Cos'è FIDO2 e come funziona? Vantaggi e svantaggi dell'autenticazione senza password

Accedere a un sito web o a un servizio utilizzando la combinazione tradizionale di nome utente e password non è più il metodo più sicuro o efficace. Man mano che i cybercriminali diventano tecnologicamente più avanzati, anche i metodi di protezione dei dati devono evolversi. 

Qui entrano in gioco i nuovi standard di autenticazione, come FIDO2, che possono essere strumenti preziosi per affrontare queste sfide di sicurezza. Ma cos’è l’autenticazione FIDO2 e quali strumenti si utilizzano al posto delle password? Come funzionano effettivamente le chiavi di sicurezza FIDO2?

In Hideez, abbiamo aiutato dozzine di organizzazioni a implementare un’esperienza di accesso senza password negli ultimi anni. In qualità di membro certificato della FIDO Alliance e fornitore di chiavi di sicurezza approvato da Microsoft, rimaniamo all'avanguardia nelle tendenze e nei progressi della cybersecurity. Esploriamo quindi l’argomento in modo più approfondito!

Cos’è FIDO2? Il nuovo standard senza password

FIDO sta per Fast Identity Online. Con l'aggiunta del numero due alla fine, questo acronimo si basa sul lavoro precedente svolto dalla FIDO Alliance, in particolare nello sviluppo dello standard di autenticazione Universale Secondo Fattore (U2F).

La FIDO Alliance è stata fondata nel luglio 2012 da PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon e Agnitio. L’obiettivo di questa alleanza era ridurre la dipendenza dalle password tradizionali e migliorare il funzionamento dell’autenticazione dell’identità.

FIDO2 è il terzo standard emerso dalla FIDO Alliance, dopo il FIDO Universale Secondo Fattore (U2F) e il FIDO Universal Authentication Framework (UAF).

L'obiettivo principale di FIDO2 è eliminare l'uso delle password e dei metodi tradizionali di MFA (OTP, notifiche push, codici di verifica SMS, ecc.) e sostituirli con metodi di accesso senza password: impronte digitali, riconoscimento facciale, blocco schermo o token hardware. Di conseguenza, l’autenticazione FIDO2 è molto più user-friendly e protegge da attacchi online comuni come phishing, spoofing, keylogging, attacchi a forza bruta, MITM e altre minacce basate sull'identità.

Cos'è un autenticatore FIDO2?

Un autenticatore FIDO2 è un dispositivo o un software che supporta lo standard FIDO2 per l’accesso senza password. Progettati per soddisfare lo standard FIDO2, questi strumenti generano e memorizzano chiavi crittografiche, consentendo l'accesso agli account senza l’uso di password. Si presentano in varie forme, generalmente suddivise in tre categorie:

• Autenticazione biometrica (spesso chiamata "Passkey"): L'autenticazione biometrica consente agli utenti di accedere scansionando la propria impronta digitale o il proprio volto. È un’opzione rapida, sicura e conveniente, ampiamente supportata su telefoni cellulari e molti laptop moderni.
• Blocco dello schermo:  In assenza di sensori biometrici, gli utenti possono autenticarsi con un PIN specifico del dispositivo o il blocco dello schermo per accedere al proprio account. Questa opzione è particolarmente adatta per desktop o dispositivi meno recenti privi di funzionalità biometriche integrate, mantenendo un processo di autenticazione sicuro ma accessibile. 
• Chiavi di sicurezza fisiche: Conosciute anche come token hardware o chiavi FIDO2, le chiavi di sicurezza fisiche sono dispositivi esterni che abilitano l’accesso senza password collegandosi ai dispositivi finali tramite USB, NFC o Bluetooth. Esempi popolari includono YubiKeys, Hideez Keys e Solokeys. I proprietari delle chiavi di sicurezza si autenticano inserendo o toccando la chiave, spesso in combinazione con un PIN per una maggiore protezione. Alcune chiavi incorporano persino sensori biometrici, combinando la sicurezza dell'autenticazione hardware con la comodità delle biometrie.

Cosa sono le Passkey e come si confrontano con gli autenticatori FIDO?

Nel maggio 2022, Apple, Google e Microsoft hanno fatto un annuncio rivoluzionario: avrebbero supportato l’autenticazione FIDO2 sulle loro piattaforme con un nuovo nome, "Passkey". Riunendo tutte le forme di autenticazione FIDO2, mirano a rendere gli accessi senza password più accessibili e fluidi sia per i consumatori individuali che per le aziende.

Quindi, le Passkey sono semplicemente autenticatori FIDO2 con un nuovo nome? Non proprio. Le Passkey condividono la stessa struttura fondamentale degli autenticatori FIDO2, ma c'è una differenza chiave. Mentre le specifiche FIDO2 tradizionali richiedono che la chiave privata non lasci mai il dispositivo, le Passkey possono funzionare in due modi distinti:

• Passkey sincronizzate utilizzano l’archiviazione nel cloud (come iCloud, Google Password Manager o Microsoft Authenticator) per sincronizzare senza problemi le credenziali su tutti i dispositivi dell'utente. Ciò significa che non si resta più bloccati fuori dagli account se si perde l'accesso a un dispositivo. Le Passkey sincronizzate mantengono una sicurezza elevata consentendo un facile accesso multi-dispositivo, così l'accesso è fluido sia su laptop, tablet o telefono.
• Passkey legate al dispositivo, d'altra parte, rimangono associate a uno specifico dispositivo fisico, come una chiave di sicurezza fisica o un telefono cellulare. Queste Passkey rispettano i principi di sicurezza più rigorosi, garantendo che le credenziali non funzionino su altri hardware. Questo le rende ideali per le organizzazioni con politiche di sicurezza rigide, poiché limitano l'accesso a un unico dispositivo autorizzato, aggiungendo un ulteriore livello di controllo.

Il passaggio a un modello multi-dispositivo e multi-piattaforma ha reso l’autenticazione FIDO2 pratica sia per l’uso personale che aziendale. Tuttavia, gli strumenti senza password vengono utilizzati in modo molto diverso da individui e aziende, principalmente a causa delle differenze in termini di scala, gestione degli utenti e requisiti normativi.

Piattaforme e browser supportati da FIDO Alliance

Come funziona FIDO2?

Il protocollo FIDO2 si basa sulla crittografia a chiave pubblica per fornire un’autenticazione sicura e senza password. Scambiando chiavi private e pubbliche, valida l’identità di ciascun utente senza esporre informazioni sensibili.

Ecco un semplice esempio di come funziona il flusso di autenticazione senza password di FIDO2:

1. Quando un utente avvia un login FIDO2 su un servizio web, il server FIDO2 invia una sfida. Questa sfida richiede all’utente di rispondere firmandola con la propria chiave privata FIDO2.
2. L’utente compie quindi un’azione utilizzando il proprio autenticatore FIDO2, precedentemente configurato. Ciò può significare toccare un lettore di impronte digitali, toccare una chiave di sicurezza o inserire un PIN. L’autenticatore invia una risposta al server con i dati della chiave privata firmata.
3. Infine, il server verifica questa firma rispetto alla chiave pubblica registrata durante la configurazione. Se tutto è corretto, l’utente ottiene l’accesso al proprio account, senza necessità di password!

Una volta stabilito il percorso di comunicazione sicuro, le credenziali di configurazione vengono memorizzate in modo permanente, consentendo accessi rapidi e senza password per futuri login. La parte migliore? Non condividi mai informazioni sensibili con il server durante questo processo.

I tuoi dati biometrici rimangono sul tuo dispositivo personale e non vengono mai trasmessi a un server remoto. Il server riceve solo la conferma che il controllo della tua identità è stato superato, mantenendo i tuoi dati privati esattamente dove devono essere: sul tuo dispositivo.

Utilizzi pratici dell’autenticazione FIDO2

In che modo FIDO2 influisce sull'esperienza utente attraverso esempi reali? E ancora più importante per l'utente medio, in che forma è possibile implementarlo nella vita di tutti i giorni? Diamo un’occhiata più da vicino a come puoi implementare l’accesso senza password di FIDO2 in diverse forme:

1. Autenticatori di piattaforma

Gli autenticatori di piattaforma sono integrati nel tuo dispositivo e non possono essere rimossi, rendendoli facili e convenienti. In sostanza, puoi completare l'intero processo di autenticazione sullo stesso dispositivo che hai usato per iniziare il login. 

Un esempio? Scansionare la tua impronta digitale con un lettore di impronte digitali integrato nel tuo laptop. Non è necessario alcun dispositivo esterno: un semplice tocco e sei dentro.

Esempio di autenticazione di piattaforma

2. Autenticatori multipiattaforma

Noti anche come autenticatori itineranti, gli autenticatori multipiattaforma sono dispositivi esterni progettati per funzionare su più dispositivi. Ad esempio, potresti utilizzare il tuo smartphone o una chiave di sicurezza fisica, come la Hideez Key, per accedere a un’applicazione desktop sul tuo computer. 

Le chiavi di sicurezza fisiche sono sempre classificate come multipiattaforma, mentre gli smartphone possono fungere sia da autenticatori interni (di piattaforma) sia da esterni (multipiattaforma), a seconda di come vengono utilizzati.

Esempio di autenticazione multipiattaforma

Vantaggi e svantaggi di FIDO2

Vantaggi di FIDO2

L’autenticazione FIDO2 offre una serie di vantaggi per la sicurezza moderna. Ecco alcuni dei motivi principali per cui sta guadagnando popolarità sia tra gli utenti privati che tra le aziende:

• Elevata sicurezza. Il vantaggio più significativo dell’autenticazione FIDO2 è che riduce drasticamente la finestra di attacco per i criminali informatici. Per accedere alle tue informazioni private sensibili, gli aggressori avrebbero bisogno di un autenticatore FIDO2, che è fisicamente sempre con te sotto forma di dispositivo o dati biometrici.
• Compatibilità con Zero Trust. Il modello Zero Trust si basa sul principio di "non fidarsi mai, verificare sempre," essenziale negli ambienti di lavoro distribuiti odierni. FIDO2 si integra perfettamente con questo modello, offrendo un’autenticazione multifattoriale resistente al phishing che si allinea ai principi Zero Trust.
• Migliore esperienza utente. Un’esperienza più fluida, poiché non devi ricordare più dettagli di accesso e password per ciascuno dei tuoi account. La chiave di sicurezza FIDO2 U2F funziona su tutte le piattaforme supportate, offrendo massima sicurezza e convenienza per l’utente.

Svantaggi di FIDO2

Come ogni metodo di sicurezza, anche lo standard FIDO2 presenta alcuni svantaggi. Questi aspetti negativi non sono insormontabili, ma è bene esserne consapevoli se si intende adottare l’autenticazione senza password FIDO2 come pratica di sicurezza.

• Adozione limitata dai consumatori: Nonostante l'adozione di FIDO2 sia in crescita, non è ancora universale tra i servizi web. Come consumatore, puoi abilitare il login senza password per servizi popolari come Facebook, Twitter, Google, Dropbox, GitHub e molti altri. Tuttavia, molti siti web non supportano ancora FIDO2. Dal lato aziendale, invece, le imprese traggono vantaggio dalle soluzioni SSO senza password. Hideez e altri fornitori rendono possibile integrare quasi tutti i servizi web con l’autenticazione FIDO, spesso senza costi aggiuntivi.
• Considerazioni aziendali: Le Passkey sono sicuramente un miglioramento rispetto alle password, ma per le organizzazioni che necessitano di un controllo rigoroso sull’identità degli utenti, le Passkey sincronizzate potrebbero non essere ideali. In questi casi, le Passkey legate ai dispositivi su chiavi di sicurezza fisiche FIDO2 offrono la massima sicurezza e conformità, risultando la soluzione migliore per ambienti aziendali con standard di sicurezza elevati.

Come abilitare l’autenticazione FIDO2?

L’autenticazione FIDO2 consente agli utenti di accedere in modo sicuro senza password, sfruttando coppie di chiavi pubbliche-private e metodi forti e resistenti al phishing. Ecco una guida passo-passo per abilitare l’autenticazione FIDO2 sia per uso personale che aziendale:

Per uso personale

Per configurare l’accesso senza password come utente singolo, è necessario seguire alcuni passaggi:

1. Verifica della compatibilità

• Verifica se i servizi web che utilizzi supportano l'accesso con FIDO2 o Passkey.
• Piattaforme popolari come Google, Microsoft e Apple offrono ora il supporto Passkey per accessi sicuri.

2. Accedi alle impostazioni di sicurezza

• Vai alla pagina delle impostazioni di Sicurezza o Account del tuo account.
• Cerca un’opzione denominata Chiave di sicurezza, Passkey o Accesso senza password (la terminologia può variare a seconda del servizio).

3. Registra il tuo autenticatore FIDO2

• Segui le istruzioni per registrare il tuo dispositivo biometrico o una chiave di sicurezza fisica.
• Durante la configurazione, il servizio creerà una coppia di chiavi pubblica-privata unica per il tuo account.

4. Goditi accessi fluidi! Nei login successivi utilizzerai il metodo FIDO2 scelto al posto della password.

Esempio di configurazione delle Passkey su Google Workspace

Per uso aziendale

Implementare l’autenticazione FIDO2 in un ambiente aziendale richiede una pianificazione strategica. Ecco come iniziare:

1. Valutare le esigenze di sicurezza

• Definire gruppi di utenti in base ai loro livelli di accesso. Ad esempio, gli utenti generici possono utilizzare Passkey sincronizzate su dispositivi personali o aziendali. Nel frattempo, gli utenti privilegiati (es. manager o dirigenti) possono richiedere chiavi di sicurezza fisiche per una maggiore protezione.
• Valutare i requisiti di conformità della tua organizzazione e il modello di minacce per decidere il mix appropriato di soluzioni FIDO2. Negli Stati Uniti, ci sono normative come HIPAA, PCI DSS, e linee guida FFIEC, che enfatizzano i meccanismi di autenticazione forte, in particolare nei settori sanitario, finanziario e governativo. In Europa, DORA e la direttiva NIS2 presentano regole simili per proteggere le infrastrutture critiche dalle minacce informatiche.

2. Scegli il tuo fornitore di soluzioni

• Seleziona un fornitore che si integri bene con i tuoi sistemi IAM (es. Microsoft Active Directory, Okta, Ping Identity, ecc.).
• Cerca un’azienda che supporti una gamma di metodi compatibili con FIDO2, inclusi biometria, autenticazione mobile e chiavi FIDO2. Assicurati che la soluzione possa scalare facilmente con la crescita della tua organizzazione.
• Valuta le capacità di integrazione con i sistemi esistenti, come applicazioni legacy, login ai computer e ambienti RDP (Remote Desktop Protocol). Funzionalità avanzate come autenticazione adattiva, monitoraggio delle minacce in tempo reale e politiche personalizzabili per diversi gruppi di utenti possono migliorare ulteriormente la sicurezza e l’usabilità.

3. Avvia un progetto pilota

Collabora con il tuo fornitore di autenticazione senza password per lanciare un programma pilota che implementi l’autenticazione senza password in alcune applicazioni aziendali selezionate. Inizia con un piccolo gruppo di utenti per valutare l’usabilità, la compatibilità con i flussi di lavoro e la soddisfazione generale dei dipendenti. Utilizza questa fase per raccogliere feedback e identificare eventuali sfide prima di estendere la soluzione a livello organizzativo.

Prova l’autenticazione senza password con Hideez

Non sai da dove iniziare? Hideez è qui per semplificare il tuo percorso verso l’autenticazione senza password. Con il nostro portale cloud Basic Identity, puoi abilitare un Single Sign-On (SSO) senza password gratuito per un massimo di 50 utenti. Questa soluzione consente ai dipendenti di accedere ai servizi web utilizzando Passkey sincronizzate sui loro dispositivi personali, sfruttando le funzionalità biometriche integrate per un’autenticazione fluida e sicura. È un modo semplice ed economico per testare i vantaggi dell’autenticazione senza password senza dover affrontare integrazioni complesse.

Per le organizzazioni con esigenze più complesse, Hideez offre il servizio Enterprise Identity, progettato per gestire ambienti IT complessi e scenari di autenticazione unici. Le nostre soluzioni supportano una vasta gamma di metodi conformi a FIDO2, inclusi chiavi di sicurezza hardware, biometria e autenticatori mobili, garantendo flessibilità e adattabilità per casi d’uso diversificati. Che si tratti di proteggere l’accesso a sistemi legacy, workstation o ambienti RDP, Hideez offre opzioni complete su misura per le tue esigenze. Con una prova gratuita di 30 giorni, puoi esplorare come l’autenticazione senza password migliora la sicurezza, riduce l’attrito per l’utente ed elimina i rischi associati alle password.

Pronto ad abbracciare il futuro dell’autenticazione? Prenota una demo oggi stesso e scopri come Hideez può aiutarti a trasformare la tua strategia di sicurezza!

Domande Frequenti (FAQ)

1. Cos’è FIDO U2F e come funziona?

FIDO U2F (Universal 2nd Factor) è uno standard di sicurezza sviluppato per migliorare l’autenticazione online aggiungendo un fattore forte ai login tradizionali basati su password. Utilizza una chiave di sicurezza hardware, come un dispositivo USB o NFC, che genera una chiave crittografica unica per ogni servizio. Gli utenti si autenticano toccando la chiave o inserendola nel dispositivo, fornendo un’autenticazione a due fattori (2FA) resistente al phishing. U2F non sostituisce le password, ma le integra, rendendo i login più sicuri.

2. FIDO2 vs. U2F - Qual è la differenza?

La differenza principale tra FIDO2 e FIDO U2F risiede nel loro ambito di applicazione. FIDO2 è stato creato per consentire l’autenticazione senza password, eliminando completamente la necessità di password. Al contrario, FIDO U2F è stato progettato specificamente come un secondo fattore per rafforzare i login basati su password, fungendo da autenticazione a due fattori (2FA) di tipo FIDO.

Con il rilascio di FIDO2, U2F è stato integrato nel framework FIDO2 con il nome di CTAP1 (Client to Authenticator Protocol 1). Questo garantisce che i dispositivi U2F esistenti possano ancora funzionare come secondo fattore nei sistemi abilitati a FIDO2, offrendo retrocompatibilità. I siti web che supportano FIDO2 in genere consentono login senza password, ma alcuni possono ancora utilizzare U2F per scenari di 2FA avanzata.

Inoltre, FIDO2 ha introdotto CTAP2 e WebAuthn come parte del suo standard moderno. CTAP2 abilita funzionalità avanzate di autenticazione FIDO2, incluso il login senza password. I dispositivi con supporto CTAP2 sono considerati autenticatori FIDO2 e, se supportano anche CTAP1, possono offrire retrocompatibilità con U2F.

3. FIDO2 vs. WebAuthn

FIDO2 e WebAuthn sono strettamente correlati ma hanno scopi diversi. FIDO2 è lo standard più ampio che include sia WebAuthn (sviluppato dal W3C) che CTAP2 (sviluppato dalla FIDO Alliance). WebAuthn è l'API basata sul web che consente ai browser e ai server di comunicare con gli autenticatori FIDO2, consentendo il login senza password. Essenzialmente, è il protocollo che rende FIDO2 utilizzabile per l’autenticazione online su siti web e applicazioni. Mentre WebAuthn gestisce la comunicazione, CTAP2 definisce come gli autenticatori interagiscono con i dispositivi client.

4. FIDO2 vs. FIDO

FIDO (Fast Identity Online) è l’alleanza e il framework generale che include tutti i suoi standard, tra cui FIDO U2F, FIDO2 e i protocolli al loro interno. FIDO2 è un’evoluzione del framework originale FIDO, espandendo le sue capacità per consentire login senza password attraverso WebAuthn e CTAP2. Al contrario, FIDO U2F, come parte del framework originale, si concentrava esclusivamente sulla fornitura di un meccanismo sicuro di autenticazione a due fattori.

5. Quali siti web sono compatibili con FIDO2?

Un numero sempre maggiore di siti web e servizi è compatibile con FIDO2, inclusi importanti piattaforme tecnologiche come Google, Microsoft, Apple e Dropbox. Questi servizi consentono agli utenti di registrare autenticatori compatibili con FIDO2, come chiavi hardware o dispositivi biometrici, per proteggere i propri account. Molte organizzazioni stanno anche integrando FIDO2 per uso interno, consentendo login senza password per i dipendenti. Per verificare se un sito web specifico supporta FIDO2, cerca opzioni di autenticazione come "Login senza password", "Chiave FIDO" o "Passkey" nelle impostazioni di sicurezza.