IOS 16: UN PASSO VERSO UN MONDO SENZA PASSWORD
Ad ogni uscita di un sistema operativo normalmente si va a controllare quale siano le nuove funzioni che lo renderanno migliore o diverso dal precedente. Una delle principali e che riguarda da vicino il mondo internet è l’integrazione del sistema FIDO “Passkey”.
Le password non sicure o rubate rappresentano ancora probabilmente il rischio maggiore per la sicurezza dell'intero IT e Apple sta facendo un passo verso un futuro senza password con l'aggiornamento a iOS 16. È una delle innovazioni più complicate, ma anche una delle più importanti del sistema operativo.
Ciò è reso possibile dallo standard aperto FIDO (Fast Identity Online), che in italiano significa qualcosa come "identificazione online veloce". Dietro c'è la FIDO Alliance, associazione non commerciale, dove molte aziende, fornitori di servizi e autorità hanno unito le forze per creare un sistema facile e sicuro per accedere ai siti internet e alle app.
Del suo funzionamento ne avevo parlato nell’articolo “FIDO: Dimentica le tue password” ma posso riassumerlo così:
Se vuoi accedere tramite FIDO, devi prima registrare uno smartphone, un tablet o un computer al rispettivo servizio. Vengono create una chiave pubblica e una privata. Quella privata è memorizzata sul dispositivo stesso in un chip hardware che non può far trapelare alcuna informazione, un cosiddetto Trusted Platform Module (TPM). Nell'iPhone, questo ruolo è assunto dal cosiddetto Secure Enclave, un sistema separato dal processore principale. Vengono generate chiavi pubbliche separate per ogni sito Web e app a cui accedi con FIDO e archiviate sul rispettivo server. Il login è possibile solo se entrambe le chiavi corrispondono. Il vantaggio: il metodo di accesso è protetto da perdite di password e attacchi di phishing.
La stessa Apple chiama la sua implementazione dello standard FIDO "Passkey". La chiave privata viene salvata anche nell'iCloud, ovvero sui server di Apple, nel cosiddetto portachiavi. Questo, a sua volta, è anche crittografato end-to-end, quindi nemmeno Apple potrebbe accedere a "passkey" private. Pertanto, gli esperti considerano il rischio gestibile, anche se le chiavi lasciano il dispositivo. Gli utenti hanno quindi bisogno solo di una chiave privata, che poi funziona su tutti i loro dispositivi Apple tramite iCloud. Ti identifichi solo biometricamente sul rispettivo dispositivo, tramite Touch ID o Face ID e puoi accedere a tutti i siti internet e alle app che l’hanno implementato.
Questa innovazione di Apple spingerà sicuramente i siti ad aggiornare le loro procedure d’accesso e, ad esempio, nei siti gestiti con WordPress verranno implementati i vari plugin creati allo scopo.