El World Wide Web Consortium y Fido Alliance anuncian a WebAuthn: ¿Qué significa eso?

WebAuthn - an Official Web Standard

Por lo general, no se te presentan tantas opciones cuando estás creando una nueva cuenta en línea. Obviamente, tiene que crear una contraseña, y para la mayoría de las personas, esto significa ir por una de dos rutas: una contraseña simple, fácil de recordar y / o reutilizada que pone en riesgo sus cuentas; o una contraseña larga y difícil de adivinar, que es una molestia para escribir y un dolor para recordar. No hace falta decir que ambas opciones no son exactamente ideales. Entonces, ¿hay algo que pueda cambiar la forma en que están las cosas en este momento? Bueno, hay, y podría estar yendo a alguna parte.

WebAuthn - la alternativa sin contraseña

WebAuthn, abreviatura de autenticación web, es un estándar no propietario que facilita la comunicación entre sitios web y un dispositivo de seguridad. Dos consorcios en línea, el World Wide Web Consortium (WC3) y FIDO Alliance, han estado trabajando en él durante los últimos años, pero el concepto puede rastrear sus raíces en la API del FDA Alliance Universal Factor de autenticación (UAF) a partir de 2014.

El objetivo tanto de WebAuthn como de UAF es proporcionar una forma nueva y segura de iniciar sesión en cuentas en línea sin la necesidad de recordar o ingresar ninguna contraseña. Por diversos motivos complicados, UAF no impresionó nuestra vida cotidiana, pero parece que WebAuthn podría ser diferente.

El lunes, WC3 y FIDO anunciaron que WebAuthn ahora es un estándar web oficial. En términos simples, esto significa que los expertos tienen la confianza suficiente para comenzar a asesorar a los desarrolladores web y de aplicaciones para que lo implementen en sus productos. Para comprender cómo todo esto nos va a afectar a todos, debemos analizar cómo funciona WebAuthn.

¿Cómo funciona WebAuthn?

Desde la perspectiva de un usuario, las cosas son bastante sencillas. La idea es que, en lugar de ingresar un nombre de usuario y una contraseña, use los mecanismos de autenticación biométrica en su computadora o teléfono inteligente, o utilice un token de hardware que se puede llevar en un llavero y funciona con USB, NFC, Bluetooth o Un protocolo de comunicación similar. No hay credenciales de inicio de sesión, lo que suena como un concepto atractivo. Pero ¿qué pasa con el aspecto de la seguridad?

Si bien el proceso es simple a primera vista, detrás del escenario, un inicio de sesión de WebAuthn es una operación bastante compleja. Todo se basa en la criptografía de clave pública (también conocida como asimétrica), lo que significa que hay dos claves involucradas, una pública y otra privada. Cada una de sus cuentas obtiene un par de claves criptográficas que su token de computadora o hardware genera al registrarse. La clave pública se envía al proveedor de servicios y la privada se almacena en su dispositivo. Cuando intenta iniciar sesión, el proveedor de servicios envía un desafío que su dispositivo firma y encripta con su clave privada. La única forma de descifrar el desafío y ver la firma es con su clave pública, que es la forma en que el proveedor de servicios sabe que usted es quien dice ser.

Hay más que unos pocos beneficios de seguridad para este esquema. En primer lugar, el inicio de sesión requiere dos claves almacenadas en dos ubicaciones diferentes. Incluso si los delincuentes de alguna manera logran robar o interceptar su clave pública, no tendrán forma de iniciar sesión sin la clave privada que, como recordará, nunca abandona su dispositivo.

Lo que es más, a diferencia de las contraseñas, claves criptográficas no pueden ser adivinado rellenos , reutilizados o phishing . En otras palabras, la mayoría de los ataques que tradicionalmente funcionan con contraseñas no son efectivos contra un esquema WebAuthn.

El nuevo estándar web es notable porque es uno de los pocos ejemplos de una innovación tecnológica que no solo mejora la facilidad de uso, sino que también mejora la seguridad.

Entonces, la contraseña está muerta, ¿verdad?

Si bien es cierto que hay algo que esperar, consideramos que la desaparición de la contraseña aún está muy lejos. Hay pocas dudas en la mente de nadie de que la tecnología detrás de WebAuthn es sólida, pero todavía hay algunos obstáculos que superar.

Por un lado, WebAuthn es un estándar web, y por tonto que parezca, la palabra "estándar" en su sentido clásico es un poco tabú en el mundo en línea. Tome las contraseñas, por ejemplo. Los hemos utilizado como nuestro principal mecanismo de inicio de sesión durante bastante tiempo, pero incluso ahora, décadas después de su primera aparición, todavía no podemos ponernos de acuerdo sobre qué es y qué no es una contraseña segura . De la misma manera, a pesar de las ventajas obvias, los proveedores no parecen estar en la misma página cuando se trata de la rapidez con la que se debe implementar WebAuthn.

Chrome de Google fue el primer navegador compatible con WebAuthn, pero no fue hasta unos meses más tarde que Firefox, otro gran nombre en la industria, lo implementó. Microsoft se tomó su tiempo dulce incorporando WebAuthn en Edge, y Apple todavía está experimentando con el soporte para Safari. La situación no es muy diferente en el panorama móvil. La semana pasada, FIDO anunció que muy pronto, todos los teléfonos y tabletas con Android 7.0 o superior serán certificados por FIDO. WebAuthn es el núcleo del protocolo FIDO2, lo que significa que estos dispositivos admitirán de manera efectiva el inicio de sesión sin contraseña. Desafortunadamente, todavía no hemos visto ninguna información sobre cuándo se incorporará el estándar en el iOS de Apple. E incluso si todos los proveedores adoptan WebAuthn para sus dispositivos más nuevos, no puede ignorar las montañas de sistemas heredados que quedarán atrás.

Por supuesto, después de que los proveedores de hardware lo adopten, todos los desarrolladores de sitios web y aplicaciones deberán implementarlo como un mecanismo de inicio de sesión. En otras palabras, es poco probable que WebAuthn reemplace la contraseña por completo en el corto plazo. Y hasta que lo haga, debe asegurarse de que sus cuentas estén lo más protegidas posible.

Usar una aplicación de administración de contraseñas como Cyclonis Password Manager es la mejor manera de hacerlo. Con él, puede crear contraseñas largas y complejas sin tener que preocuparse por recordarlas. En esta época, confiar en su cerebro para hacer esto simplemente no es una buena idea, y lo mejor de dejar que Cyclonis Password Manager haga todo el trabajo por usted es que las funciones de llenado automático y de inicio de sesión automático de la extensión del navegador le brindarán mayor comodidad. .

March 28, 2019

Leave a Reply

IMPORTANT! To be able to proceed, you need to solve the following simple math.
Please leave these two fields as is:
What is 8 + 8 ?