Cos’è la FIDO Alliance di cui stentiamo parlare tanto nell’ambito del passaggio alla Apple Passkey – già implementata per iOS 16 – e alla Google Passkey, abilitata in Italia negli ultimi giorni? E cos’è lo standard FIDO che unisce le Big Tech verso un obiettivo comune? Lo scopo dell’alleanza a livello globale è quello di cambiare la natura dell’autenticazione e dell’accesso ad applicazioni e siti. All’associazione industriale – fondata nel febbraio 2013 con l’intento di sviluppare e promuovere standard di autenticazione che riducano la dipendenza del mondo dalle password – aderiscono non solo Apple, Google e Microsoft ma anche Amazon, Intel, Meta, Visa, Mastercard e altri ancora.
Lo scopo della FIDO Alliance è arrivare a rendere il sistema Passkey globale, così che ogni utente possa accedere in maniera sicura a tutti i servizi delle aziende che fanno parte dell’alleanza. Il riconoscimento biometrico, quindi, potrebbe essere utilizzato per l’accesso a moltissimi servizi (compreso il pagamento online).
LEGGI ANCHE >>> Anno 2023: la password più utilizzata in Italia è ancora “123456”
Per capire bene la struttura e gli scopi della FIDO Alliance basta andare sul sito ufficiale e c’è una pagina dedicata: «FIDO Alliance – viene spiegato – è un’associazione di settore aperta con una missione mirata: standard di autenticazione per contribuire a ridurre l’eccessiva dipendenza dalle password. FIDO Alliance promuove lo sviluppo, l’utilizzo e la conformità agli standard per l’autenticazione e l’attestazione dei dispositivi».
Il punto chiave è la natura stessa delle password, che «resistono nonostante il crescente consenso sulla necessità di ridurne l’uso, se non di sostituirle». Quello che è necessario fare è andare oltre la resistenza da parte degli utenti, puntando all’adozione diffusa di sistemi diversi ma «i consumatori non apprezzano l’esperienza dell’utente e i fornitori di servizi online non vogliono sostenere i costi e la complessità dello sviluppo e del provisioning delle proprie soluzioni dedicate».
«FIDO Alliance sta lavorando per cambiare la natura dell’autenticazione con standard aperti più sicuri delle password e degli SMS OTP, più semplici da usare per i consumatori e più facili da implementare e gestire per i fornitori di servizi», prosegue la presentazione. In che modo? Attraverso lo sviluppo di «specifiche tecniche che definiscono un insieme aperto, scalabile e interoperabile di meccanismi che riducono la dipendenza dalle password per l’autenticazione degli utenti».
FIDO sta per Fast IDentity Online e indica una serie di standard di autenticazione mirati che hanno lo scopo di rafforzare la procedura di accesso dell’utente ai servizi online. Sviluppati da FISO Alliance, questi standard devono permettere un’autenticazione più rapida e più sicura arrivando – infine – a soppiantare le password in tutto il mondo.
Sono stati descritti – nella prima generazione di specifiche – due protocolli FIDO: Universal 2nd Factor (U2F, che si verifica quando l’utente deve utilizzare, oltre la password, un dispositivo fisico in suo possesso per accedere come una chiave di sicurezza USB) e Universal Authentication Framework (UAF, che non prevede l’utilizzo di password ma la registrazione del dispositivo con abilitazione UAF con un servizio online selezionando un metodo di autenticazione locale supportato, solitamente quello biometrico).
C’è poi FIDO 2.0 (o FIDO2) che punta a rendere l’autenticazione forte dominante. Lo scopo di FIDO2 – che si compone di due parti, un PAI di Javascript e una versione estesa del protocollo Client-to-Authenticator CTAP2 – è integrare in modo semplice e pulito l’autenticazione FIDO nei servizi online così da renderla onnipresente e arrivare a superare le password.