Nuevos métodos para autenticarse de forma segura en la web, en el navegador y en todos los sitios y dispositivos
La Alianza FIDO y el Consorcio de la World Wide Web (W3C) han logrado un hito en los estándares en el esfuerzo global para brindar una autenticación web más simple pero más fuerte para los usuarios de todo el mundo.
El W3C cuenta con Autenticación Web avanzada (WebAuthn), un esfuerzo de colaboración basado en las especificaciones de la API Web enviadas por FIDO al W3C a la etapa de Recomendación del Candidato (CR). El CR es producto del Grupo de trabajo de autenticación web, que está compuesto por representantes de más de 30 organizaciones miembro. CR es un precursor de la aprobación final de un estándar web, y el W3C ha invitado a los servicios en línea y a los desarrolladores de aplicaciones web para implementar WebAuthn.
Autenticar de forma segura
WebAuthn define una API web estándar que se puede incorporar en los navegadores y la infraestructura de la plataforma web relacionada, que ofrece a los usuarios nuevos métodos para autenticarse de forma segura en la web, en el navegador y en todos los sitios y dispositivos. WebAuthn se ha desarrollado en coordinación con FIDO Alliance y es un componente central del Proyecto FIDO2 junto con la especificación de Protocolo de Cliente a Autenticador (CTAP) de FIDO.
CTAP habilita un autenticador externo, como una clave de seguridad o un teléfono móvil, para comunicar sólidas credenciales de autenticación localmente a través de USB, Bluetooth o NFC al dispositivo de acceso a internet del usuario (PC o teléfono móvil). Las especificaciones de FIDO2 permiten colectivamente a los usuarios autenticarse fácilmente en servicios en línea con computadoras de escritorio o dispositivos móviles con seguridad resistente a la suplantación de identidad (phishing).
"Con las nuevas especificaciones FIDO2 y el soporte líder de navegadores web anunciado hoy, estamos dando un gran paso adelante para hacer que la Autenticación FIDO sea ubicua en todas las plataformas y dispositivos", dijo Brett McDowell, director ejecutivo de la Alianza FIDO. "Después de años de robos de datos cada vez más graves y robo de credenciales de contraseñas, ahora es el momento para que los proveedores de servicios terminen su dependencia de contraseñas vulnerables y códigos de acceso únicos y adopten la autenticación FIDO resistente al phishing para todos los sitios web y aplicaciones".
Reconocimiento de la industria
Google, Microsoft y Mozilla se han comprometido a respaldar el estándar WebAuthn en sus navegadores insignia y han comenzado a implementarlo para plataformas Windows, Mac, Linux, Chrome OS y Android.
"La seguridad en la web ha sido durante mucho tiempo un problema que ha interferido con las muchas contribuciones positivas que la web hace a la sociedad. Si bien hay muchos problemas de seguridad web y no podemos solucionarlos todos, confiar en las contraseñas es uno de los eslabones más débiles. Con las soluciones multifactoriales de WebAuthn, estamos eliminando este débil eslabón", declaró Jeff Jaffe, CEO de W3C. "WebAuthn cambiará la forma en que las personas acceden a la Web".
La finalización de los esfuerzos de estandarización de FIDO2, la promoción de WebAuthn a lo largo de los estándares del W3C y el compromiso de los principales proveedores de navegadores para la implementación abre una nueva era de protección ubicua de Autenticación FIDO, respaldada por hardware para todos los que usan Internet.
Las empresas y los proveedores de servicios en línea que buscan protegerse a sí mismos y sus clientes de los riesgos asociados con las contraseñas, incluido el phishing, los ataques man-in-the-middle y el abuso de credenciales robadas, podrán implementar pronto una fuerte autenticación basada en estándares que funciona a través del navegador, o a través de un autenticador externo. La implementación de la autenticación FIDO permite que los servicios en línea brinden opciones a los usuarios de un ecosistema interoperable de dispositivos que la gente usa todos los días, como teléfonos móviles y claves de seguridad.
Normalización
La estandarización de las nuevas especificaciones FIDO2 en navegadores y sistemas operativos expandirá aún más el alcance de la Autenticación FIDO, la cual es referenciado por reguladores y cuerpos normativos de todo el mundo y ya está disponible en cientos de millones de dispositivos y se ofrece a más de 3.500 millones de cuentas de usuarios en todo el mundo a través de servicios de empresas como Google, Facebook, NTT DOCOMO, Bank of America y muchos más. Las nuevas especificaciones complementan los casos de uso de FIDO UAF sin contraseña existente y FIDO U2F de segundo factor, y amplían la disponibilidad de la Autenticación FIDO. Los navegadores web FIDO2 y los servicios en línea son totalmente compatibles con versiones anteriores de todas las claves de seguridad FIDO certificadas anteriormente.
FIDO lanzará pronto pruebas de interoperabilidad y emitirá certificaciones para servidores, clientes y autenticadores que cumplan con las especificaciones de FIDO2. Las herramientas de prueba de conformidad están disponibles en el sitio web de FIDO. Además, FIDO presentará una nueva certificación de Universal Server para servidores que interoperan con todos los tipos de autentificadores FIDO (FIDO UAF, FIDO U2F, WebAuthn, CTAP).
Beneficios del proyecto WebAuthn y FIDO2
La API WebAuthn de W3C, una API web estándar que puede incorporarse en navegadores e infraestructura de plataforma web relacionada, permite credenciales fuertes, únicas y basadas en claves públicas para cada sitio, eliminando el riesgo de que una contraseña robada de un sitio pueda usarse en otro. Una aplicación web que se ejecuta en un navegador cargado en un dispositivo con un FIDO Authenticator puede llamar fácilmente a una API pública para habilitarla más simplemente, FIDO aumenta la autenticación de los usuarios con operaciones criptográficas en lugar de, o además del intercambio de contraseñas, ofreciendo muchas ventajas a los proveedores de servicios y usuarios por igual:
Autenticación simple: los usuarios simplemente inician sesión con un solo gesto usando:
• Autenticadores internos o incorporados (como huellas dactilares o biometría facial) en PC, laptops y/o dispositivos móviles
• Autenticadores externos convenientes, como claves de seguridad y dispositivos móviles, para la autenticación de dispositivo a dispositivo utilizando CTAP, un protocolo para autenticadores externos desarrollado por FIDO Alliance que complementa a WebAuthn.
Autenticación más fuerte: la Autenticación FIDO es mucho más sólida que confiar solo en contraseñas y formas de autenticación relacionadas, y tiene estas ventajas:
• Las credenciales de usuario y las plantillas biométricas nunca salen del dispositivo del usuario y nunca se almacenan en servidores
• Las cuentas están protegidas de ataques de phishing, man-in-the-middle y de copia que usan contraseñas robadas.
Los desarrolladores ya pueden comenzar a crear aplicaciones y servicios que aprovechan la Autenticación FIDO.
