FIDO lancia proposta per trasferire le passkey tra piattaforme

L’associazione FIDO (Fast IDentity Online) ha pubblicato una bozza di lavoro di una nuova specifica per consentire il trasferimento sicuro di passkey tra diversi provider. Le passkey sono un metodo di autenticazione senza password che sfrutta la crittografia a chiave pubblica. Ciò permette agli utenti di autenticarsi senza ricordare o gestire lunghe stringhe di caratteri. La FIDO segnala che gli accessi sono diventati più veloci del 75% e hanno avuto più successo del 20% rispetto alle autenticazioni basate su password. Questo sistema di sicurezza è comodo e resistente al phishing. Tuttavia, una delle principali sfide con le passkey è che non esiste un modo sicuro per trasferirle tra diverse piattaforme e provider di servizi.

Ad esempio, gli utenti che hanno creato passkey in Password Manager di Google non potevano trasferirle in modo sicuro a iCloud Keychain di Apple. Ciò portava ad una sorta di situazione di "blocco del fornitore" o addirittura di "blocco del dispositivo". Quindi, invece di offrire maggiore libertà, le passkey hanno creato una frammentazione indesiderata nell'esperienza utente. In Ciò ha anche introdotto rischi per la sicurezza quando si tentava di trasferirle su una piattaforma diversa.

FIDO: nuova standardizzazione della portabilità delle passkey

La nuova specifica proposta da FIDO affronta essenzialmente la mancanza di standard sicuri ampiamente accettati per il trasferimento delle credenziali. Ciò permette di eliminare le complicazioni o le limitazioni pratiche quando si passa da un provider all'altro. Le specifiche sono presentate in due bozze separate, ovvero il Credential Exchange Protocol (CXP) e il Credential Exchange Format (CXF). CXP definisce un metodo per trasferire in modo sicuro le credenziali tra diversi provider utilizzando lo scambio di chiavi Diffie-Hellman e la crittografia a chiave pubblica ibrida (HPKE), in modo che i dati siano protetti durante il transito. CXF definisce una struttura standardizzata per il trasferimento sicuro delle credenziali tra provider durante la migrazione, garantendo interoperabilità e integrità dei dati.

I formati proposti includono JSON all'interno di ZIP, con ogni parte crittografata come specificato da CXP. Le bozze sono state sviluppate con il contributo di specialisti di membri associati FIDO e stakeholder come Dashlane, Bitwarden, 1Password, NordPass e Google. La FIDO Alliance, che è composta da leader nel settore tecnologico come Google, Microsoft, Apple, Visa, Mastercard, PayPal, Intel, Samsung, Meta e Amazon, spera che la nuova specifica potrà incentivare l'adozione delle passkey. Ad oggi, questo sistema viene utilizzato per proteggere oltre 12 miliardi di account online. Le specifiche proposte sono attualmente in forma di bozza e soggette a modifiche. Chi è interessato a partecipare alla formulazione delle specifiche può fornire il proprio feedback sulla pagina GitHub dedicata. Le bozze saranno gradualmente aggiornate per introdurre aggiunte e modifiche. Tuttavia, ad oggi non sono stati rilasciati dettagli su una possibile ufficializzazione di tali standard.