Molti utenti considerano le password estremamente gravose. Un protocollo di autenticazione per i siti web, chiamato WebAuthn, potrebbe renderli obsoleti. Gli utenti possono utilizzarlo per accedere a un servizio come un social network o una piattaforma di shopping online con il proprio smartphone o computer. Il processo è rapido e semplice quando si utilizzano dati biometrici come l'impronta digitale o il riconoscimento facciale, che spesso sono già memorizzati per sbloccare il dispositivo. "Non sorprende che questo possa creare l'impressione che i dati biometrici vengano trasmessi al sito Web a cui si desidera accedere, in modo simile a una password. Ma questo è un malinteso", afferma Leona Lassak della Ruhr-Universität Bochum (RUB ).

Un team del RUB, del Max Planck Institute for Security and Privacy (MPI-SP) di Bochum e dell'Università di Chicago ha affrontato queste e altre idee sbagliate. In diversi studi online, hanno permesso a 414 utenti di provare il nuovo accesso a WebAuthn e hanno chiesto loro le loro prime impressioni e preoccupazioni in merito alla sua sicurezza, usabilità e privacy.

Leona Lassak dell'Horst Görtz Institute for IT Security del RUB e il dottor Maximilian Golla dell'MPI-SP, insieme ad Annika Hildebrandt e al professor Blase Ur dell'Università di Chicago, pubblicheranno i risultati alla conferenza USENIX Security l'11 agosto 2021 Il documento è disponibile online dal 21 giugno 2021.

Come funziona WebAuthn

WebAuthn fa parte del nuovo standard FIDO2, che mira a rendere obsolete le password. Attualmente, quando gli utenti vogliono accedere a un servizio, immettono semplicemente un nome utente e una password. In futuro, gli utenti potrebbero invece autenticarsi semplicemente utilizzando il proprio dispositivo. Per garantire che una persona a caso che trova uno smartphone smarrito non sia in grado di accedere a tutti i tipi di servizi, gli utenti devono confermare il processo di accesso con il PIN dello smartphone o i dati biometrici. Alcuni servizi come eBay americano o Microsoft offrono già il login WebAuthn.

Leona Lassak spiega il problema:"Per l'utente sembra che stia effettuando l'accesso al servizio online con la propria impronta digitale. La sua impronta infatti sblocca solo una cosiddetta chiave crittografica, che viene memorizzata sul dispositivo dell'utente e viene quindi utilizzata per il login effettivo."

Confusione tra i nuovi utenti

Quasi il 70% degli intervistati non era sicuro o credeva erroneamente che i propri dati biometrici sarebbero stati condivisi con il sito Web a cui stavano tentando di accedere. "È importante affrontare questi malintesi, poiché mettono a repentaglio la volontà delle persone di utilizzare il nuovo accesso sicuro, " afferma Annika Hildebrandt, autrice dell'Università di Chicago.

Un altro problema sorge nel caso in cui il sensore di impronte digitali non funzioni. In alternativa, infatti, è possibile inserire il PIN dello smartphone. Tuttavia, poiché l'interfaccia utente non rende molto chiara questa opzione, il 60% degli utenti pensava che in questo caso avrebbero perso l'accesso al proprio account. I ricercatori hanno anche chiesto se i partecipanti avrebbero ritenuto che i loro account fossero al sicuro se il loro smartphone fosse stato rubato. Il 93% degli intervistati si sentiva sufficientemente protetto a causa dei propri dati biometrici, ma non sapeva che un utente malintenzionato avrebbe potuto accedere ai propri account anche indovinando il PIN dello smartphone.

Affrontare le idee sbagliate

I ricercatori hanno lasciato che sette focus group sviluppassero testi e grafici che mirano a prevenire queste idee sbagliate e comunicare la complicata funzionalità di WebAuthn. Sulla base di questi testi, i ricercatori hanno implementato sei notifiche e le hanno confrontate in uno studio online.

"La cosa più efficace nell'affrontare idee sbagliate è comunicare esplicitamente che i dati relativi alle impronte digitali e al volto non vengono mai trasmessi al sito web", spiega Annika Hildebrandt. È stato meno efficace evidenziare gli svantaggi delle password o citare le aziende affidabili che hanno contribuito a sviluppare lo standard WebAuthn.

Adozione in aumento

Nonostante tutti i malintesi e le preoccupazioni, i partecipanti hanno valutato l'accesso biometrico più in alto rispetto alle password tradizionali, poiché sono rimasti particolarmente colpiti dalla sua velocità e facilità d'uso. In futuro, i ricercatori intendono aumentare ulteriormente l'accettazione di WebAuthn per rendere i suoi vantaggi accessibili a tutti gli utenti.