Il keynote della WWDC21 si è tenuto il 7 Giugno ma l’evento sta ancora continuando ed ogni giorno vengono caricati nuovi video con delle sessioni che spiegano agli sviluppatori come utilizzare tutte le novità di iOS 15.
Tra queste c’è l’Anteprima di una funzione davvero interessante che apre la strada ad un futuro completamente privo di password. Per registrarci ad un sito web, ad un servizio o in un app tra qualche anno dovremo inserire soltanto il nickname e tutto il resto avverrà automaticamente.
Non rischieremo più di dimenticare la password nè di esporla a rischi di sicurezza utilizzando la stessa password su tutti i siti e i servizi. I data breach sono sempre più frequenti ed in queste circostanze i nostri account possono essere violati e dei malintenzionati possono accedere ai nostri servizi oppure riempirci di phishing e spam.
Apple si sta muovendo per andare oltre tutto questo utilizzando lo standard WebAuthn. Nell’interessante sessione “Move beyond password” viene spiegato per bene come funzionerà questo sistema. Bisogna però sottolineare che lo troveremo su iOS 15 soltanto a scopo di test perchè richiederà degli anni prima che possa essere effettivamente adottato a livello globale.
Sostanzialmente il funzionamento sarà il seguente: Ogni dispositivo Apple disporrà di una chiave privata (ad esempio “eb9695b23“) che non lascerà mai il dispositivo e di una chiave pubblica (es. 48d6a0f48) con dati di pubblico dominio.
Quando ci registreremo ad un sito o un’app, il server memorizzerà soltanto la chiave pubblica che non verrà nemmeno cifrata proprio perchè contiene lettere e numeri di pubblico dominio.
Noi non dovremo fare altro che sceglierci un username perchè la password sarà generata automaticamente utilizzando una combinazione tra la nostra chiave privata e la chiave pubblica ottenuta in maniera casuale. Apple chiama tutto questo “Passkey“.
Nel momento in cui vogliamo effettuare il Login in un’app a cui ci siamo iscritti, avverrà quanto segue:
- Digiteremo l’username e cliccheremo il tasto “Login” inviando così la richiesta di accesso al server.
- Il server ci chiederà di firmare la chiave pubblica con la nostra chiave privata.
- Il nostro dispositivo firmerà la chiave ed invierà il risultato al server.
- Il dato inviato al server combacerà con quello memorizzato al momento dell’iscrizione e di conseguenza riusciremo ad entrare nell’app senza aver inserito alcuna password.
Tutto questo è estremamente sicuro perchè nessuno potrà rubarci la chiave privata essendo integrata nell’hardware del dispositivo e senza quella i malintenzionati non potranno mai ottenere l’accesso ad un sito a cui siamo iscritti e non potranno nemmeno rubarci l’indirizzo email.
Ovviamente Apple si servirà di iCloud per sincronizzare la chiave privata con tutti i dispositivi per consentirci l’accesso attraverso iPhone, iPad e Mac.
WebAuthn dovrà diventare una standard adottato da tutti prima che si riesca ad utilizzare e prima di poter dire effettivamente addio alle password ma Apple è pronta.
Leggi o Aggiungi Commenti