I dispositivi che installano il sistema operativo Android 7 e successivi da ieri sono certificati FIDO2: invece delle password si potrà usare l'impronta digitale per accedere a servizi e siti web.
Non passa giorno in cui le password non si rivelino un problema per la sicurezza: troppi utenti ne usano di troppo semplici, o riciclano le stesse parole chiave per più servizi. Presto non ci sarà più questo problema perché FIDO Alliance (il consorzio che sviluppa standard di autenticazione open source) ha coinvolto anche Android. Da ieri i dispositivi con sistema operativo Android 7.0 e superiori sono automaticamente certificati FIDO2, o lo saranno dopo un aggiornamento automatico di Google Play Services. Significa che possono sfruttare gli standard FIDO per accedere ai servizi web tramite l’impronta digitale anziché la password.
Il lettore per le impronte digitali è presente sulla stragrande maggioranza degli smartphone, e molte app già permettono di usarlo. Pensiamo per esempio a PayPal e affini. Usare lo stesso sistema per i siti web mobili è semplicemente un passo avanti verso la comodità e la sicurezza. Lo standard FIDO2 peraltro è compatibile con tutti i principali browser (tranne Safari, che sarà aggiornato in futuro), quindi l’autenticazione mobile sarà possibile con ogni servizio o applicazione che implementerà il supporto.
Considerata la diffusione di Android, quello di cui parliamo potrebbe presto diventare a tutti gli effetti uno strumento universale, capace di abilitare servizi di streaming audio e video, e qualsiasi altro, semplicemente con un’impronta. Non è da escludere poi che la stessa procedura possa essere impiegata con i gadget, gli elettrodomestici e altri dispositivi.
Il coinvolgimento di Android nella FIDO Alliance è di grande rilevanza perché nonostante siano molte le app che hanno aderito in passato, la diffusione di Android è tale che potrebbe essere il motore di un radicale cambiamento nella gestione della sicurezza da parte degli utenti. Gli utenti potrebbero vedere la novità come semplice comodità, ma la tecnologia che c’è dietro è in grado di proteggere adeguatamente da minacce quali il phishing, gli attacchi man-in-the-middle e il potenziale furto di credenziali. Fermo restando il fatto che nessuna strategia di difesa informatica è perfetta, rispetto a una password “12345” il salto sarebbe epocale.
Cosa fare per sfruttare questa nuova opportunità? Ogni volta che vi collegate a un sito prestate attenzione ai loghi e cercate di identificare quello del marchio FIDO2, che conferma la compatibilità dei servizi. Alle aziende e ai gestori dei siti e servizi web basta abilitare FIDO una sola volta per permetterne l’uso da parte dell’utente.