• Homepage
  • Articoli
  • Tema
  • Le password sono rotte. WebAuthn è il nuovo standard per l'autenticazione

Le password sono rotte. WebAuthn è il nuovo standard per l'autenticazione

Pubblicato: 2022-09-22

Di recente, iThemes Security Pro ha aggiunto le passkey come metodo di autenticazione principale per i siti WordPress. Questa rivoluzionaria versione è la prima del suo genere nello spazio WordPress ed è qualcosa che dovresti sapere. Ancora una volta, iThemes Security ha dimostrato la leadership nel fornire eccezionali funzionalità di sicurezza agli utenti di WordPress.

In questo post, esamineremo il problema della password, cos'è WebAuthn e perché inizierai a utilizzare questa tecnologia ovunque. Se sei il proprietario di un sito WordPress che cerca di migliorare le funzionalità di accesso e sicurezza per i tuoi utenti finali, ora hai a disposizione lo standard all'avanguardia per accessi senza attriti.

Comprendere il problema della password che WebAuthn risolve

Le nostre vite online, inclusi gli account utente utilizzati da WordPress, sono state basate sull'accesso a nome utente e password. Questo andava bene per un po'. Ma poi le password riutilizzate, gli attacchi di forza bruta del dizionario e la condivisione dei dati degli account violati da parte di attori malintenzionati hanno reso inefficace il nostro sistema di sicurezza basato su password.

In effetti, il rapporto DBIR di Verizon per il 2022 riporta che oltre l'80% delle violazioni può essere attribuito a credenziali rubate e che c'è stato un aumento del 30% delle credenziali rubate come vettore di intrusione principale rispetto allo sfruttamento della vulnerabilità.

Le credenziali si riferiscono alla combinazione nome utente/password. E i dati di Verizon ci dicono una cosa: le password sono rotte. L'aggiunta dell'autenticazione a due fattori (2FA) è stata utile, ma sfortunatamente, l'attrito e la complessità che aggiunge hanno fatto sì che sia stata adottata solo dal 28% degli utenti. Ce l'abbiamo; 2FA aggiunge un altro livello di attrito per gli aggressori, ma rende anche più difficile l'accesso per gli utenti. E nel caso della 2FA basata su SMS, non è abbastanza sicura. Le storie di attacchi alle porte SIM per obiettivi di alto valore non sono comuni, ma sono catastrofiche quando si verificano.

La FIDO (Fast Identity Online) Alliance ha lavorato per risolvere questi problemi e WebAuthn è la specifica che è uscita da quel lavoro.

In questa fase della nostra vita digitale, le password vengono violate. Per fortuna c'è un modo nuovo e migliore per l'autenticazione, e questo è WebAuthn.

Cos'è WebAuthn?

WebAuthn è l'abbreviazione di Web Authentication API. Questa è una specifica scritta da W3C e FIDO, con la partecipazione di Apple, Google, Mozilla, Microsoft, Yubico e altri. L'API WebAuthn consente ai server di registrare e autenticare gli utenti utilizzando la crittografia a chiave pubblica anziché una password. Da gennaio 2019 WebAuthn è supportato su Chrome, Firefox, Microsoft Edge e Safari. Al momento della stesura di questo articolo, WebAuthn è supportato da oltre il 90% dei dispositivi e dai relativi browser.

WebAuthn fa parte del framework FIDO2, che è un insieme di tecnologie che consentono l'autenticazione senza password tra server, browser e autenticatori. WebAuthn è stato standardizzato dal World Wide Web Consortium.

Ora che molti dei nostri dispositivi utilizzano l'autenticazione biometrica, come FaceID sul tuo iPhone o il riconoscimento delle impronte digitali sul tuo MacBook, Windows Hello e molti altri, abbiamo un nuovo metodo per determinare se un tentativo di accesso è effettivamente l'utente valido e non un attacco di forza bruta.

Come funziona WebAuthn?

WebAuthn utilizza la crittografia a chiave pubblica per proteggere le connessioni tra gli utenti e i sistemi che utilizzano. Utilizzando WebAuthn, puoi utilizzare un unico metodo di autenticazione, come i dati biometrici sui tuoi dispositivi o una YubiKey, su qualsiasi sito che supporti lo standard. In questo modo, come utente, non è necessario disporre di password per ogni sito che visiti, ma solo di un potente autenticatore che funzioni con WebAuthn.

Usando questa autenticazione forte invece di una password, possiamo creare una coppia di chiavi pubblica-privata per un sito web. La chiave privata viene archiviata in modo sicuro sul dispositivo (ad esempio, telefono o computer) e la chiave pubblica e le credenziali generate casualmente vengono inviate al server Web per l'archiviazione. Il server web e, nel caso di iThemes Security Passkeys, il tuo sito WordPress, possono utilizzare la chiave pubblica per verificare l'identità dell'utente.

Come funziona WebAuthn

Questa chiave pubblica non è un segreto. Pertanto, se il server Web o il sito WordPress viene mai violato, le credenziali memorizzate con la chiave pubblica sono inutili per un utente malintenzionato. La chiave pubblica semplicemente non può essere utilizzata senza la chiave privata.

Per capire come funziona effettivamente WebAuthn, il progetto FIDO2 ha delle ottime risorse.

WebAuthn cambia il panorama della sicurezza

WebAuthn è davvero rivoluzionario nel mondo della sicurezza. I database non sono più così attraenti per gli hacker, perché le chiavi pubbliche non sono utili per loro. Inoltre, WebAuthn rende più difficile il furto di credenziali.

E per gli utenti finali, WebAuthn elimina la necessità di ricordare più nomi utente e password. Tutto ciò di cui un utente su un MacBook, ad esempio, ha bisogno è la propria impronta digitale per accedere al proprio sito abilitato con iThemes Security Passkeys.

Apple, che ha implementato WebAuthn, osserva anche che WebAuthn protegge dagli attacchi di phishing. Un attacco di phishing che invia e-mail agli utenti con collegamenti a schermate di accesso false non sarebbe efficace senza password. Un utente che utilizza le chiavi di accesso per l'accesso all'account non avrebbe nemmeno una password da fornire a un modulo di phishing dannoso. L'autenticazione è completamente gestita dalla chiave privata memorizzata sul proprio dispositivo comunicante con la chiave pubblica memorizzata sul web server. WebAuthn rende in modo efficace sia gli attacchi di phishing casuali che gli attacchi di spearphishing mirati completamente inefficaci.

Il gioco della sicurezza è cambiato con WebAuthn. Anche se potrebbe volerci del tempo prima che gli attacchi di forza bruta e il furto di password diventino meno attraenti per gli aggressori malintenzionati, i proprietari di siti proattivi che scelgono di implementare WebAuthn saranno i leader nel garantire che i loro siti non facciano più parte del gioco.

Gli accessi senza attrito rendono i clienti più felici

Questi proprietari di siti forniscono anche una preziosa funzionalità aggiuntiva per i loro utenti, clienti, studenti o chiunque acceda ai loro siti WordPress. Invece di richiedere protocolli di autenticazione a più fattori pieni di attriti per garantire che il sito WordPress rimanga sicuro, WebAuthn implementato da iThemes Security consente ai proprietari di siti di fornire un accesso senza password senza attriti rendendo il loro sito molto meno attraente per gli hacker.

Sono in arrivo altre implementazioni di WebAuthn

Potresti guardare quanto sta cambiando la vita di questa tecnologia e chiederti perché più siti, servizi e app non utilizzano WebAuthn. Sebbene questa tecnologia sia rivoluzionaria, è anche molto nuova. L'aggiunta di WebAuthn ai servizi legacy richiederà un po' di refactoring. Ma come abbiamo visto con molte nuove tecnologie che cambiano il panorama, sta arrivando. La necessità di andare oltre le password è un fattore determinante. Inoltre, man mano che sempre più utenti sperimenteranno funzionalità di accesso senza attrito, inizieremo a vedere le richieste degli utenti di ampliare gli accessi senza password.

In questo modo, iThemes Security si è consolidato come leader nella sicurezza di WordPress, cambiando il modo in cui gli utenti di WordPress accedono. iThemes Security Passkeys è la prima implementazione di WebAuthn nello spazio WordPress e sarà sicuramente lo standard in futuro.

Per ottenere ora iThemes Security Passkey per il tuo sito WordPress, avrai bisogno di iThemes Security Pro. Fortunatamente, attualmente puoi ottenerlo a un prezzo scontato. Tuttavia, non vedrai questi prezzi bassi a lungo. La vendita scade il 30 settembre 2022.

Ottieni passkey di sicurezza iThemes per il tuo sito