Vratislav Holub La sicurezza degli account è migliorata notevolmente negli ultimi anni. Oggi è spesso necessario avere come password una determinata combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali, che integra anche l'autenticazione a due fattori. Ma a quanto pare ora, Apple cambierà questi metodi tradizionali e rafforzerà ancora di più la sicurezza in generale. Durante la conferenza degli sviluppatori WWDC21, ha annunciato un modo molto più sicuro e semplice. Combina l'autenticazione senza password utilizzando WebAuthn e Face/Touch ID utilizzando Portachiavi su iCloud.
iOS 15 apporta una serie di miglioramenti a FaceTime:
Galleria di Foto
Questa innovazione si riflette facilmente nei nuovi sistemi operativi iOS 15 e macOS Monterey, ma non è disponibile per un uso regolare. Un cambiamento così su larga scala potrebbe senza dubbio essere definito un azzardo, e ora tocca agli sviluppatori giocarci. Come ad esempio Google o Microsoft, anche Apple sta adottando uno stile di sicurezza interessante, che dovrebbe essere il più semplice e sicuro possibile. In questo caso lo standard chiave è WebAuthn in combinazione con l'autenticazione biometrica. Ciò teoricamente impedisce problemi di phishing.
Tutte queste novità sono state introdotte durante la presentazione Andare oltre la password alla WWDC21, dove Garret Davidson ha spiegato come funziona il già citato standard WebAuthn e come funziona con chiavi pubbliche e private. In tal caso non vengono utilizzate le classiche password, ma le suddette chiavi. Nel caso della procedura attuale, la sicurezza funziona in base all'inserimento del nome utente e della password. La password viene quindi presa e creata da essa tramite la funzione hash crittografica utilizzata hash. Quest'ultimo viene poi solitamente ulteriormente arricchito dal cosiddetto sale, risultando in una lunga stringa di prova che non può essere decrittografata nella sua forma originale nello stesso modo. Il problema è che esiste la cosiddetta condivisione segreta. Non solo devi proteggere quello, ma anche il server.
E dovremmo eliminare esattamente questa procedura descritta nel tempo. Il più grande vantaggio di WebAuthn è che si basa su una coppia di chiavi, ovvero pubblica e privata. In questo caso, il tuo dispositivo crea questa coppia univoca contemporaneamente alla creazione di un account sul server. La chiave pubblica è quindi semplicemente pubblica e può essere condivisa con chiunque, ad esempio con il server. La chiave privata è quindi solo per te (non viene mai condivisa) ed è conservata in forma sufficientemente sicura direttamente sul dispositivo stesso. Questa modifica potrebbe teoricamente rendere possibile l'accesso semplicemente inserendo un nome utente e poi confermando l'intero processo con una scansione del volto o dell'impronta digitale.
La pubblicità di Apple al CES 2019 di Las Vegas è una parodia dell'iconico slogan della città:
Galleria di Foto
Come accennato in precedenza, si tratta di un azzardo e dovremo aspettare un po' prima che questo metodo di autenticazione venga introdotto. Grazie ai vantaggi di WebAuthn e della crittografia end-to-end del noto portachiavi su iCloud, dovrebbe essere il metodo più sicuro fino ad oggi, che sotto molti aspetti supera tutti i metodi finora utilizzati, compresa l'autenticazione a due fattori.
