CTAP (Client-to-Authenticator-Protocol): protocollo FIDO2

Questa pagina è stata tradotta automaticamente. Leggi la versione originale in inglese qui.

Cos'è il CTAP (Client-to-Authenticator-Protocol)?#

Il CTAP (Client-to-Authenticator-Protocol) è un meccanismo standardizzato progettato per semplificare e rendere sicura la comunicazione tra il dispositivo di un utente (come un laptop o un browser) e un authenticator (ad esempio, una security key hardware o uno smartphone). Funge da ponte per garantire un'interazione efficace tra i vari componenti nel processo di autenticazione dell'utente, specialmente nel contesto degli standard FIDO2 e WebAuthn.

Punti chiave#

Il CTAP è un protocollo fondamentale che garantisce una comunicazione fluida tra client e authenticator in FIDO2.
Il CTAP rappresenta l'evoluzione dell'autenticazione Universal 2nd Factor (U2F), aprendo la strada a un'autenticazione dell'utente senza password e più sicura.
Il CTAP supporta sia le chiavi residenti (resident keys) che quelle non residenti (non-resident keys), aumentando ulteriormente la flessibilità nell'identificazione e nell'autenticazione dell'utente.

L'evoluzione e l'importanza del CTAP#

Il tradizionale sistema basato su username e password, un tempo considerato il gold standard per la sicurezza online, ha mostrato nel tempo le sue vulnerabilità. Dato che gli utenti scelgono password facili da ricordare (e da scoprire) o riciclano le stesse password su più piattaforme, è diventato essenziale un metodo più forte e sicuro. Riconoscendo questa urgente necessità, la FIDO Alliance, in collaborazione con il World Wide Web Consortium (W3C), ha guidato lo sviluppo di sistemi più robusti: FIDO2 e WebAuthn. E al centro di questi progressi c'è proprio il CTAP.

Comprendere il ruolo del CTAP#

A complemento di WebAuthn: Mentre WebAuthn si concentra sulla connessione tra il sistema dell'utente e il sito web che richiede l'identificazione, il CTAP regola la comunicazione tra l'authenticator (come una chiavetta USB o un dispositivo mobile) e il dispositivo principale dell'utente.
Migliorare la sicurezza: Il protocollo CTAP garantisce che i dati sensibili, come le impronte digitali, non lascino mai il dispositivo, fornendo un ulteriore livello di sicurezza. Ciò minimizza il rischio associato alle violazioni di dati e agli attacchi di phishing.

Versioni del CTAP#

CTAP1 (U2F): Il predecessore dell'attuale CTAP, l'U2F, era rivolto principalmente all'autenticazione a due fattori. Richiedeva una ricerca lato server per l'identificazione dell'utente, limitandone in qualche modo il campo di applicazione.
CTAP2: Versione più avanzata, il CTAP2 introduce il concetto di chiavi residenti, promuovendo un'autenticazione senza password e persino "senza nome utente". Questo cambiamento ha segnato un passo significativo verso un'esperienza di autenticazione più incentrata sull'utente.
CTAP2.1: Basandosi sulle fondamenta del CTAP2, il CTAP2.1 introduce miglioramenti come una migliore gestione delle chiavi residenti, consentendo aggiornamenti individuali delle chiavi senza un reset completo del dispositivo, e l'attestazione enterprise per un maggiore controllo a livello aziendale.

Processo di autenticazione con CTAP#

La comunicazione tramite CTAP segue un modello strutturato. In primo luogo, il software client (come un browser) si connette all'authenticator e richiede informazioni. Sulla base dei dati ricevuti, invia quindi i comandi appropriati all'authenticator, che a sua volta invia una risposta o un messaggio di errore. Questo processo iterativo garantisce sicurezza ed efficienza durante l'autenticazione.

Domande frequenti su CTAP (Client-to-Authenticator-Protocol)#

In cosa si differenzia il CTAP da WebAuthn nel framework FIDO2?#

Sebbene entrambi siano componenti cruciali di FIDO2, WebAuthn si concentra sulla connessione tra il sistema dell'utente e i siti web che richiedono l'identificazione. Al contrario, il CTAP regola il collegamento tra il dispositivo principale dell'utente e l'authenticator, come le security key o gli smartphone.

Perché il CTAP è fondamentale per i moderni metodi di autenticazione come le passkeys?#

Il CTAP assicura che dispositivi e authenticator comunichino in modo efficace, rendendo efficienti i metodi senza password come le passkeys. Standardizzando questa comunicazione, il CTAP garantisce coerenza e sicurezza su diverse piattaforme e dispositivi.

Esistono diverse versioni di CTAP?#

Sì, c'è il CTAP1, rivolto principalmente all'autenticazione a due fattori. Il CTAP2 ha introdotto le chiavi residenti, promuovendo l'autenticazione senza password. Il più recente CTAP2.1 ha portato funzionalità avanzate come una migliore gestione delle chiavi residenti e l'attestazione enterprise.

In che modo il CTAP migliora la sicurezza contro gli attacchi di phishing?#

Il CTAP garantisce che i dati di autenticazione sensibili, come le impronte digitali, non lascino mai il dispositivo dell'utente. Poiché gli utenti non devono fornire password, gli attacchi di phishing, che spesso rubano tali credenziali, diventano inefficaci.

Chi siamo

Corbado è la Passkey Intelligence Platform per i team CIAM che gestiscono l'autenticazione consumer su larga scala. Ti aiutiamo a vedere ciò che i log IDP e gli strumenti di analytics generici non mostrano: quali dispositivi, versioni di OS, browser e gestori di credenziali supportano i passkey, perché gli enrollment non si trasformano in login, dove il flusso WebAuthn fallisce e quando un aggiornamento di OS o browser interrompe silenziosamente il login — tutto senza sostituire Okta, Auth0, Ping, Cognito o il tuo IDP interno. Due prodotti: Corbado Observe aggiunge osservabilità per i passkey e qualsiasi altro metodo di login. Corbado Connect introduce passkey gestiti con analytics integrato (insieme al tuo IDP). VicRoads gestisce i passkey per oltre 5M di utenti con Corbado (+80 % di attivazione passkey). Parla con un esperto di Passkey →