Dopo l’annuncio da parte di Google del progetto Abacus, tocca ora al World Wide Web Cosortium (sigla: W3C), l’organizzazione non governativa fondata dal padre del web, Tim Barners Lee, che ha lo scopo di sviluppare e definire gli standard del web a livello mondiale. Riunendo un insieme di esperti e mettendo a disposizione il suo già enorme know how, il Consorzio ha istituito a inizio 2016 un gruppo di lavoro che ha un anno di tempo per trovare una formula, tra software e hardware, in grado di incrementare il livello di sicurezza di applicativi, servizi e portali web. Un’alternativa alla password, insomma, in grado di abilitare e rendere totalmente sicuro qualsiasi tipo di accesso.
Il gruppo di lavoro, diretto da Richard Barnes di Mozilla e Anthony Nadalin di Microsoft, si occuperà di sviluppare una suite API (l’interfaccia di programmazione di un’applicazione) da integrare nei web browser per cambiare in maniera radicale il modo in cui siamo soliti effettuare il login. Un obiettivo ambizioso, ma i cervelloni riuniti dal Consorzio non partono da zero: potranno infatti contare su tutti gli elementi e i dati già raccolti per il progetto Fido, presentato nel 2015 da un’équipe di ricercatori di sicurezza web riuniti da Google, Microsoft e PayPal.
Fido si basa su un sistema di verifica dell’identità dell’utente basato sull’interattività con il proprio smartphone: una volta caricata la pagina di login, l’utente dovrà compiere un’azione su richiesta con il proprio telefonino (strizzare un occhio, fare una linguaccia, o qualcosa del genere), dimostrando di essere una persona fisica e di essere in quel momento colui che richiede l’accesso, compiendo un’azione univoca. Nel caso in cui si smarrisse lo smartphone solitamente utilizzato per l’autenticazione – che diventa così uno strumento fondamentale: una vera e propria chiave di accesso a tutto il web – l’utente dovrà inviare una segnalazione ai server Fido, che provvederanno a eliminare la sincronizzazione tra telefono e account. Solo nel momento in cui l’utente invierà richiesta di nuova sincronizzazione da un altro dispositivo potrà tornare a loggarsi utilizzando questo sistema senza password.