Trasferimento di passkey e credenziali tra provider: la proposta della FIDO Alliance

La FIDO Alliance, associazione di settore la cui missione è ridurre l’uso e la dipendenza dalle password, ha proposto un nuovo set di specifiche per supportare il trasferimento di passkey e credenziali tra diversi provider. 

L’associazione punta a garantire questa interoperabilità tra provider per accelerare l’adozione delle passkey e migliorare l’esperienza utente, rendendola più sicura. La FIDO Alliance riporta che oggi sono oltre 12 miliardi gli account che usano le passkey traendone diversi benefici: eliminando le password si riduce il phishing e il riutilizzo di credenziali; inoltre, i login risultato fino al 75% più veloci.

“Con questo crescente slancio, FIDO Alliance si impegna a consentire un ecosistema aperto, a promuovere la scelta degli utenti e a ridurre le barriere tecniche delle passkey” specifica l’associazione.

La possibilità di trasferire le proprie passkey sulla piattaforma del provider che preferiscono consente agli utenti di cambiare con facilità e sicurezza la piattaforma di autenticazione senza dover definire nuovamente un token o una modalità di login.

Quello della FIDO Alliance sarebbe il primo standard per il trasferimento sicuro di credenziali tra più provider; finora questa operazione veniva fatta in chiaro e senza framework di supporto.

L’associazione ha pubblicato due bozze di specifica: una, la Credential Exchange Protocol (CXP), definisce un protocollo per il trasferimento sicuro di una o più credenziali tra due applicazioni di gestione, sia sullo stesso dispositivo che tra device diversi; la seconda, la Credential Exchange Format (CXF), specifica le strutture dati e i formati per il trasferimento delle credenziali.

“Una volta standardizzate, queste specifiche saranno aperte e disponibili ai provider di credenziali per essere implementate, in modo che i loro utenti abbiano un’esperienza sicura e semplice se e quando decideranno di cambiare provider“.

Le bozze sono disponibili pubblicamente e chiunque può aggiungere feedback e revisionarle. L’associazione, formata da rappresentati di realtà quali 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta, Samsung e SK Telecom, non ha ancora definito una data massima di revisione per la pubblicazione della versione finale delle specifiche.