Face ID/Touch ID per il Web: addio alle truffe del phishing

Apple consentirà ai siti Web di terze parti di usare Touch ID e Face ID per effettuare l’accesso degli utenti o autorizzare le operazioni online; una rivoluzione che neutralizzerà le minacce di phishing online.

Si chiama “Face ID e ‌Touch ID‌ per il Web” e consiste in serie di API di autenticazione Web che consentirà di sostituire l’accoppiata nome utente e password con uno dei sistemi di riconoscimento biometrico di Apple, dopo il primo login; il sistema supporterà anche una eventuale autenticazione a due fattori, se presente.

La procedura di login dunque diventerà la seguente:

• Si fa clic sul pulsante di Log In
• Safari chiederà conferma
• La conferma viene accordata con una scansione del volto o dell’impronta
• Dopodiché, il login avviene in automatico

Se ci fate caso, è quel che accade già oggi quando tentate di loggarvi su iCloud da un Mac con Touch ID. E l’effetto collaterale di questa tecnologia applicata ai siti Web è l’annientamento del phishing:

La cosa più importante è che risulta resistente al phishing. Safari veglierà che le credenziali pubbliche create da questa API siano utilizzate esclusivamente sul sito Web in cui sono state create, e tali credenziali non vengono mai esportate fuori dall’autenticatore che le ha generate. Ciò significa che una volta che le credenziali pubbliche sono state aggiunte a sistema, non c’è nessun modo per l’utente di divulgarle ad un altro sito Web.

Per il momento si tratta di una novità a cui stanno lavorando gli sviluppatori, ma con l’avvento di iOS 14 e macOS Big Sur in autunno, questa diventerà la nuova normalità.