Un nuovo standard di autenticazione, WebAuthn, ha ottenuto l’approvazione quasi definitiva del World Wide Web Consortium (W3C), l’ente che stabilisce gli standard per il web.

Basato su una specifica scritta dalla FIDO Alliance, WebAuthn apre le porte a nuove modalità di autenticazione, ad esempio tramite smartphone, scan di impronta digitale o webcam, rendendo Internet più sicuro per gli utenti.

Il tutto senza dover ricordare password sempre più lunghe per ogni servizio web a cui ci si registra (o senza affidare questi segreti a un password manager come LastPass).

 

Lo dice anche Gandalf.

 

Jeff Jaffe, CEO del W3C, ha chiarito il pensiero dell’organizzazione verso le password:

While there are many Web security problems and we can’t fix them all, relying on passwords is one of the weakest links,

Google, Microsoft e Mozilla hanno già avviato i processi per supportare Webauthn nei loro browser.

Il nuovo standard promette di proteggere gli utenti da attacchi di phishing e dall’utilizzo di credenziali rubate, perché non ci sarebbe niente da rubare.

After years of increasingly severe data breaches and password credential theft, now is the time for service providers to end their dependency on vulnerable passwords and one-time-passcodes and adopt phishing-resistant FIDO Authentication for all websites and applications,

Un utente potrebbe autenticarsi ad un sito inserendo username e ricevendo un alert sul proprio smartphone, e toccando l’alert verrebbe effettuato il login. Questo è soltanto un esempio per rendere l’idea del cambio di paradigma di autenticazione.

Il W3C ha fatto avanzare WebAuthn in quello che è chiamato “candidate recommendation” stage, il penultimo step prima dell’approvazione come standard web ufficiale.

Il cambiamento ovviamente non sarà da un giorno all’altro, ma iniziare il processo di rimozione delle password è un passo importante in una realtà in cui sempre più gli account vengono hackerati.