Il National Institute of Standards and Technology (NIST) ha pubblicato un’integrazione alle sue Linee Guida sull’Identità Digitale, introducendo un approccio innovativo all’uso dei syncable authenticator. Questo documento fornisce una guida provvisoria per le agenzie interessate a integrare tali autenticatori, sia negli ambiti aziendali che pubblici.
I syncable authenticator sono qualsiasi autenticatore crittografico che consente di clonare e archiviare la chiave privata separatamente dall’autenticatore, permettendo l’uso di tale chiave su diversi dispositivi. Conosciuti anche come “passkey”, utilizzano standard e protocolli come il protocollo Client-to-Authenticator e l’autenticazione Web (WebAuthn) del World Wide Web Consortium (W3C). Quando implementati correttamente, offrono un’autenticazione resistente al phishing con numerosi vantaggi, tra cui un facile ripristino, supporto per più dispositivi e un’esperienza utente semplificata.
Questo documento è di particolare rilevanza poiché rappresenta un’evoluzione delle Linee Guida sull’Identità Digitale del NIST per adattarsi ai cambiamenti tecnologici e alle esigenze emergenti. Quando le Linee Guida furono inizialmente sviluppate, gli standard per i syncable authenticator non erano ancora stati completamente sviluppati, ma ora sono diventati ampiamente adottati dalle principali piattaforme consumer, con la FIDO Alliance che stima oltre 8 miliardi di account che ora hanno la possibilità di utilizzare passkey per l’autenticazione.
Tuttavia, ci sono rischi associati all’uso di questi autenticatori, come la possibilità di condividere le chiavi di autenticazione. Il supplemento del NIST affronta questi rischi fornendo requisiti e considerazioni specifiche per archiviare, trasmettere e proteggere le chiavi. Uno dei rischi principali è la possibilità, in alcune implementazioni, che gli utenti condividano le proprie chiavi di autenticazione con altri individui. Tuttavia, come sottolineato nel documento, la condivisione dei syncable authenticator non è un fenomeno esclusivo di questi dispositivi, ed è importante che le organizzazioni valutino attentamente ogni tipo di autenticatore offerto e i rischi e i benefici prima di implementarli. Nonostante non siano adatti per ogni applicazione o servizio, i syncable authenticator rappresentano un’opzione emergente di autenticazione AAL2 con numerosi vantaggi sia per gli utenti finali che per le organizzazioni.
Il nuovo supplemento del NIST segna un passo significativo verso un’identità digitale più sicura e flessibile, fornendo alle agenzie indicazioni chiare su come utilizzare una nuova tecnologia di sicurezza che fornisca un’autenticazione forte, utilizzabile e resistente al phishing a supporto della strategia Federal Zero Trust. Una volta completata la Revisione 4 delle Linee Guida, questo supplemento verrà annullato.