icon

Cos'è FIDO2 e come funziona? Vantaggi e svantaggi dell'autenticazione senza password

Cosa è FIDO2 e come funziona?

 

Effettuare l'accesso a un sito web o a un servizio utilizzando la combinazione tradizionale di nome utente e password non è più il modo migliore o più sicuro di procedere. Con l'avanzare dei cybercriminali in termini di tecnologia, i metodi di protezione dei dati devono anche evolversi. Qui entra in gioco un nuovo standard di autenticazione come FIDO2, che può diventare uno strumento utile nella lotta a questa problematica.

Ma, cosa significa autenticazione senza password FIDO2 e quali strumenti di autenticazione vengono utilizzati invece delle password? Come funzionano anche le chiavi di sicurezza FIDO2? Risponderemo a queste e molte altre domande fondamentali riguardanti questo standard di autenticazione senza password in questa dettagliata panoramica. Continua a leggere per scoprire tutto sulla FIDO2 protocollo.

Contenuti

Cosa è FIDO2? Il nuovo standard senza password

Come funziona FIDO2

FIDO2 vs. FIDO U2F - Qual è la differenza

Vantaggi e svantaggi di FIDO2

Casi d'uso di FIDO2

Iniziare con l'autenticazione FIDO2

Cosa è FIDO2? Il nuovo standard senza password

FIDO sta per Fast Identity Online. Con un numero due aggiunto alla fine, questo acronimo si basa sul lavoro precedente svolto dalla FIDO Alliance, in particolare nello sviluppo dello standard di autenticazione Universal 2nd Factor (U2F).

La FIDO Alliance è stata fondata nel luglio 2012 da PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon e Agnitio. L'obiettivo di questa alleanza era ridurre la dipendenza dalle password tradizionali e migliorare il funzionamento dell'autenticazione dell'identità.

FIDO è il terzo standard ad emergere dalla FIDO Alliance, seguendo la FIDO Universal Second Factor (U2F) e il FIDO Universal Authentication Framework (UAF).

L'obiettivo principale di FIDO2 è eliminare l'uso delle password su Internet. È stato sviluppato per introdurre standard aperti e privi di licenza per un'autenticazione senza password sicura su Internet.

Il processo di autenticazione FIDO2 elimina le minacce tradizionali legate all'uso di un nome utente e di una password per il login, sostituendoli con lo standard di login FIDO2. Pertanto, protegge contro attacchi online comuni come phishing e attacchi man-in-the-middle.

Nel maggio del 2022, Apple, Google e Microsoft hanno annunciato il loro supporto per il nuovo set di standard per l'autenticazione senza password. Popolarmente definiti "passkeys" dai fornitori, questo nuovo schema di "credenziali FIDO multi-dispositivo" ha attirato notevole attenzione per il fatto che le credenziali potrebbero sopravvivere alla perdita di un dispositivo.

Una passkey è la stessa cosa di una chiave FIDO nell'essenza che la passkey viene generata una volta che l'utente verifica la propria identità. Queste passkey consistono in una coppia di chiavi pubbliche e private con crittografia end-to-end che protegge le credenziali durante la sincronizzazione su diversi dispositivi.

Come funziona FIDO2?

Il protocollo FIDO2 utilizza la crittografia a chiave pubblica per garantire un sistema di autenticazione sicuro e conveniente. Lo standard FIDO2 utilizza una chiave di passkey privata e pubblica per convalidare l'identità di ogni utente e raggiungere questo scopo. Per utilizzare l'autenticazione FIDO2, dovrai registrarla presso i servizi supportati da FIDO2.

Quindi, come funziona questo in pratica? Ecco un rapido esempio di FIDO2 che illustra come funziona il protocollo FIDO2:

  1. Quando l'utente tenta un login FIDO2 in un'app, il server FIDO2 utilizza WebAuthn per inviare una sfida al client FIDO, richiedendo di firmare i dati con la chiave privata FIDO2.
  2. L'utente quindi utilizza il metodo di autenticazione precedentemente configurato per rispondere a questa richiesta. Durante questo processo, il dominio del server FIDO2 viene verificato per assicurarsi che sia quello corretto utilizzato durante la registrazione. Questo passaggio aggiuntivo di implementazione di FIDO2 assicura una forte resistenza al phishing.
  3. Il client FIDO ottiene la chiave privata FIDO dal dispositivo autenticatore. Questo può avvenire tramite una passkey FIDO, una chiave di sicurezza fisica o un'app mobile.
  4. Il client FIDO quindi firma la sfida per dimostrarne la validità, e l'utente ottiene l'accesso alla piattaforma o al servizio.

Anche se i più grandi piattaforme come Apple, Google e Microsoft sostengono FIDO, non sono l'unico motore trainante dietro la FIDO Alliance e collaborano insieme a centinaia di aziende in tutto il mondo per rendere una autenticazione più semplice e più sicura una realtà.

Per configurare accessi senza password, devi seguire alcuni passaggi di configurazione:

  • Devi compilare il modulo di registrazione appropriato e scegliere un autenticatore FIDO2 (o un dispositivo FIDO2 o un modulo di piattaforma affidabile).
  • Il servizio genererà una coppia di chiavi di autenticazione FIDO2.
  • Il tuo autenticatore FIDO2 invierà la chiave pubblica al servizio, mentre la chiave privata contenente informazioni sensibili rimarrà sul tuo dispositivo.

Flusso di autenticazione FIDO

Flusso di autenticazione FIDO

Una volta abilitato il percorso di comunicazione sicura, le credenziali di configurazione vengono memorizzate permanentemente, consentendo accessi successivi. Ciò che è particolarmente importante ricordare per questo processo di accesso web sicuro è che non scambi segreti con i server. La parte cruciale delle informazioni, ovvero la chiave di sicurezza FIDO2, rimane sempre sul tuo dispositivo.

Naturalmente, è anche importante ricordare che queste passkey FIDO sono solo un passaggio nel processo, non la soluzione definitiva. Le organizzazioni dovrebbero considerare che FIDO è ancora in evoluzione, ed è cruciale rimanere aggiornati con i cambiamenti e le adattamenti futuri.

Casi d'uso dell'autenticazione FIDO2

Quindi, come influisce FIDO2 sull'esperienza utente complessiva attraverso esempi reali? Ancora più importante per l'utente medio, in che forma puoi implementarlo nella tua vita quotidiana? Diamo un'occhiata più da vicino a come puoi implementare l'accesso senza password FIDO2 in forme diverse:

1. Autenticatori di piattaforma

Questi tipi di autenticatori generalmente non sono rimovibili dal dispositivo cliente, poiché sono già integrati nel dispositivo. In altre parole, nessun altro dispositivo esterno è coinvolto nel processo di autenticazione. Questo li rende molto comodi per autenticazioni ripetute.

Autenticazione della piattaforma FIDO

Esempio di Autenticazione della Piattaforma

2. Autenticatori cross-platform.

Anche noti come autenticatori roaming, sono server di dispositivi esterni rimovibili e utilizzabili su diversi dispositivi. Con l'autenticazione cross-platform, un dispositivo esterno Bluetooth/NFC o una chiave di sicurezza fisica come la Hideez Key possono essere utilizzati come autenticatori. Il vantaggio principale degli autenticatori cross-platform è la semplificazione del processo di autenticazione da nuovi dispositivi.

Autenticazione cross-platform FIDO2

Esempio di Autenticazione Cross-Platform

FIDO2 vs. U2F - Qual è la Differenza?

Ora che comprendiamo come funziona l'autenticazione FIDO2, è utile anche fare un confronto tra FIDO2 e FIDO U2F per determinare la differenza. La differenza più significativa tra i due è che il primo è stato creato per permettere che tutta l'autenticazione diventi senza password. Al contrario, il FIDO U2F è stato progettato per servire come secondo fattore per le password.

Siti Web e Servizi FIDO2 e U2F

Per espandere su questo, con il rilascio di FIDO2, il U2F è stato effettivamente integrato in FIDO2. È stato rinominato CTAP1, servendo come forte secondo fattore per l'accesso dell'utente. Il CTAP1 consente l'uso dei dispositivi U2F esistenti per funzionare come client di autenticazione su sistemi abilitati a FIDO2.

Inoltre, con il rilascio di FIDO2, il CTAP2 è diventato il nuovo standard insieme a WebAuthn. Un autenticatore moderno che utilizza CTAP2 è anche noto come autenticazione FIDO2. Nello stesso respiro, se l'autenticatore FIDO2 include anche il CTAP1, sarà anche retrocompatibile con l'autenticazione U2F standard.

Vantaggi e Svantaggi di FIDO2

Vantaggi di FIDO2

Il vantaggio più significativo dell'autenticazione FIDO2 è che crea una finestra di attacco molto più piccola per i criminali informatici. Per accedere alle tue informazioni private sensibili, gli attaccanti avranno bisogno di un autenticatore FIDO2, che è fisicamente sempre a portata di mano sotto forma di dispositivo o biometrici.

Se utilizzi diversi siti supportati da FIDO2, godrai di un altro vantaggio sotto forma di un'esperienza più fluida, poiché non dovrai ricordare più dettagli di accesso e password per ciascuno dei tuoi account. La chiave di sicurezza FIDO2 U2F funzionerà su tutta la linea per tutte le piattaforme supportate, offrendo massima sicurezza e comfort per l'utente.

Svantaggi di FIDO2

Naturalmente, come qualsiasi altro metodo di sicurezza al mondo, lo standard FIDO2 ha certi svantaggi. Questi svantaggi non sono decisivi, ma sono qualcosa di cui dovresti essere consapevole se prevedi di implementare l'accesso senza password FIDO2 come pratica di sicurezza.

In particolare, questo standard richiede un passaggio di sicurezza aggiuntivo rispetto agli standard di accesso con password tradizionali se lo si utilizza come componente regolare dell'autenticazione a due fattori. Tenendo presente ciò, tale sistema non è il più pratico se accedi più volte al giorno a chiavi di sicurezza FIDO2 abilitate. 

Inoltre, dato che questo metodo di autenticazione non è ancora molto diffuso, al momento non ci sono molte chiavi di sicurezza supportate da FIDO2, anche se il numero di piattaforme abilitate a FIDO e browser abilitati a FIDO2 sta crescendo costantemente. Ad esempio, puoi abilitare l'accesso senza password su Facebook, Twitter, Google, Dropbox, GitHub e oltre 300 altri servizi che supportano FIDO2 o FIDO U2F.

Browser supportati da FIDO2

Supporto delle Piattaforme/Browser FIDO dalla FIDO Alliance

Come Iniziare con l'Autenticazione FIDO2

Gli attacchi informatici ci hanno mostrato che il fattore di rischio umano è un aspetto significativo delle violazioni della sicurezza informatica. Con l'implementazione di FIDO2 e l'autenticazione senza password, il fattore di rischio umano viene eliminato, consentendo un'esperienza utente molto più sicura. L'implementazione di FIDO2 si adatta perfettamente a un framework di sicurezza a tolleranza zero. Oltre ad essere robusto e conforme alle politiche di sicurezza più rigide, offre un'esperienza utente conveniente

Grandi aziende tecnologiche come Microsoft, Google e Apple supportano già opzioni di chiavi di sicurezza FIDO. Anche se questa forma di accesso sicuro è ancora nelle sue fasi relativamente iniziali, una cosa è certa: l'autenticazione senza password è il futuro.

Per i livelli più elevati di sicurezza e convenienza, Hideez offre un sistema di autenticazione senza password per le organizzazioni. Consente a ogni organizzazione di implementare un server personale FIDO2 che abiliterà un'esperienza senza password per tutti i dipendenti senza costi aggiuntivi. Può essere configurato per funzionare con qualsiasi servizio web, anche quelli che non supportano i protocolli FIDO per impostazione predefinita. 

Ogni utente potrà scegliere un metodo di autenticazione preferito: passkeys (dispositivi personali), un'app mobile che trasforma uno smartphone in una chiave FIDO, o una chiave di sicurezza fisica. Inoltre, le chiavi fisiche offrono funzionalità aggiuntive come l'accesso al PC in base alla prossimità e il logout, l'accesso basato su password a sistemi legacy, la generazione di OTP e l'accesso fisico a edifici basati sulla tecnologia RFID. Il design complesso della chiave Hideez assicura sia convenienza che protezione grazie a un insieme unico di funzionalità:

  • Accesso Digitale basato su Password - Questa funzionalità della chiave Hideez offre un'ottima esperienza utente in generale. Puoi utilizzare la chiave per bloccare o sbloccare il tuo PC Windows 10 in base alla prossimità e generare nuove password complesse e password monouso per l'autenticazione a due fattori. Inoltre, puoi memorizzare fino a 1.000 accessi e password dai tuoi account esistenti e garantirne il riempimento automatico sicuro. Questo include anche cartelle locali protette da password, file PDF, Word, ZIP e altri documenti che desideri mantenere al sicuro.
  • Accesso senza Password - Il dispositivo supporta anche FIDO U2F e FIDO2, i due standard di autenticazione aperti mirati a ridurre la dipendenza eccessiva dalle password nel mondo. Significa che la chiave Hideez può essere utilizzata per l'autenticazione senza password e 2FA su browser e piattaforme supportate da FIDO (servizi Google e Microsoft, Facebook, Twitter, Dropbox, Azure AD, ecc.), il cui numero è in costante crescita. La chiave Hideez supporta wireless l'autenticazione FIDO su dispositivi Windows 10 e Android 8+ tramite tecnologia Bluetooth Low Energy (BLE).  
  • Accesso in base alla Prossimità - Un blocco di prossimità integrato proteggerà il tuo computer ogni volta che ti allontani. Utilizzando la chiave Hideez, puoi bloccare e sbloccare automaticamente la tua postazione di lavoro Windows in base alla potenza Bluetooth tra la chiave e il tuo PC. Puoi personalizzare come desideri bloccarlo regolando le soglie di prossimità preferite e scegliendo il metodo di sblocco.
  • Accesso Fisico - Oltre all'accesso digitale, la chiave Hideez offre anche un accesso fisico conveniente. Un tag RFID integrato può essere preprogrammato per aprire qualsiasi serratura RFID delle porte in uffici, data center, fabbriche, ecc., sostituendo così una smart card.
  • Protezione Rinforzata - La chiave Hideez offre una protezione avanzata sia contro il phishing che il pharming, così come tutti gli altri attacchi legati alle password. Inoltre, a differenza della maggior parte degli altri gestori di password, la chiave Hideez non invia credenziali in cloud o a terze parti.

Con il Servizio Hideez, ogni organizzazione può passare all'autenticazione senza password a $6 per utente al mese. Inizia una prova gratuita di 30 giorni per capire come funziona e vedere i benefici dell'autenticazione senza password negli ambienti di lavoro.