo, molti nuovi desktop ora hanno sensori biometrici che ti consentono di autenticarti con il riconoscimento facciale o i lettori di impronte digitali.

Perché non possiamo usarli per autenticare le risorse web? Fino ad ora, la risposta breve è stata l’assenza di un modo standardizzato per raggiungere questo obiettivo. Gli sviluppatori sono stati costretti a utilizzare API proprietarie specifiche per varie piattaforme per abilitare questa funzionalità. Il risultato finale sono state integrazioni non ottimali e, spesso, un’esperienza utente incoerente su varie piattaforme e browser.

Negli ultimi anni, siamo stati inondati di innumerevoli segnalazioni di violazioni della sicurezza, furto di identità e acquisizione malevola di account. Ci viene costantemente ricordato che utilizzare la stessa password su vari siti Web è una pessima pratica. L’industria ci dice che la risposta a questi problemi è l’ autenticazione a più fattori (MFA) o autenticazione a due fattori (2FA). In questo caso, hanno ragione! L’uso di MFA o 2FA per proteggere le identità degli utenti è molto efficace per combattere le minacce che ho citato in precedenza. Abilitando l’MFA per i tuoi account, puoi ridurre del 99,9% le minacce a te e alla tua azienda.

Sfortunatamente, l’MFA è percepita come difficile o scomoda per gli utenti finali. Invece di inserire un ID utente e una password, gli utenti sono anche tenuti a fornire un altro fattore per dimostrare di essere chi dichiarano di essere. Naturalmente ci sono molti fattori di autenticazione che forniscono diversi livelli di sicurezza, usabilità e costi per un’organizzazione. Questi includono elementi come password, domande di sicurezza, domande basate sulla conoscenza, token hardware, OTP, PUSH mobile e chiavi hardware come Yubico Yubikeys e la chiave Titan di Google.

L’MFA non deve essere difficile, soprattutto quando gli utenti possono scegliere tra diversi tipi di autenticazione. Dato il numero di tipi di autenticazione, il tipo di autenticazione scelto da un utente si riduce spesso alle preferenze. A volte gli utenti vogliono decidere quale tipo di fattore di autenticazione vorrebbero utilizzare. Consentire agli utenti di selezionare la loro forma di MFA, che si tratti di lavoro, di fare acquisti online o di accedere a servizi pubblici è un grande vantaggio.

Molti di noi hanno dispositivi smart nuovi e performanti come un iPhone di Apple o un telefono Android di Google. Questi telefoni hanno funzionalità avanzate che supportano elementi come la comunicazione near-field (NFC), Bluetooth e sensori biometrici integrati come TouchID e FaceID di Apple. I dispositivi Android hanno funzionalità simili. Quindi, ci stiamo già abituando all’utilizzo delle funzionalità del nostro telefono durante l’accesso a siti Web.

Ora, torniamo a WebAuthn. A volte indicato come FIDO (Fast Identity Online), FIDO2 o U2F, questi termini descrivono gli sforzi che sono stati ratificati dal World Wide Web Consortium (W3C) a marzo. WebAuthn è il culmine di molti anni di sforzi da parte di persone molto intelligenti che sono profondamente interessate all’identità, alla privacy e che consentono una rete più sicura e utilizzabile. WebAuthn stabilisce una serie di standard che definiscono come utilizzare vari tipi di autenticatori per richieste di accesso di dipendenti, clienti, partner, appaltatori o cittadini. WebAuthn rende gli autenticatori disponibili per l’uso da parte di molti dei siti Web e dei servizi che probabilmente utilizzate oggi. Il punto di forza di questi elementi, oltre all’usabilità, è che utilizzano le capacità crittografiche dei dispositivi per garantire che i materiali di autenticazione siano archiviati sul dispositivo dell’utente reale.

Ecco un esempio. Supponiamo di voler consentire agli utenti finali di un cliente OneLogin di sfruttare gli autenticatori biometrici come secondo fattore sul proprio smartphone. Prima di WebAuthn, OneLogin avrebbe dovuto implementare API proprietarie per integrare le capacità biometriche di iOS e Android o Mac e PC nella loro offerta MFA. Questo non è molto efficiente per OneLogin e, poiché vengono creati nuovi autenticatori, anche QUESTI dovrebbero essere integrati. Questo scenario non è sostenibile.

WebAuthn consente ai provider di identità come Facebook, Google, Amazon e OneLogin di implementare una strategia di autenticazione che consente a un utente di definire quale autenticatore ha più senso per loro. Pertanto, invece dI lasciare la scelta ai siti visitati, sarai tu a decidere quale autenticatore desideri utilizzare. Forse ti piacerebbe usare il lettore di impronte digitali del tuo Mac come secondo fattore. Forse preferiresti sostituire l’uso di una password sul telefono con il lettore di pollice del telefono, oppure utilizzare chiavi Yubikey che distribuirai ai tuoi dipendenti. Qualsiasi siano le sue preferenze, agli utenti viene data la possibilità di decidere quale fattore di autenticazione ha più senso per loro, per la loro azienda e per i siti che frequentano.

WebAuthn è nuovo e sarà una nuova esperienza per molti utenti, quindi prima inizi a comprenderne i punti di forza e i vincoli, prima sarai su un percorso verso un’esperienza di autenticazione web più sicura, robusta e scalabile.

OneLogin ritiene che WebAuthn abbia un enorme potenziale per i provider di identità e gli utenti. Siamo entusiasti di fornire questo supporto ai nostri clienti molto rapidamente dopo l’adozione dello standard. Ma non crederci sulla parola! Crea un’istanza di OneLogin e provala tu stesso !