Ci siamo affidati fino ad oggi alle password per l’autenticazione a dispositivi e servizi, ma i tempi stanno per cambiare. Oggi segnaliamo l’ennesima iniziativa messa in campo con l’obiettivo di andare oltre l’uso del tradizionale codice segreto per il login alle piattaforme online: a lanciarla è Google, sui dispositivi con sistema operativo Android, facendo leva sui moduli per la lettura delle impronte digitali e sugli altri metodi già impiegati per lo sblocco dello schermo.
Servizi Google: basta l’impronta
La funzionalità risulta al momento già disponibile sugli smartphone della linea Pixel ed entro i prossimi giorni arriverà anche su tutti gli altri dotati della versione 7.0 Nougat (o successiva) della piattaforma. Per metterla alla prova non bisogna far altro che aprire il browser Chrome, digitare ad esempio l’indirizzo passwords.google.com e procedere alla verifica dell’identità utilizzando lo stesso metodo impiegato per risvegliare il telefono dallo standby.
Dopo aver appoggiato il dito sul sensore, se l’impronta viene riconosciuta si ottiene il via libera effettuando così l’accesso al servizio, senza bisogno di digitare alcuna password.
FIDO2 e W3C
Il funzionamento della tecnologia è spiegato da bigG sulle pagine del blog ufficiale. Si tratta di un sistema realizzato grazie alla collaborazione del gruppo di Mountain View con la FIDO Alliance e con il W3C, sulla base dello standard FIDO2, la stessa certificazione attribuita di recente a Hello di Microsoft per Windows 10. Questo consente di sfruttare per i servizi Web lo stesso metodo di autenticazione adottato per le applicazioni native di Android, non costringendo l’utente a registrare una nuova impronta.
Sul fronte della sicurezza, Google sottolinea come la scansione non venga mai inviata verso i suoi server: l’analisi avviene completamente in locale, restituendo poi al data center solo la conferma del buon esito dell’operazione se la lettura avviene con successo. Nessun rischio dunque di intercettazioni con manovre di tipo man-in-the-middle. Tutto ciò che viene trasmesso dal sito al browser è una chiamata WebAuthn di tipo Get, per ottenere in risposta il risultato dell’analisi.
È bene notare che, come riportato sulle pagine del supporto ufficiale, il login ai servizi compatibili può avvenire anche attraverso gli altri metodi impostati dall’utente per lo sblocco dello schermo ovvero l’inserimento di un PIN oppure il tracciamento di una sequenza segreta sullo schermo.