Android da ieri è certificato FIDO2: ciò vuol dire che tutti i dispositivi con Android 7.0 (e superiori) in futuro saranno in grado di abilitare l'accesso a servizi online o applicazioni di diverso genere semplicemente tramite l'impronta digitale invece che una password. La buona notizia è che per il riconoscimento delle impronte si potranno impiegare non solo smartphone ma anche le chiavette di sicurezza compatibili con FIDO.
La potenziale comodità è enorme, poiché vuol dire che l'oltre miliardo di dispositivi Android presenti nel mondo potranno dire addio alle password. Per altro è certificata anche la compatibilità con il browser Chrome, quindi l'autenticazione mobile sarà possibile con ogni servizio o applicazione che implementerà il supporto.
"Google è stato coinvolto nel progetto FIDO in un certo senso, soprattutto a causa del phishing, che riteniamo sia uno dei maggiori problemi di autenticazione sul web oggi ", ha commentato Christiaan Brand, il product manager di Google che si occupa di identità e sicurezza. "La naturale evoluzione era proiettata verso FIDO2. I clienti sono già abituati a utilizzare questi sensori sul terminale per l'autenticazione nelle applicazioni ogni giorno, quindi come possiamo rendere tale tecnologia disponibile per i siti Web? ".
In sintesi si parla di uno strumento abbastanza universale – considerata la diffusione di Android – che domani potrebbe consentire di abilitare agevolmente servizi streaming, musicali o di altro genere con un'impronta. Un po' come avviene oggi con molte app di home banking. E non si esclude anche che la procedura possa essere impiegata con gadget, elettrodomestici, etc.
https://www.youtube.com/watch?time_continue=591&v=CkJf8zv1yBw
FIDO2, e il suo standard WebAuthn sviluppato da FIDO Alliance e World Wide Web Consortium, oggi è supportato dai principali browser (tranne Safari, che sarà aggiornato in futuro) e l'account Microsoft ma sarà probabilmente Android il motore del cambiamento. E se gli utenti da una parte potrebbero considerare la novità una semplice comodità, dall'altra bisogna considerare che la cifratura di alto livello impiegata è in grado di proteggere adeguatamente da phishing, attacchi man-in-the-middle e potenziale furto di credenziali. Fermo restando il fatto che nessuna strategia di difesa informatica è perfetta.
In futuro sarà bene fare attenzione quindi ai loghi sulle confezioni di dispositivi o sui siti: la presenza del marchio FIDO2 confermerà il supporto compatibilità.
Aggiornamento del 4 marzo 2019. Il W3C ha approvato WebAuthn come standard Web ufficiale.
Un esempio di attuale dispositivo che supporta FIDO? Feitian Multipass Security Key