Android, accesso a siti e app senza password grazie ai dati biometrici | FIDO2

26 Febbraio 2019 49

Android fa progressi verso un mondo senza password grazie alla certificazione FIDO2, annunciata proprio in queste ore al Mobile World Congress 2019 di Barcellona. Ciò significa che sarà possibile usare certi metodi di identificazione biometrica a bordo del dispositivo, come scanner di impronte digitali o riconoscimento 3D del volto, per autenticarsi ad app e siti web (posto naturalmente che gli sviluppatori decidano di implementare questa opzione: il lavoro è piuttosto semplice, basta chiamare un'apposita API).

Tutti i dispositivi compatibili con Android 7.0 Nougat e più recenti riceveranno un aggiornamento automatico dell'app Google Play Services che abiliterà questa capacità. FIDO2 è stato sviluppato in collaborazione con Google stessa, la FIDO Alliance (che include tra i membri sempre Google, Facebook, GitHub e molti altri) e il W3C, l'associazione che definisce gli standard del web, ed è già supportato dai principali browser web sul mercato - Chrome, Microsoft Edge, Mozilla Firefox e Apple Safari (per ora ancora in fase Beta).

Il protocollo FIDO2 ha anche un altro vantaggio: l'autenticazione avviene in locale e la "password" (intesa in senso ampio, come i dati dell'impronta digitale o del volto 3D) non esce mai dal dispositivo. In pratica, invece che trasmettere la password come si fa con il metodo tradizionale, si trasmette la conferma che l'utente è chi dice di essere.


49

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
ghost

Direi di si come su chrome per l'appunto se il pc è sbloccato la persona ha accesso alle password

GianTT

Samsung integra nel Browser un sistema simile, in quel caso l'impronta non fa altro che sbloccare il compilamento automatico dei form.

Jam

Se sbagliano loro figurati tu! Ahahaha!

Antonio

Ed è sbagliato dal mio punto di vista. Quindi se presto 1 minuto il mio telefono "sbloccato" a qualcuno, allora si avrà accesso a tutte le App che richiedono login finché il telefono non viene ribloccato?

ghost

non serve autenticarsi perchè sei loggato nel telefono. Da per scontato che essendo il proprietario dell'account le password sono tue per capirci

Depas

Chi lo dice lo è 100 volte più di te

Ikaro

Lo disse tuo padre quando ti vide?

Cristian
Antonio

In questo caso ti chiede di inserire la password ma senza autenticazione?

Depas

Anche i migliori sbagliano

Ikaro

https://uploads.disquscdn.c...

Depas

Anche i migliori sbagliano

ghost

Io uso quella di google anche se ho Samsung e dopo una formattazione e/o dove chiede una pass clicco sul campo lui mi propone la pass che in precedenza ha salvato e se la tappo me la inserisce.
Funziona come chrome in pratica

c'ha provato. inutilmente.

Fandrea

da quando i siti INPS e INAIL vendono licenze?
Per i professionisti danno le credenziali che possono essere utilizzate anche dai tirocinanti/collaboratori autorizzati.
Ma ci sono anche tanti altri esempi, tipo il cloud aziendale proprietario.

Antonio

Si l'ho provato ma non funzionava un granche, almeno non come il pass di Samsung... Cioè per compilare un campo,che sia password o nome utente basta toccare e scegliere Samsung pass come "compilatore" e viene richiesta l'autenticazione che può avvenire tramite impronta, iris o PIN...è migliorato quello di Google?

Boris Tan

No comment

Cristian

Vedo che hanno già provato a spiegarti. Quello che dici tu è un banalissimo password manager, presente anche su Android. Qui si parla di un metodo di autenticazione del tuo nuovo e diverso, che di fatto potrebbe andare a sostituire l'autenticazione a due fattori, essendo molto più sicuro e veloce, non essendoci l'attesa di ricevere il secondo fattore.
Le credenziali non lasciano mai il dispositivo, quindi non potranno mai essere intercettate e rubate. Quindi dire che per gli utenti cambia poco e nulla è molto limitato. E ovviamente fondamentalmente non è la stessa cosa, avendo due approcci di funzionamento completamente diversi. Fondamentalmente hanno reso estremamente sicuro il login su un portale o app senza gravare sull'utente finale che si ritrova a compiere le stesse operazioni a cui è già abituato. Quando le fa Apple queste cose è un miracolo, se lo fanno gli altri non è nulla di che, la stessa cosa :D
Tra l'altro quello che tu dici che iOS fa, Android lo fa pure per qualsiasi app con form di login, non solo coi siti...

LaVeraVerità

Cioè?

Ikaro

Sta nell'ultimo paragrafo, in pratica prima l'autenticazione inseriva nome utente e password al posto tuo, quindi il passaggio era potenzialmente hackerabile...

https://uploads.disquscdn.c...

Depas

Ah ok, non avevo capito, in ogni caso alla fine per chi utilizza cambia poco e niente.
Vabene gli hacker e tutto ma è fondamentalmente la stessa cosa

LordRed

c'è il servizio di google che dovrebbe fare la stessa cosa, ma che non ho ancora provato

Eros Nardi

"te li scrive" quindi per un momento le tue credenziali vengono decifrate e trasferite.
Con questo metodo è come se non esistessero username e password: l'applicazione o il sito sa già chi sei

Fabio Biffo

Non solo questo, non è solo un comune password manager, é un protocollo di sicurezza completamente diverso, in quanto i dati di autenticazione come la password non vengono mai trasmessi.

Fabio Biffo

"Su ios ti salva da solo le password dei siti che decidi tu e te li scrive automaticamente col face id o touch id, non c’e’ nessun autenticazione a due fattori"
Su Android c'è già da almeno 2 anni prima che ci fosse su iOS, e non hai ancora capito cosa è la FIDO2...
Non cambia niente a livello di utente, ma a livello di protocollo di sicurezza, che d'ora in poi su Android limiterá la trasmissione di dati sensibili possibilmente "sniffabili" dagli hacker, cosa che su iOS non è presente, e probabilmente non lo sará per un po di anni come avviene di solito...

Depas

Su ios ti salva da solo le password dei siti che decidi tu e te li scrive automaticamente col face id o touch id, non c’e’ nessun autenticazione a due fattori.

Cristian

Credo che tu non abbia capito neanche una virgola dell'articolo. Non si parla del comune accesso con impronta digitale all'interno delle app, cosa presente da Android 6. Si parla della possibilità di usare uno smartphone Android con metodi di autenticazione biometrica sicura e almeno Android 7 a bordo come un device FIDO 2, quindi login con username e password all'interno di siti ed app (bancarie o dov'è richiesta la massima sicurezza possibile) senza effettivo scambio delle credenziali e in maniera estremamente sicura.
Vedila come un'evoluzione dell'autenticazione a due fattori con zero rogne per l'utente finale. Dubito fortemente che nel mondo Apple esista già qualcosa del genere e che esisterà nel breve periodo.

BigBoss

Il fatto di impostare il PIN serve nel caso sia impossibile accedere con l'impronta...ad esempio ti ferisci sul dito o problemi sul lettore!

Depas

Davvero su android non esiste ancora??
Male male

momentarybliss

Ottima cosa, spero che gli sviluppatori adottino l'API in massa. Su S9 trovo assurdo che per abilitare l'impronta digitale occorra per forza impostare un pin sulla schermata di blocco

ghost

Si chiama "smart lock per password" se ho capito quello che intendi

Antonio

Ma un'alternativa Google al Samsung pass c'è? Mi trovo così bene con s9 e il gestore delle password ma vorrei provare uno Xiaomi...

vince

Prima ogni app doveva farsi il suo sporco lavoro, adesso è tutto integrato a livello di PlayServices, quindi con 2 chiamate gli sviluppatori avranno l'autenticazione al volo tramite sensori biometrici.

Un codice così centralizzato sarà sempre più sicuro delle varie implementazioni fatte a mano da ogni applicazione.

sopaug

niente di diverso da ora perchè a libero arriva sempre la tua autenticazione, mica gli dai la tua impronta.

ErCipolla
ErCipolla

Supporto nativo a livello di SO è una cosa ben diversa dall'implementazione custom di certe terze parti. PayPal, banche, ecc. si sono tutti costruiti il supporto "a mano" per la loro app, cosa che per lo sviluppatore è costosa e non standard. Con il supporto nativo hai più semplicità per lo sviluppatore e soprattutto più sicurezza per l'utente (una soluzione centralizzata sviluppata da un consorzio è più sicura di una soluzione custom fatta dal singolo dev, per quanto competente possa essere)

L0RE15

Anche molti pugili...ma non che sia una cosa pianificata a tavolino! ;)

vince

..per non dover comprare licenze immagino...
Una cattiva abitudine

Fandrea

lascerei sempre come seconda opzione una password (magari super complessa)..
ci sono siti per lavoro dove entriamo con più utenti in diverse sedi e con diversi dispositivi.

vince
MartinTech

scusate ma non mi è chiaro cosa cambia rispetto ad ora. Già adesso alcune app (paypal, alcune bancarie etc) consentono l'accesso tramite impronta, mentre per le autenticazioni di siti web, Samsung pass già da ora consente di usare appunto i dati biometrici del proprio dispositivo per l'autenticazione a siti ed altro.
Nel play store si può abilitare la conferma tramite impronta per l'acquisto di app.
Cosa cambierebbe tramite fido2?

gastro67

Troppo difficile leggere l'articolo per intero?

Cacito89

Beh molti attori lo fanno.

Cacito89

Io non mi FIDO molto.

Marino Dell'Olio

Finalmente! È una cosa comodissima

~benzo
MarioT

Hai capito tutto.

Antonio Exidor

L'altro ieri ho dovuto cambiare le password ai miei account di posta su Libero. Se dovessero introdurre i dati biometrici e si verificasse un attacco hacker che devo fare? Cambiarmi i connotati?

Recensione Black Shark 2: ottimo gaming phone, meno come smartphone

24 ore con Nokia 9 PureView: 5 fotocamere ma...

Huawei P30 e P30 Pro ufficiali: video anteprima

Recensione Samsung Galaxy S10e: ecco perchè lo preferisco ad altri