Un anno di lavoro per cambiare il web per come lo conosciamo e lo abbiamo conosciuto negli anni passati. Questo l'obiettivo che si pone il Web Authentication Working Group, gruppo di lavoro creato dal World Wide Web Consortium a inizio 2016 per incrementare il livello di sicurezza di applicativi, servizi e portali web. Uno scopo da raggiungere favorendo l'utilizzo dell'autenticazione in due passaggi e di dispositivi hardware (come chiavette crittografiche, ad esempio) al posto delle "solite" password.
Questione di API
Il gruppo di lavoro, diretto da Richard Barnes di Mozilla e Anthony Nadalin di Microsoft si occuperà di sviluppare una suite di API da integrare nei web browser (non solo Firefox o Edge, ma anche Safari, Opera e Chrome solo per citare i più importanti) per rivoluzionare il modo in cui siamo soliti effettuare il login. Il working group si occuperà di determinare quali siano i casi nei quali le API devono entrare in gioco e, partendo da queste situazioni-tipo, derivare i requisiti software da sviluppare in un secondo momento. In particolare, chi si troverà a definire lo standard dovrà pensare e realizzare anche un sistema crittografico asimmetrico capace di proteggere le informazioni personali inviate in fase di login.
Il sistema FIDO 2.0
Bisogna dire che il lavoro degli ingegneri del W3C non partirà da zero. Il gruppo di lavoro Web Authentication potrà contare sulle specifiche del progetto FIDO 2.0, presentato nel 2015 da un'equipe di ricercatori di sicurezza web alle dipendenze Google, Microsoft e PayPal. In particolare, il progetto FIDO fa affidamento su un sistema di verifica dell'identità dell'utente basato sullo smartphone: sfruttando una suite di API, una volta caricata la pagina di login l'utente dovrà compiere un'azione con il proprio telefonino (il funzionamento è, a grandi linee, lo stesso utilizzato dalle app per l'autenticazione in due passaggi). In questo modo sarà possibile eliminare la password e autenticarsi, ogni volta, compiendo un'azione univoca.
I sistemi di sicurezza di FIDO 2.0
Ovviamente, il sistema proposto da Google, Microsoft e PayPal (a vario titolo interessati ai temi della sicurezza informatica e della protezione dei dati personali degli utenti) prevede anche dispositivi di sicurezza tesi a evitare furti di identità online. Nel caso in cui si smarrisse lo smartphone solitamente utilizzato per l'autenticazione, l'utente dovrà inviare una segnalazione ai server FIDO, che provvederanno a eliminare la sincronizzazione tra telefono e account. Solo nel momento in cui l'utente invierà richiesta di nuova sincronizzazione da un altro dispositivo potrà tornare a loggarsi utilizzando il sistema senza password ideato da Microsoft, Google e PayPal.
Cammino lungo
Come detto, il lavoro del team del W3C ha preso il via a inizio 2016 (febbraio 2016, per l'esattezza) e durerà un anno circa. La prima proposta di protocollo standard è attesa tra il dicembre 2016 e gennaio 2017, ma si tratta solo del primo passaggio formale verso l'approvazione definitiva. Il processo di definizione degli standard del World Wide Web Consortium si compone di quattro step e solitamente richiede alcuni anni prima di essere completato. Insomma, saremo "costretti" a utilizzare password per accedere ai nostri profili web ancora per qualche tempo.